Menu Fermer

A

  • Acceptation du risque (ISO 27000) : décision informée permettant de prendre un risque particulier. Elle peut avoir lieu sans le traitement du risque ou durant le processus de traitement du risque. Les risques acceptés sont sujets à une surveillance et à une revue.
  • Actif (ISO 27000) :
  • Analyse du risque (ISO 27000) : processus de compréhension de la nature du risque et de détermination du niveau de risque. Elle fournit la base pour l’évaluation du risque et les décisions sur le traitement du risque. Elle inclut l’estimation du risque.
  • Appréciation du risque (ISO 27000, risk assessment) : processus global comprenant l’identification du risque, l’analyse du risque et l’évaluation du risque.
  • Attaque (ISO 27000) :  tentative de détruire, exposer, altérer, désactiver, voler ou gagner un accès non autorisé ou de faire un usage non autorisé d’un actif.

B

C

  • Conséquence (ISO 27000, auparavant impact) : résultat d’un événement qui affecte les objectifs. Un événement peut engendrer un éventail de conséquences. Une conséquence peut être certaine ou incertaine et, dans le contexte de la sécurité de l’information, est généralement négative.
  • Contrôle d’accès (ISO 27000) : moyens de s’assurer que l’accès aux actifs est autorisé et restreint sur la base d’exigences d’affaires ou de sécurité.
  • Correction (ISO 27000) : action d’éliminer une non-conformité détectée.
  • Critères de risque (ISO 27000) : les termes de référence par rapport auxquels le sens d’un risque est évalué. Ils sont basés sur les objectifs organisationnels, les contextes interne et externe. Ils peuvent être dérivés de normes, lois, politiques et autres exigences. Les conséquences peuvent être exprimées qualitativement ou quantitativement. Les conséquences initiales peuvent escalader par effet domino.

D

  • Dommage (NIST) : préjudice causé à quelque chose de sorte à réduire ou détruire sa valeur, son utilité ou sa fonction normale.

E

  • Évaluation de sécurité (NIST) : test et/ou évaluation des mesures de sécurité managériales, opérationnelles et techniques dans un système d’information afin de déterminer si les mesures sont implémentés correctement, opèrent comme prévu et produisent l’effet escompté par rapport aux exigences de sécurité du système.
  • Évaluation du risque (ISO 27000) : processus de comparaison des résultats d’une analyse de risque avec les critères de risque afin de déterminer si le risque et/ou sa magnitude est acceptable ou tolérable.
  • Événement (ISO 27000) : occurrence ou changement de circonstances particulières. Un événement peut comprendre une ou plusieurs occurrences et peut avoir plusieurs causes. Il peut consister en quelque chose qui ne se produit pas. On l’appelle parfois « incident » ou « accident ».

F

  • Faille (NIST) : imperfection ou défaut.
  • FAIR (Factor Analysis of Information Risk) : méthode quantitative d’analyse de risque.

G

  • Gestion des risques (ISO 27000) : activités coordonnées afin de diriger et contrôler une organisation pour tout ce qui concerne le risque.

H

I

  • Impact potentiel (NIST) : perte de confidentialité, intégrité ou disponibilité qui pourrait avoir un effet adverse limité, sérieux ou sévère ou encore catastrophique sur les opérations, les actifs organisationnels ou bien les individus.
  • Incident (NIST) : une occurrence qui met réellement ou potentiellement en danger la confidentialité, l’intégrité ou la disponibilité d’un système d’information ou l’information que celui-ci traite, stocke ou transmet ou qui constitue une violation ou une menace imminente de violation des politiques, procédures de sécurité ou des règles d’utilisation.

J

K

L

M

  • Menace :
    • cause potentielle d’un incident non désiré qui peut résulter dans des dommages portés à un système ou une organisation (ISO 27000)
    • n’importe quelle circonstance ou événement ayant la potentialité d’affecter négativement les opérations organisationnelles (y compris la mission, les fonctions, l’image ou la réputation), les actifs organisationnels ou les individus via un système par le biais d’un système d’information par l’accès non autorisé à l’information, la destruction, la divulgation, la modification de l’information, et/ou le déni de service. Aussi la potentialité qu’une source de menace exploite avec succès une vulnérabilité particulière d’un système d’information (NIST)
  • Mesure (de sécurité, de contrôle, en anglais control :
    • mesure qui modifie un risque. Les mesures de contrôle incluent n’importe quel processus, politique, dispositif, pratique ou d’autres actions qui modifient le risque. Il est possible que les mesures n’exercent pas l’effet escompté ou présumé (ISO 27000).
    • Mesure de sauvegarde (protection) ou contremesure prescrite pour un système d’information ou une organisation afin de protéger la confidentialité, l’intégrité et la disponibilité de ses informations et de satisfaire à un ensemble d’exigences de sécurité déterminées.
  • Mouvement latéral : intimement lié à la notion de « pivot » (voir l’entrée correspondante) avec qui elle se confond, il consiste à une progression depuis un système ou un réseau initialement compromis, servant de « point d’ancrage » ou « pivot », vers un système ou réseau proches ou conjoints (d’où la référence à « latéral »), dans le but de progresser toujours plus profondément dans le système d’information cible afin de réaliser ses objectifs. d’un système à l’autre ou d’un système à l’autre. Mouvement latéral et pivot alternent ainsi au fil de la progression, chaque mouvement latéral devenant potentiellement un nouveau point d’ancrage.

N

  • Niveau de risque (ISO 27000) : magnitude d’un risque exprimée en termes de combinaison de conséquences et leur vraisemblance.
  • Non-conformité (ISO 27000) : non respect d’une exigence.
  • Non-répudiation (ISO 27000) : capacité à prouver l’occurrence d’un événement ou action et ses entités d’origine.

O

P

  • Pivoter (NIST) : pour un attaquant, l’action de passer d’un système compromis à l’autre au sein d’une même organisation ou dans une organisation différente tout en s’ajustant aux mesures de protection. Cette étape est essentielle pour le succès d’un attaque élaborée de type APT. En stratégie militaire, « pivoter » fait référence à une phase « d’ajustement ou de modification d’une stratégie afin de s’adapter ou de s’améliorer ». ON retrouve donc tous ces éléments dans ce qui est essentiellement une phase de progression dans la compromission d’un système d’information : une fois avoir profité d’une brèche, l’attaquant établit d’abord un point d’ancrage (« pivoter ») qui lui permet de se diriger (« mouvement latéral ») ensuite dans n’importe quelle direction souhaitée, en fonction des mesures de protection en place. Pivoter implique d’avoir obtenu un accès persistant avant d’opérer un changement de direction.
    Il ne semble pas y avoir de définition définitive en cybersécurité permettant de différencier « pivot » du « mouvement latéral ». Le cadre MITRE Att&ck ne mentionne pas le terme « pivoter » mais seulement le « mouvement latéral »; le glossaire du NIST qui nous sert de référence, ne contient qu’une entrée pour le « pivot » et ne fait pas mention de « mouvement latéral » (appelé parfois « mouvement horizontal »). La société Arcticwolf ne fait pas la différence entre ces termes fonctionnellement, mais précise que seul le mouvement latéral suppose une élévation de privilège préalable. Pour Cyberinsight, pivoter c’est « créer un point pivot » à partir duquel accéder à d’autres systèmes, après avoir gagné l’accès à un système dans un réseau. Il ajoute qu’ensuite le pirate se déplacera latéralement à travers le réseau en utilisant des authentifiants par exemple pour bouger d’un système à l’autre. Le « mouvement latéral » en revanche, reviendrait à gagner l’accès à des systèmes multiples dans le réseau en même temps. L’organisme SANS ne semble pas distinguer les deux termes, tandis que l’organisme EC-Council distingue les deux termes, définissant l’action de « pivoter » comme la progression d’un système à l’autre, tandis que le « mouvement latéral » serait plutôt utilisé pour l’élévation de privilège au sein de la même machine cible (d’où « latéral » qui suppose l’absence de progression dans le système d’information… mais dans ce cas pourquoi parler de « mouvement » alors que celui-ci n’existe pas vraiment ?
  • Propriétaire d’un risque (ISO 27000) : personne ou entité ayant l’imputabilité et l’autorité pour gérer un risque.

Q

  • Quantification du risque (NISTIR 8286) : méthode d’évaluation des risques utilisant des valeurs numériques pour exprimer l’impact et la vraisemblance, en se basant notamment sur les probabilités statistiques et la valeur monétaire d’une perte ou d’un gain.

R

  • Reproductibilité (NIST, adaptée) : aptitude de différents expertes à produire les même résultats à partir des mêmes données. — Dans les analyses de risque, qualité d’une méthode qui permet à différents analystes de produire des résultats similaires et cohérents.
  • Résilience (NIST, adaptée) : capacité à se préparer à et résister face à l’adversité ainsi qu’à reprendre ses activités rapidement suite à une interruption. La résilience inclut la capacité de résister et récupérer d’attaques délibérées, d’accidents ou de menaces ou incidents survenant naturellement.
  • Risque :
    • mesure de l’étendue à laquelle une entité est menacée par une circonstance ou un événement potentiel, qui est typiquement une fonction : des impacts adverses advenant la circonstance ou l’événement; de la vraisemblance d’occurrence (NIST).
    • effet de l’incertitude sur les objectifs. Un effet est une divergence par rapport à ce qui est attendu. L’incertitude est l’état, même partiel, d’une insuffisance d’informations relative à, compréhension ou connaissance de, un événement, sa conséquence ou sa vraisemblance. Le risque se caractérise souvent en référence à des événements et conséquences potentiels. Le risque est souvent exprimé sous la forme de la combinaison des conséquences d’un événement (y compris les changements de circonstances) et la vraisemblance d’occurrence associée (ISO 27000).
  • Risque de sécurité de l’information (ISO 27000) : peut être exprimé comme un effet de l’incertitude sur les objectifs de sécurité de l’information (ndlt, confidentialité, intégrité et disponibilité). Il est associé à la potentialité que les menaces exploiteront les vulnérabilités d’un actif informationnel ou d’un groupe d’actifs informationnels et par là même porter atteinte à une organisation.
  • Risque résiduel (ISO 27000) : risque subsistant après son traitement. celui-ci peut contenir un risque non identifié. On l’appelle également « risque retenu ».

S

  • Sécuriser (NIST) : réduire les risques d’intrusions et d’attaques ainsi que les effets de catastrophes naturelles ou d’origine humaine sur l’infrastructure critique par des moyens physiques ou des mesures cyber défensives.

T

U

V

  • Vraisemblance : chance que quelque chose survienne (ISO 27000). Un facteur de pondéré basé sur une analyse subjective de la probabilité qu’une dite menace est capable d’exploiter une ou plusieurs vulnérabilités (CNSSI 4009-2015).
  • Vulnérabilité : faiblesse dans un actif ou une mesure de contrôle qui peut être exploitée par une ou plusieurs menaces (ISO 27000). Un faiblesse dans un système d’information, des procédures, des mesures internes ou leur implémentation qui pourrait être exploitée ou déclenchée par une source de menace (CNSSI 4009-2015).

Y

Z