Référence
Glossaire Cybersécurité
Plus de 100 termes essentiels de cybersécurité définis au niveau praticien. Conçu comme référence opérationnelle pour les équipes de sécurité, les responsables informatiques et toute personne ayant besoin de définitions précises et sans jargon marketing.
A
Contrôle d'accès (Access Control)
L'ensemble des politiques, mécanismes et technologies qui limitent qui ou quoi peut consulter, utiliser ou modifier des ressources dans un environnement informatique. Les implémentations comprennent le contrôle d'accès basé sur les rôles (RBAC), le contrôle d'accès basé sur les attributs (ABAC) et le contrôle d'accès obligatoire (MAC). Un contrôle d'accès efficace est fondamental dans les architectures de moindre privilège.
Menace persistante avancée — APT (Advanced Persistent Threat)
Une cyberattaque ciblée et prolongée au cours de laquelle un acteur malveillant obtient un accès non autorisé à un réseau et reste indétecté pendant une période prolongée. Les groupes APT sont généralement parrainés par des États ou sont des organisations criminelles bien financées poursuivant des objectifs précis de renseignement ou financiers. Ils utilisent des TTPs sophistiqués et s'adaptent aux mesures défensives.
Surface d'attaque (Attack Surface)
L'ensemble des points où un utilisateur non autorisé peut tenter d'entrer dans un environnement ou d'en extraire des données. Comprend les services réseau, les applications web, les API, les postes de travail, les interfaces cloud, les points d'accès physiques et les facteurs humains. La réduction de la surface d'attaque est un objectif central de l'ingénierie de sécurité.
Vecteur d'attaque (Attack Vector)
La méthode ou le chemin spécifique qu'un attaquant utilise pour accéder à un système cible. Les vecteurs courants comprennent les courriels d'hameçonnage, l'exploitation de vulnérabilités non corrigées, des identifiants compromis, la compromission de la chaîne d'approvisionnement et les supports amovibles. La compréhension des vecteurs d'attaque prédominants oriente les priorités défensives et le cadrage des évaluations.
Authentification (Authentication)
Le processus de vérification de l'identité d'un utilisateur, d'un appareil ou d'un système avant d'accorder l'accès. Les méthodes comprennent les mots de passe, la biométrie, les jetons matériels, les certificats et les combinaisons multi-facteurs. L'authentification se distingue de l'autorisation (qui détermine ce qu'une entité authentifiée est autorisée à faire).
Autorisation (Authorization)
Le processus qui détermine quelles actions, ressources ou données une entité authentifiée est autorisée à consulter. Les mécanismes d'autorisation appliquent des politiques telles que le contrôle d'accès basé sur les rôles (RBAC), le contrôle d'accès basé sur les attributs (ABAC) et l'accès basé sur des politiques. À distinguer de l'authentification, qui vérifie l'identité — l'autorisation définit ce que cette identité peut faire.
B
Porte dérobée (Backdoor)
Une méthode dissimulée permettant de contourner l'authentification ou le chiffrement normal pour obtenir un accès non autorisé à un système. Les portes dérobées peuvent être installées par des attaquants comme mécanismes de persistance après une compromission initiale, ou exister comme fonctionnalités intentionnelles (parfois non documentées) dans des logiciels. La détection nécessite généralement une analyse de logiciels malveillants et une investigation judiciaire.
Équipe bleue (Blue Team)
L'équipe de sécurité défensive chargée de détecter, de répondre aux menaces et de les atténuer au sein d'une organisation. Les activités de l'équipe bleue comprennent la surveillance de la sécurité, la réponse aux incidents, la chasse aux menaces, la gestion des vulnérabilités et l'architecture de sécurité. Dans les exercices, l'équipe bleue défend contre les attaques simulées de l'équipe rouge.
Botnet
Un réseau d'ordinateurs compromis (bots ou zombies) contrôlés à distance par un acteur malveillant via une infrastructure de commande et de contrôle. Les botnets sont utilisés pour les attaques DDoS, la distribution de spam, le bourrage d'identifiants, le minage de cryptomonnaies et comme plateformes de distribution de logiciels malveillants supplémentaires. Les botnets modernes utilisent la communication pair-à-pair pour résister au démantèlement.
Attaque par force brute (Brute Force Attack)
Une méthode d'attaque qui tente systématiquement toutes les combinaisons possibles de mots de passe ou de clés de chiffrement jusqu'à trouver la bonne. Les variantes comprennent les attaques par dictionnaire (utilisant des listes de mots), les attaques hybrides (combinant des mots avec des substitutions de caractères) et le bourrage d'identifiants (utilisant des identifiants divulgués lors d'autres violations). Atténuée par les politiques de verrouillage de compte, la limitation de débit et le MFA.
Fraude au président / BEC (Business Email Compromise)
Une attaque d'ingénierie sociale ciblée où un attaquant usurpe l'identité d'une partie de confiance (généralement un dirigeant, un fournisseur ou un partenaire) par courrier électronique pour inciter les victimes à transférer des fonds, divulguer des données sensibles ou effectuer des actions non autorisées. Le BEC est l'une des catégories de cybercriminalité à l'impact financier le plus élevé, ne nécessitant souvent aucun logiciel malveillant.
C
C2 (Commande et Contrôle)
L'infrastructure et les canaux de communication qu'un attaquant utilise pour maintenir le contrôle sur les systèmes compromis. Le C2 peut fonctionner via HTTP/S, DNS, les réseaux sociaux, les services cloud ou des protocoles personnalisés. L'identification et la perturbation des communications C2 sont un objectif principal lors du confinement d'un incident.
CERT (Computer Emergency Response Team)
Une organisation ou une équipe responsable de la coordination de la réponse aux incidents de cybersécurité. Les CERT nationaux (par exemple, CERT.be en Belgique, CERT-EU pour les institutions de l'UE) publient des avis, coordonnent la divulgation des vulnérabilités et aident à la gestion des incidents. Les CERT organisationnels remplissent la même fonction au sein des entreprises individuelles.
CISO (Responsable de la Sécurité des Systèmes d'Information)
Le cadre supérieur responsable de l'élaboration et du maintien de la stratégie, des politiques et des opérations de sécurité d'une organisation. Le CISO établit le lien entre les capacités de sécurité technique et la gestion des risques métier, relevant généralement du DSI, du PDG ou du conseil d'administration. NIS2 place la responsabilité directe de la gestion des risques de cybersécurité sur la direction de l'organisation.
Gestion de la posture de sécurité cloud — CSPM (Cloud Security Posture Management)
Une catégorie d'outils de sécurité qui surveillent en permanence l'infrastructure cloud pour détecter les mauvaises configurations, les violations de conformité et les risques de sécurité. Les solutions CSPM évaluent les configurations par rapport aux référentiels de sécurité (CIS, meilleures pratiques des fournisseurs) et alertent en cas d'écart. Indispensable pour les organisations disposant d'environnements multi-cloud ou en évolution rapide.
Confinement (Containment)
La phase de réponse aux incidents axée sur la prévention de la propagation d'une attaque tout en préservant les preuves. Comprend des actions à court terme (isolation réseau, désactivation de comptes) et des mesures à long terme (réinitialisation des identifiants, surveillance renforcée). Un confinement efficace équilibre la rapidité avec la préservation des preuves. Voir notre liste de contrôle IR pour les procédures de confinement détaillées.
Bourrage d'identifiants (Credential Stuffing)
Une attaque automatisée qui utilise des listes de paires nom d'utilisateur/mot de passe obtenues lors de violations de données précédentes pour tenter de se connecter à d'autres services. Exploite la pratique généralisée de réutilisation des mots de passe. Se distingue de la force brute par l'utilisation d'identifiants valides connus. Atténuée par le MFA, la surveillance des identifiants compromis et la limitation de débit.
Cross-Site Scripting (XSS)
Une vulnérabilité d'application web qui permet à un attaquant d'injecter des scripts malveillants côté client dans des pages consultées par d'autres utilisateurs. Les types comprennent le XSS stocké (persisté dans l'application), le XSS réfléchi (inclus dans une URL crafting) et le XSS basé sur le DOM (exécuté entièrement côté client). Fréquemment découvert lors des tests d'intrusion.
CVSS (Système de Score de Vulnérabilité Commun)
Un cadre ouvert pour évaluer la gravité des vulnérabilités logicielles sur une échelle de 0,0 à 10,0. Les scores CVSS tiennent compte du vecteur d'attaque, de la complexité, des privilèges requis, de l'interaction utilisateur et de l'impact sur la confidentialité, l'intégrité et la disponibilité. Largement utilisé dans les rapports d'évaluation mais doit être interprété dans le contexte métier, et non utilisé comme seul critère de priorisation.
Cyber Kill Chain
Un cadre développé par Lockheed Martin décrivant les étapes d'une cyberattaque : reconnaissance, armement, livraison, exploitation, installation, commande et contrôle, et actions sur les objectifs. Utile pour cartographier les capacités défensives à chaque étape et identifier là où les contrôles de détection et de prévention sont les plus faibles.
Transparence des certificats — CT (Certificate Transparency)
Un cadre de journaux publics en ajout seul qui enregistrent tous les certificats TLS/SSL émis par les Autorités de Certification participantes. La CT permet aux propriétaires de domaines de détecter les certificats mal émis ou non autorisés pour leurs domaines. La surveillance des journaux CT est une technique OSINT précieuse pour découvrir l'informatique fantôme, l'infrastructure d'hameçonnage et les sous-domaines non autorisés.
D
Web sombre (Dark Web)
La partie d'Internet accessible uniquement via des réseaux superposés tels que Tor, I2P ou Freenet, nécessitant des logiciels et des configurations spécialisés. En cybersécurité, le web sombre est surveillé pour les identifiants divulgués, les données volées à la vente, les communications des acteurs malveillants et les places de marché d'exploits émergentes. La surveillance du web sombre est une composante des programmes complets de renseignement sur les menaces.
Violation de données (Data Breach)
Un incident au cours duquel des données sensibles, protégées ou confidentielles sont consultées, divulguées ou exfiltrées par une partie non autorisée. Les violations déclenchent des obligations de notification en vertu du RGPD (72 heures à l'autorité de surveillance), de NIS2 et des réglementations sectorielles. La détermination de la portée de la violation est une étape critique au début de la réponse aux incidents.
Prévention des pertes de données — DLP (Data Loss Prevention)
Technologies et politiques conçues pour détecter et prévenir la transmission non autorisée de données sensibles en dehors de l'organisation. Les solutions DLP surveillent les données au repos, en transit et en cours d'utilisation, en appliquant des règles basées sur la classification du contenu, le contexte et le comportement des utilisateurs. Un DLP efficace nécessite une classification précise des données et des politiques ajustées pour éviter un nombre excessif de faux positifs.
DDoS (Déni de Service Distribué)
Une attaque qui submerge un système, un service ou un réseau cible avec du trafic provenant de multiples sources distribuées, le rendant indisponible pour les utilisateurs légitimes. Les types d'attaques comprennent les attaques volumétriques (saturation de bande passante), les attaques protocolaires (exploitation des faiblesses des protocoles réseau) et les attaques de couche application (ciblant des services spécifiques). L'atténuation nécessite généralement un filtrage en amont ou une protection basée sur un CDN.
Défense en profondeur (Defense in Depth)
Une stratégie de sécurité qui superpose plusieurs mécanismes défensifs de sorte que si un contrôle échoue, d'autres continuent à assurer la protection. Les couches couvrent généralement la sécurité physique, la sécurité réseau, la sécurité des postes de travail, la sécurité des applications, la sécurité des données et la formation des utilisateurs. Basée sur le principe militaire selon lequel plusieurs lignes défensives sont plus difficiles à percer qu'une seule ligne forte.
DFIR (Investigation Numérique et Réponse aux Incidents)
La discipline combinée de collecte, de préservation et d'analyse des preuves numériques (investigation numérique) et de gestion de la détection, du confinement et du rétablissement après des incidents de sécurité (réponse aux incidents). Les praticiens DFIR occupent des rôles à la fois investigatifs et opérationnels, travaillant souvent sous pression temporelle et examen juridique. La plateforme DFIR Assist de ForgeWork soutient ces flux de travail.
Usurpation DNS (DNS Spoofing)
Une attaque qui corrompt la résolution DNS pour rediriger le trafic de destinations légitimes vers des systèmes contrôlés par un attaquant. Les méthodes comprennent l'empoisonnement de cache (injection de réponses DNS falsifiées), la compromission de serveurs DNS ou des attaques de l'homme du milieu sur les requêtes DNS. DNSSEC fournit une vérification cryptographique des réponses DNS, mais son adoption reste incomplète.
E
EDR (Détection et Réponse sur les Postes de Travail)
Solutions de sécurité déployées sur les postes de travail (ordinateurs, serveurs, appareils mobiles) qui surveillent en permanence les activités suspectes, fournissent une détection des menaces en temps réel, permettent l'investigation et soutiennent les actions de réponse automatisées ou manuelles. Les EDR modernes enregistrent une télémétrie détaillée (arbres de processus, opérations sur les fichiers, connexions réseau, modifications du registre) essentielle pour l'analyse forensique.
Chiffrement (Encryption)
Le processus de conversion de données en clair en texte chiffré à l'aide d'un algorithme cryptographique et d'une clé, les rendant illisibles sans la clé de déchiffrement correspondante. Appliqué aux données au repos (chiffrement de disque, chiffrement de base de données), aux données en transit (TLS, VPN) et de plus en plus aux données en cours d'utilisation (chiffrement homomorphe, enclaves sécurisées). La gestion des clés est généralement la partie la plus difficile.
Escalade (Escalation)
Le processus qui consiste à porter un incident, une alerte ou un problème à un niveau d'autorité ou d'expertise supérieur pour sa résolution. Dans la réponse aux incidents, les critères d'escalade définissent quand et comment impliquer des analystes seniors, la direction, les conseillers juridiques ou des ressources externes. Des chemins d'escalade bien définis évitent les goulets d'étranglement et garantissent que les ressources appropriées sont mobilisées rapidement.
Exploit
Un code, une technique ou une séquence de commandes qui tire parti d'une vulnérabilité pour provoquer un comportement non intentionnel dans un système, tel que l'obtention d'un accès non autorisé, l'exécution de code arbitraire ou le déclenchement d'un déni de service. Les exploits vont du code de preuve de concept accessible au public aux exploits zero-day sophistiqués développés par des États-nations.
Exfiltration de données (Exfiltration)
Le transfert non autorisé de données d'un environnement compromis vers un emplacement contrôlé par un attaquant. Les méthodes d'exfiltration comprennent le transfert réseau direct, le tunneling DNS, la stéganographie, les canaux chiffrés, les supports amovibles et l'abus de services cloud légitimes. La détection de l'exfiltration nécessite la surveillance des flux de données inhabituels, des anomalies de volume et des connexions vers des infrastructures malveillantes connues.
Passerelle de sécurité de messagerie (Email Security Gateway)
Une solution de sécurité qui filtre le trafic de messagerie entrant et sortant pour bloquer le spam, l'hameçonnage, les logiciels malveillants et les pertes de données. Les passerelles de messagerie modernes utilisent le filtrage par réputation, le sandboxing, la réécriture d'URL, l'analyse des pièces jointes et l'apprentissage automatique pour détecter les menaces. Un contrôle critique étant donné que l'email reste le vecteur d'accès initial dominant pour les attaques génériques et ciblées.
F
Pare-feu (Firewall)
Un dispositif de sécurité réseau ou un logiciel qui surveille et contrôle le trafic réseau entrant et sortant en fonction de règles de sécurité prédéfinies. Les types comprennent les pare-feux à filtrage de paquets, les pare-feux à inspection avec état, les pare-feux de couche application (WAF) et les pare-feux de nouvelle génération (NGFW) qui intègrent IPS, connaissance des applications et renseignement sur les menaces.
Image forensique (Forensic Image)
Une copie bit à bit d'un dispositif de stockage qui préserve toutes les données, y compris les fichiers supprimés, l'espace non alloué et les métadonnées du système de fichiers. Créée à l'aide de matériel ou de logiciels bloquant l'écriture pour garantir que la preuve originale n'est pas modifiée. Les images forensiques constituent le fondement des investigations en investigation numérique et doivent maintenir une documentation de la chaîne de possession des preuves.
Fuzzing
Une technique de test automatisé de logiciels qui fournit des données invalides, inattendues ou aléatoires en entrée d'un programme pour découvrir des vulnérabilités telles que des dépassements de tampon, des plantages et des fuites de mémoire. Les fuzzers modernes utilisent la mutation guidée par la couverture (par exemple, AFL, libFuzzer) pour explorer intelligemment les chemins de code. Largement utilisé dans la recherche de vulnérabilités et les cycles de développement sécurisé.
G
Gouvernance, Risque et Conformité — GRC (Governance, Risk, and Compliance)
Une approche intégrée de la gestion de la structure de gouvernance d'une organisation, des processus de gestion des risques et de la conformité aux réglementations et normes. En cybersécurité, la GRC englobe la gestion des politiques, les évaluations des risques, la coordination des audits, la conformité réglementaire (NIS2, RGPD, PCI DSS) et le reporting à la direction sur la posture de sécurité.
RGPD — Règlement Général sur la Protection des Données (GDPR)
Le règlement de l'UE régissant le traitement et la protection des données personnelles. Pour les équipes de cybersécurité, le RGPD impose une notification des violations aux autorités de surveillance dans les 72 heures, exige des mesures de sécurité techniques et organisationnelles appropriées, et peut imposer des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros. La conformité au RGPD s'entrecroise fortement avec les programmes de réponse aux incidents et de prévention des pertes de données.
H
Condensat cryptographique (Hash)
Une chaîne de longueur fixe produite par une fonction de hachage cryptographique (MD5, SHA-1, SHA-256) qui représente de manière unique les données d'entrée. En cybersécurité, les condensats sont utilisés pour vérifier l'intégrité des fichiers, identifier les échantillons de logiciels malveillants connus, stocker les mots de passe de manière sécurisée et détecter les modifications non autorisées. Les condensats de fichiers sont un type principal d'indicateur de compromission (IoC).
Pot de miel (Honeypot)
Un système ou une ressource délibérément vulnérable déployé pour attirer, détecter et étudier les attaquants. Les pots de miel génèrent des alertes à haute fidélité (toute interaction est suspecte par définition), collectent du renseignement sur les menaces concernant les outils et techniques des attaquants, et peuvent servir de systèmes d'alerte précoce en cas d'intrusion. Les réseaux de pots de miel (honeynets) étendent ce concept à des segments réseau entiers.
Durcissement (Hardening)
Le processus de réduction de la surface d'attaque d'un système en supprimant les services inutiles, en appliquant des configurations sécurisées, en désactivant les comptes par défaut et en mettant en œuvre des contrôles de sécurité. Les guides de durcissement (CIS Benchmarks, DISA STIGs, références de sécurité des fournisseurs) fournissent des normes de configuration pour les systèmes d'exploitation, les applications et les équipements réseau. Une activité centrale de l'ingénierie de sécurité.
I
IDS/IPS (Système de Détection/Prévention d'Intrusion)
Systèmes de sécurité qui surveillent le trafic réseau ou l'activité des systèmes à la recherche de modèles malveillants. Un IDS détecte et alerte sur les activités suspectes ; un IPS prend en outre des mesures automatisées pour les bloquer ou les prévenir. Les méthodes de détection comprennent la détection basée sur les signatures (correspondance aux modèles connus), la détection d'anomalies (déviation par rapport aux références) et l'analyse comportementale.
Réponse aux incidents (Incident Response)
Le processus structuré de détection, d'analyse, de confinement, d'éradication et de rétablissement après des incidents de sécurité. Un programme IR efficace comprend des plans documentés, des équipes formées, des procédures testées et des relations établies avec des ressources externes. Le cadre NIST SP 800-61 est largement adopté. Voir notre liste de contrôle de réponse aux incidents pour un guide pratique.
Indicateurs de compromission — IoC (Indicator of Compromise)
Artefacts observables indiquant qu'un système ou un réseau peut avoir été compromis. Les IoC comprennent les condensats de fichiers, les adresses IP, les noms de domaine, les URL, les clés de registre, les adresses e-mail, les noms de mutex et les modèles comportementaux. Les IoC sont partagés via des flux de renseignement sur les menaces et utilisés par les outils de sécurité (SIEM, EDR, pare-feux) pour détecter les menaces connues.
Menace interne (Insider Threat)
Un risque de sécurité émanant d'individus au sein de l'organisation — employés, sous-traitants ou partenaires commerciaux — qui disposent d'un accès légitime aux systèmes et aux données. Les menaces internes peuvent être malveillantes (vol de données intentionnel, sabotage) ou non intentionnelles (exposition accidentelle de données, victime d'hameçonnage). La détection nécessite la surveillance du comportement des utilisateurs, des modèles d'accès et des mouvements de données.
ISO 27001
La norme internationale pour les systèmes de management de la sécurité de l'information (SMSI). ISO 27001 fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer continuellement l'approche d'une organisation en matière de gestion des risques de sécurité de l'information. La certification nécessite un audit indépendant et démontre la conformité avec 93 contrôles organisés dans les domaines organisationnels, humains, physiques et technologiques.
Gestion des identités et des accès — IAM (Identity and Access Management)
Le cadre de politiques, de processus et de technologies qui gèrent les identités numériques et contrôlent l'accès aux ressources. L'IAM englobe le provisionnement des utilisateurs, l'authentification, l'autorisation, l'authentification unique, la gestion des accès privilégiés et la gouvernance des identités. Dans les environnements cloud, les mauvaises configurations IAM figurent parmi les causes les plus fréquentes d'incidents de sécurité.
J
JSON Web Token (JWT)
Un format de jeton compact et compatible URL utilisé pour transmettre de manière sécurisée des revendications entre parties, couramment pour l'authentification et l'autorisation dans les applications web et les API. Les JWT sont composés d'un en-tête, d'une charge utile et d'une signature. Les problèmes de sécurité courants comprennent les algorithmes de signature faibles (par exemple, accepter none), la force brute de la clé secrète et la validation incorrecte des jetons.
K
Kerberos
Un protocole d'authentification réseau qui utilise la cryptographie à clé symétrique et un tiers de confiance (Centre de distribution de clés) pour authentifier les utilisateurs et les services. Le protocole d'authentification par défaut dans les environnements Active Directory. Les techniques d'attaque courantes comprennent le Kerberoasting (extraction de hachages de tickets de service pour le craquage hors ligne), l'AS-REP roasting et les attaques golden/silver ticket.
Enregistreur de frappe (Keylogger)
Un logiciel malveillant ou un matériel qui enregistre les frappes au clavier sur un système compromis, capturant les mots de passe, les messages et autres saisies sensibles. Les enregistreurs de frappe logiciels peuvent fonctionner au niveau du noyau, au niveau API ou au sein d'applications spécifiques. Les enregistreurs de frappe matériels sont des dispositifs physiques placés entre un clavier et un ordinateur. Généralement délivré comme composant d'infections de logiciels malveillants plus larges.
Chaîne d'élimination (Kill Chain)
Voir Cyber Kill Chain. Le terme est également utilisé de manière générique pour décrire tout modèle séquentiel de phases d'attaque. Perturber tout maillon de la chaîne d'élimination peut empêcher une attaque d'atteindre son objectif. Les stratégies défensives cartographiées sur les étapes de la chaîne d'élimination aident à identifier les lacunes de visibilité et de contrôle.
L
Mouvement latéral (Lateral Movement)
Techniques utilisées par les attaquants pour se déplacer dans un réseau après une compromission initiale, accéder à des systèmes supplémentaires et escalader les privilèges vers leur objectif ultime. Les méthodes courantes comprennent le pass-the-hash, le pass-the-ticket, l'exploitation de services distants, RDP, WMI, PsExec et SSH. La détection du mouvement latéral est un objectif principal de la chasse aux menaces et des solutions EDR/NDR.
Moindre privilège (Least Privilege)
Le principe de sécurité selon lequel les utilisateurs, les processus et les systèmes doivent fonctionner avec le niveau d'accès minimum requis pour accomplir leurs fonctions. L'application du moindre privilège limite le rayon de blast des comptes compromis, réduit le risque de menace interne et est une exigence fondamentale des architectures zero trust et de la plupart des cadres de conformité.
Gestion des journaux (Log Management)
La pratique de collecte, de stockage, d'analyse et de conservation des données de journalisation provenant des systèmes, des applications et des équipements réseau. Une gestion efficace des journaux permet la surveillance de la sécurité, l'investigation des incidents, l'audit de conformité et l'analyse forensique. Les considérations clés incluent les sources de journaux, l'architecture de collecte, les périodes de conservation, la protection de l'intégrité et les capacités de corrélation via SIEM.
Vivre du terrain — LotL (Living off the Land)
Une technique d'attaque où les adversaires utilisent des outils légitimes pré-installés et des fonctionnalités système (PowerShell, WMI, certutil, mshta) plutôt que de déployer des logiciels malveillants personnalisés pour atteindre leurs objectifs. Les techniques LotL sont plus difficiles à détecter car les outils utilisés sont approuvés et attendus dans l'environnement. La détection des attaques LotL nécessite une analyse comportementale et un audit de la ligne de commande plutôt qu'une détection basée sur les signatures.
M
Apprentissage automatique en sécurité (Machine Learning in Security)
L'application d'algorithmes d'apprentissage automatique aux tâches de cybersécurité telles que la détection d'anomalies, la classification des logiciels malveillants, l'analyse du comportement des utilisateurs, la détection de l'hameçonnage et la prédiction des menaces. Les modèles ML peuvent identifier des modèles invisibles pour les systèmes basés sur des règles, mais nécessitent des données d'entraînement de qualité, un réglage minutieux et une supervision humaine pour éviter les faux positifs excessifs et l'évasion adversariale.
Logiciel malveillant (Malware)
Logiciel conçu pour perturber, endommager ou obtenir un accès non autorisé aux systèmes informatiques. Les catégories comprennent les virus, les vers, les chevaux de Troie, les rançongiciels, les logiciels espions, les logiciels publicitaires, les rootkits et les effaceurs. Le terme anglais « malware » est également couramment utilisé. Le malware moderne combine souvent plusieurs capacités et utilise des techniques d'évasion sophistiquées. Les techniques d'analyse sont couvertes en profondeur à la Malware Analysis Academy.
Investigation de la mémoire (Memory Forensics)
L'analyse de la mémoire volatile d'un ordinateur (RAM) pour extraire des artefacts tels que les processus en cours d'exécution, les connexions réseau, les clés de chiffrement, le code injecté et les preuves de rootkits. L'investigation de la mémoire révèle des activités que l'investigation sur disque ne peut pas détecter — y compris les logiciels malveillants sans fichier et les charges utiles uniquement en mémoire. Des outils comme Volatility et Rekall sont standard. Une compétence essentielle enseignée dans la formation à l'analyse de logiciels malveillants.
Homme du milieu — MitM (Man-in-the-Middle)
Une attaque où l'adversaire intercepte secrètement et modifie potentiellement les communications entre deux parties qui croient communiquer directement. Permet l'écoute clandestine, le vol d'identifiants et le détournement de session. Les attaques MitM ciblent les protocoles dépourvus d'authentification mutuelle ou de chiffrement. La validation des certificats TLS et l'épinglage de certificats sont les principales défenses.
MDR (Détection et Réponse Gérées)
Un service de sécurité géré qui fournit des capacités de surveillance continue, de détection des menaces, d'investigation et de réponse assurées par un prestataire externe. Le MDR combine la technologie (EDR, SIEM, NDR) avec l'expertise humaine (analystes de sécurité, chasseurs de menaces) pour détecter et répondre aux menaces que les outils automatisés seuls manqueraient. Particulièrement précieux pour les organisations sans SOC interne opérant 24h/24.
MITRE ATT&CK
Une base de connaissances mondialement accessible des tactiques, techniques et procédures (TTPs) des adversaires, basée sur des observations réelles. Organisée en matrices (Enterprise, Mobile, ICS) avec des tactiques (le « pourquoi ») mappées aux techniques (le « comment »). Utilisée pour la modélisation des menaces, l'ingénierie de détection, la planification des équipes rouges et l'évaluation des lacunes de couverture de sécurité. Le langage commun de facto pour décrire le comportement des adversaires.
Authentification multi-facteurs — MFA (Multi-Factor Authentication)
Une méthode d'authentification nécessitant deux facteurs de vérification indépendants ou plus : quelque chose que vous savez (mot de passe), quelque chose que vous avez (jeton matériel, téléphone) ou quelque chose que vous êtes (biométrie). Le MFA réduit considérablement le risque de compromission de compte liée au vol d'identifiants. Le MFA résistant au hameçonnage (FIDO2/WebAuthn) est la mise en œuvre la plus robuste, car il résiste aux attaques de l'adversaire du milieu.
N
NDR (Détection et Réponse Réseau)
Solutions de sécurité qui surveillent le trafic réseau pour détecter les menaces qui échappent aux contrôles basés sur les postes de travail. Le NDR utilise l'analyse comportementale, l'apprentissage automatique et la détection de signatures pour identifier les modèles de trafic anormaux, les mouvements latéraux, l'exfiltration de données et les communications C2. Fournit une visibilité dans les environnements où les agents de postes de travail ne peuvent pas être déployés (IoT, OT, systèmes legacy).
Directive NIS2
La directive mise à jour de l'UE sur la sécurité des réseaux et des systèmes d'information, élargissant considérablement la portée et les exigences de la directive NIS originale. NIS2 impose des obligations de gestion des risques de cybersécurité aux entités essentielles et importantes, impose la notification des incidents (alerte précoce de 24 heures, notification de 72 heures) et introduit la responsabilité personnelle de la direction. S'applique largement dans des secteurs incluant l'énergie, les transports, la santé, les infrastructures numériques et la gestion des services TIC.
Cadre de cybersécurité NIST (NIST Cybersecurity Framework)
Un cadre volontaire développé par le National Institute of Standards and Technology des États-Unis, fournissant des normes, des directives et des meilleures pratiques pour gérer les risques de cybersécurité. Organisé autour de cinq fonctions principales : Identifier, Protéger, Détecter, Répondre et Récupérer. Largement adopté internationalement comme structure pour construire et évaluer les programmes de sécurité, quelle que soit la juridiction réglementaire.
O
OSINT (Renseignement en sources ouvertes)
Renseignement collecté à partir de sources publiquement disponibles, notamment les sites web, les réseaux sociaux, les registres publics, les données d'enregistrement de domaine, les dépôts de code, les sites de collage et les forums du web sombre. En cybersécurité, l'OSINT est utilisé pour la collecte de renseignements sur les menaces, la découverte de la surface d'attaque, la reconnaissance d'ingénierie sociale et l'investigation des acteurs malveillants. Une compétence essentielle pour les praticiens offensifs et défensifs.
OWASP (Open Web Application Security Project)
Une organisation à but non lucratif produisant des ressources gratuitement disponibles pour la sécurité des applications web. Surtout connue pour le Top 10 OWASP, une liste régulièrement mise à jour des risques de sécurité des applications web les plus critiques. OWASP publie également des guides de test, des aide-mémoires de développement et des outils (ZAP, Dependency-Check) largement utilisés dans les évaluations de sécurité et les programmes de développement sécurisé.
P
Gestion des correctifs (Patch Management)
Le processus d'identification, d'acquisition, de test et de déploiement des mises à jour logicielles (correctifs) pour remédier aux vulnérabilités et corriger les bogues. Une gestion efficace des correctifs équilibre la rapidité (réduction de la fenêtre d'exposition) avec la stabilité (éviter les correctifs qui cassent les fonctionnalités). Les vulnérabilités non corrigées restent l'un des vecteurs d'accès initial les plus courants dans les incidents de sécurité.
Test d'intrusion (Penetration Test)
Une cyberattaque simulée autorisée qui évalue la sécurité d'un système en exploitant activement les vulnérabilités. Contrairement aux évaluations de vulnérabilités, les tests d'intrusion démontrent l'impact réel en enchaînant les vulnérabilités, en escaladant les privilèges et en poursuivant des objectifs spécifiques. Les résultats comprennent des démonstrations de preuve de concept et des recommandations de remédiation classées par risque. Voir notre guide d'évaluation pour les détails sur le cadrage et la préparation.
Persistance (Persistence)
Techniques qu'un attaquant utilise pour maintenir l'accès à un système compromis à travers les redémarrages, les changements d'identifiants et d'autres perturbations. Les mécanismes de persistance courants comprennent les tâches planifiées, les clés de registre de démarrage, les dossiers de démarrage, les abonnements aux événements WMI, le détournement de DLL, les web shells et les comptes de backdoor. L'éradication complète de la persistance est essentielle lors de la réponse aux incidents.
Hameçonnage (Phishing)
Une attaque d'ingénierie sociale qui utilise des communications trompeuses (généralement par e-mail) pour inciter les destinataires à divulguer des identifiants, installer des logiciels malveillants ou effectuer des actions non autorisées. Le terme anglais « phishing » est également couramment utilisé. Les variantes comprennent le harponnage (ciblé), le whaling (ciblant les dirigeants), le smishing (par SMS) et le vishing (par voix). Reste le vecteur d'accès initial le plus courant dans pratiquement tous les paysages de menaces.
Escalade de privilèges (Privilege Escalation)
L'exploitation d'une vulnérabilité, d'un défaut de conception ou d'une erreur de configuration pour obtenir un accès élevé au-delà de ce qui a été initialement autorisé. L'escalade verticale passe d'un compte à faibles privilèges à un compte à privilèges plus élevés (par exemple, utilisateur à administrateur). L'escalade horizontale accède aux ressources d'un autre utilisateur au même niveau de privilège. Une phase standard dans les attaques réelles et les tests d'intrusion.
Équipe violette (Purple Team)
Un exercice de sécurité collaboratif où l'équipe rouge (attaquants) et l'équipe bleue (défenseurs) travaillent ensemble en temps réel. L'équipe rouge exécute des techniques adversariales pendant que l'équipe bleue tente de détecter et de répondre, les deux parties partageant des informations pour améliorer itérativement les capacités défensives. Plus rentable que les engagements rouge/bleu séquentiels pour les organisations axées sur l'amélioration mesurable de la détection. En savoir plus sur nos exercices de formation.
Procédure opérationnelle (Playbook)
Un ensemble documenté et structuré de procédures pour répondre à un type spécifique d'événement ou d'incident de sécurité. Les procédures opérationnelles comprennent généralement des conditions de déclenchement, des étapes d'investigation, des actions de confinement, des exigences de communication et des critères d'escalade. Plus détaillées que les runbooks, elles s'intègrent souvent aux plateformes SOAR pour l'exécution automatisée des flux de travail de réponse définis.
R
Rançongiciel en tant que service — RaaS (Ransomware-as-a-Service)
Un modèle commercial dans lequel des développeurs de rançongiciels concèdent en licence leurs logiciels malveillants et leur infrastructure à des affiliés qui mènent les attaques, partageant les paiements de rançon. Le RaaS a abaissé la barrière d'entrée pour les opérations de rançongiciel, permettant à des acteurs moins qualifiés techniquement de mener des attaques sophistiquées. Les principales opérations RaaS fonctionnent comme des entreprises SaaS légitimes avec support client et programmes d'affiliation.
Rançongiciel (Ransomware)
Logiciel malveillant qui chiffre les fichiers ou les systèmes d'une victime et exige un paiement (généralement en cryptomonnaie) pour la clé de déchiffrement. Le terme anglais « ransomware » est également couramment utilisé. Les opérations modernes de rançongiciel emploient la double extorsion (chiffrement plus vol de données), la triple extorsion (ajout de DDoS ou contact des clients) et fonctionnent comme rançongiciel en tant que service (RaaS). Les incidents de rançongiciel nécessitent une réponse aux incidents spécialisée incluant les considérations de négociation, l'analyse du déchiffrement et le reporting réglementaire.
Reconnaissance
La phase initiale d'une attaque au cours de laquelle l'acteur malveillant recueille des informations sur la cible. La reconnaissance passive (OSINT, recherches DNS, registres publics) ne laisse aucune trace sur la cible. La reconnaissance active (balayage des ports, balayage des vulnérabilités, ingénierie sociale) interagit directement avec les systèmes cibles. Comprendre les techniques de reconnaissance des adversaires aide les défenseurs à minimiser leurs informations exposées et à détecter l'activité pré-attaque.
Équipe rouge (Red Team)
Un groupe de professionnels de la sécurité autorisés à simuler des attaques adversariales réelles contre une organisation en utilisant l'ensemble des tactiques — exploitation technique, ingénierie sociale et accès physique. Contrairement aux tests d'intrusion, les engagements d'équipe rouge testent la résilience organisationnelle de manière holistique, incluant les personnes, les processus et les capacités de détection/réponse, avec une connaissance minimale préalable des défenses.
Remédiation (Remediation)
Le processus de traitement des vulnérabilités ou faiblesses de sécurité identifiées par le biais de correctifs, de changements de configuration, d'améliorations architecturales ou de contrôles compensatoires. Une remédiation efficace va au-delà de l'application de correctifs — elle considère la cause racine, vérifie le correctif et confirme que des capacités de détection existent pour des problèmes similaires. Notre guide d'évaluation couvre la planification de la remédiation en détail.
Évaluation des risques (Risk Assessment)
Un processus systématique d'identification, d'analyse et d'évaluation des risques de cybersécurité pour une organisation. Tient compte de la probabilité et de l'impact des menaces exploitant les vulnérabilités, en prenant en compte les contrôles existants. Les évaluations des risques informent les décisions d'investissement en matière de sécurité, les exigences de conformité et l'appétit pour le risque organisationnel. Requises par NIS2, ISO 27001 et la plupart des cadres réglementaires.
Rootkit
Logiciel malveillant conçu pour fournir un accès persistant et privilégié à un système tout en dissimulant activement sa présence aux outils de détection. Les rootkits peuvent fonctionner au niveau utilisateur, au niveau noyau, au niveau du chargeur d'amorçage (bootkit) ou au niveau du firmware. Les rootkits au niveau du noyau et du firmware sont particulièrement difficiles à détecter et à supprimer, nécessitant souvent des reconstructions complètes du système. L'analyse nécessite des techniques forensiques spécialisées.
Procédure opérationnelle standard (Runbook)
Un ensemble documenté de procédures pour gérer des tâches opérationnelles ou de sécurité spécifiques et récurrentes. Dans les opérations de sécurité, les runbooks fournissent des instructions étape par étape pour répondre aux types d'alertes courants, effectuer des investigations de routine et exécuter des actions de confinement. Les runbooks garantissent la cohérence, réduisent le temps de réponse et permettent aux analystes juniors de gérer des situations qui nécessiteraient autrement une escalade.
S
Bac à sable (Sandbox)
Un environnement isolé utilisé pour exécuter et analyser du code suspect sans risquer l'environnement de production. Les bacs à sable de sécurité font exploser des échantillons de logiciels malveillants potentiels et observent leur comportement — modifications du système de fichiers, communications réseau, modifications du registre et activité des processus. Utilisé dans les pipelines d'analyse automatisée de logiciels malveillants et les flux de travail de rétro-ingénierie manuelle.
SIEM (Gestion des Informations et des Événements de Sécurité)
Une plateforme qui agrège, normalise et corrèle les données d'événements de sécurité provenant de l'ensemble de l'entreprise pour fournir des capacités de surveillance en temps réel, d'alerte et d'investigation. Les SIEM ingèrent des journaux provenant des pare-feux, des EDR, des systèmes d'identité, des plateformes cloud et des applications. Un fonctionnement efficace du SIEM nécessite des règles de détection ajustées, des sources de données maintenues et des analystes qualifiés pour le triage des alertes.
SOAR (Orchestration, Automatisation et Réponse de Sécurité)
Technologie qui permet aux organisations d'automatiser les flux de travail des opérations de sécurité, d'orchestrer des actions sur plusieurs outils de sécurité et de standardiser les procédures de réponse aux incidents via des procédures opérationnelles. Les plateformes SOAR réduisent le temps moyen de réponse (MTTR), minimisent les tâches répétitives des analystes et assurent une exécution cohérente des procédures de réponse entre les incidents.
SOC (Centre des Opérations de Sécurité)
Une fonction centralisée (équipe, processus et technologie) responsable de la surveillance continue, de la détection, de l'analyse et de la réponse aux menaces de cybersécurité. Les SOC fonctionnent sur un modèle à niveaux : Niveau 1 (triage des alertes), Niveau 2 (investigation) et Niveau 3 (chasse aux menaces et analyse avancée). Peut être exploité en interne, externalisé ou dans un modèle hybride.
Ingénierie sociale (Social Engineering)
Techniques de manipulation qui exploitent la psychologie humaine pour inciter les individus à divulguer des informations, accorder l'accès ou effectuer des actions qui compromettent la sécurité. Les techniques comprennent le prétexte, l'appâtage, le do ut des, le talonnage et diverses formes d'hameçonnage. Souvent le vecteur d'attaque le plus efficace car il contourne entièrement les contrôles techniques.
Harponnage (Spear Phishing)
Une attaque d'hameçonnage ciblée dirigée contre un individu ou une organisation spécifique, utilisant des informations personnalisées recueillies lors de la reconnaissance pour augmenter la crédibilité. Les e-mails de harponnage font référence au nom, au rôle, aux projets, aux collègues ou aux activités récentes de la cible. Significativement plus efficace que les campagnes d'hameçonnage en masse et un vecteur d'accès initial principal pour les groupes APT et les opérations BEC.
Injection SQL (SQL Injection)
Une vulnérabilité d'application web qui permet à un attaquant d'injecter des instructions SQL malveillantes dans les requêtes exécutées par la base de données. Peut conduire à un accès non autorisé aux données, à la modification des données, au contournement de l'authentification et, dans certains cas, à l'exécution de commandes sur le serveur de base de données. Prévenu par des requêtes paramétrées, la validation des entrées et des comptes de base de données à moindre privilège. Présent dans l'OWASP Top 10.
Attaque de la chaîne d'approvisionnement (Supply Chain Attack)
Une attaque qui cible une organisation en compromettant un tiers de confiance dans sa chaîne d'approvisionnement — fournisseurs de logiciels, prestataires de services, fabricants de matériel ou dépendances open source. Le composant compromis est ensuite livré à la cible finale via les canaux de distribution normaux. Des exemples notables incluent SolarWinds et Kaseya. La défense contre les attaques de la chaîne d'approvisionnement nécessite la gestion des risques fournisseurs, l'analyse de la composition logicielle et la vérification de l'intégrité.
Cycle de développement sécurisé — SDL (Secure Development Lifecycle)
Un cadre qui intègre des pratiques de sécurité dans chaque phase du développement logiciel — exigences, conception, implémentation, tests, déploiement et maintenance. Les activités SDL comprennent la modélisation des menaces, les normes de codage sécurisé, l'analyse statique et dynamique, la vérification des dépendances et les tests d'intrusion. Déplacer la sécurité vers la gauche réduit le coût et la fréquence des vulnérabilités en production.
Segmentation (Segmentation)
La pratique consistant à diviser un réseau en segments isolés pour limiter le mouvement latéral et contenir le rayon de blast d'une compromission. Les implémentations comprennent les VLAN, les zones de pare-feux, la micro-segmentation (politiques au niveau de l'hôte) et la mise en réseau définie par logiciel. Une segmentation efficace est l'un des contrôles les plus efficaces contre la propagation des rançongiciels et les menaces internes.
T
Exercice de simulation — TTX (Tabletop Exercise)
Un exercice basé sur la discussion qui guide les participants à travers un scénario d'incident de sécurité simulé pour tester et améliorer les plans de réponse aux incidents, les procédures de communication et la prise de décision. Aucun système réel n'est affecté. Les TTX révèlent les lacunes dans les plans, les rôles peu clairs et les pannes de communication dans un environnement à faible risque. La plateforme IR TTX Training de ForgeWork fournit une facilitation d'exercice structurée.
Acteur malveillant (Threat Actor)
Un individu ou un groupe qui mène des cyberattaques. Classifié par motivation et capacité : acteurs étatiques (espionnage, perturbation), cybercriminels (gain financier), hacktivistes (idéologique), menaces internes (motivations variées) et script kiddies (notoriété). Comprendre quels acteurs malveillants sont pertinents pour votre organisation oriente les priorités défensives et la modélisation des menaces.
Chasse aux menaces (Threat Hunting)
La recherche proactive et hypothétique de menaces ayant échappé aux mécanismes de détection existants. Les chasseurs de menaces utilisent la connaissance des TTPs des adversaires, le renseignement sur les menaces et l'analyse des anomalies pour identifier des activités suspectes que les outils automatisés ont manquées. Nécessite l'accès à de riches données de télémétrie (EDR, réseau, journaux), des compétences analytiques et une compréhension du comportement normal versus anormal dans l'environnement.
Renseignement sur les menaces (Threat Intelligence)
Connaissances fondées sur des preuves concernant les menaces existantes ou émergentes, incluant le contexte, les mécanismes, les indicateurs, les implications et les recommandations exploitables. Classifié comme stratégique (tendances de haut niveau pour la direction), tactique (TTPs pour les équipes de sécurité), opérationnel (détails de campagnes spécifiques) et technique (IoC pour les outils de sécurité). Un renseignement sur les menaces efficace est opportun, pertinent et exploitable.
Modélisation des menaces (Threat Modeling)
Un processus structuré d'identification des menaces potentielles, des vulnérabilités et des vecteurs d'attaque pertinents pour un système ou une application lors de la conception ou de la révision. Les méthodologies comprennent STRIDE (Usurpation d'identité, Altération, Répudiation, Divulgation d'informations, Déni de service, Élévation de privilège), PASTA et les arbres d'attaque. La modélisation des menaces aide à prioriser les contrôles de sécurité avant que le code ne soit écrit ou que l'infrastructure ne soit déployée.
TTP (Tactiques, Techniques et Procédures)
Les modèles comportementaux qui décrivent comment les acteurs malveillants mènent des attaques. Les tactiques représentent les objectifs de l'adversaire (par exemple, accès initial, persistance, exfiltration). Les techniques sont les méthodes utilisées pour atteindre ces objectifs. Les procédures sont les détails spécifiques d'implémentation. Les TTPs sont des indicateurs plus durables que les IoC — les attaquants changent fréquemment d'infrastructure mais font évoluer les techniques lentement. MITRE ATT&CK est la taxonomie standard.
V
Vulnérabilité (Vulnerability)
Une faiblesse dans un système, une application, une configuration ou un processus qui pourrait être exploitée par un acteur malveillant pour obtenir un accès non autorisé, escalader les privilèges ou causer des dommages. Les vulnérabilités peuvent être techniques (logiciel non corrigé, mauvaise configuration) ou procédurales (processus faibles, formation insuffisante). Gérées par des programmes de gestion des vulnérabilités comprenant l'analyse, la priorisation, la remédiation et la vérification.
Évaluation des vulnérabilités (Vulnerability Assessment)
Un processus systématique d'identification, de quantification et de priorisation des vulnérabilités dans les systèmes et les applications. Combine le balayage automatisé avec l'analyse manuelle pour valider les résultats, éliminer les faux positifs et évaluer le risque en contexte. Fournit une mesure de référence de la posture de sécurité et une feuille de route de remédiation. Voir notre guide d'évaluation de sécurité pour les conseils de préparation et d'interprétation.
VPN (Réseau Privé Virtuel)
Une technologie qui crée un tunnel chiffré entre l'appareil d'un utilisateur et un réseau, protégeant les données en transit et permettant un accès distant sécurisé aux ressources internes. Les implémentations VPN comprennent IPsec, SSL/TLS (OpenVPN, WireGuard) et des solutions spécifiques aux fournisseurs. Dans les architectures zero trust, les VPN sont de plus en plus remplacés par des proxies sensibles à l'identité et des périmètres définis par logiciel.
W
Attaque par point d'eau (Watering Hole Attack)
Une attaque ciblée qui compromet un site web fréquemment visité par des membres d'une organisation ou d'un secteur spécifique, puis l'utilise pour livrer des logiciels malveillants aux visiteurs. L'attaquant profile les habitudes de navigation du groupe cible, compromet un site de confiance et y intègre du code d'exploit qui cible sélectivement les visiteurs correspondant aux critères souhaités. Difficile à défendre car elle exploite la confiance dans des sites web légitimes.
Pare-feu applicatif web — WAF (Web Application Firewall)
Une solution de sécurité qui surveille, filtre et bloque le trafic HTTP/HTTPS vers et depuis les applications web. Les WAF protègent contre les attaques web courantes, notamment l'injection SQL, le cross-site scripting, l'inclusion de fichiers et la falsification de requêtes. Peut être déployé comme appliance réseau, service cloud ou module hôte. Les WAF complètent mais ne remplacent pas les pratiques de codage sécurisé et les tests de sécurité réguliers.
X
XDR (Détection et Réponse Étendues)
Une plateforme de sécurité qui intègre et corrèle les données provenant de plusieurs couches de sécurité — postes de travail, réseau, cloud, messagerie et identité — pour fournir une détection, investigation et réponse unifiées aux menaces. XDR étend les capacités EDR en brisant les silos de données entre les outils de sécurité, permettant aux analystes de voir la chaîne d'attaque complète plutôt que des alertes isolées de produits individuels.
Z
Vulnérabilité zero-day (Zero-Day)
Une vulnérabilité inconnue du fournisseur ou pour laquelle aucun correctif ou atténuation n'existe. « Zero-day » fait référence au fait que les développeurs ont eu zéro jour pour résoudre le problème. Les exploits zero-day sont très prisés à la fois par les acteurs malveillants et les chercheurs en vulnérabilités légitimes. Se défendre contre les zero-days nécessite une sécurité en couches, une détection comportementale et des capacités de réponse rapide lorsque l'exploitation est détectée.
Architecture zéro confiance (Zero Trust Architecture)
Un modèle de sécurité basé sur le principe « ne jamais faire confiance, toujours vérifier ». La zéro confiance élimine la confiance implicite basée sur l'emplacement réseau et exige plutôt une vérification continue de chaque utilisateur, appareil et connexion tentant d'accéder aux ressources. Les principes fondamentaux comprennent l'accès au moindre privilège, la micro-segmentation, l'authentification forte, la surveillance continue et l'hypothèse de compromission. Représente un changement fondamental par rapport à la sécurité basée sur le périmètre.
Mettre ces connaissances en pratique
Ce glossaire est un point de départ. Pour des approfondissements, explorez notre blog Analyses où nous publions des analyses détaillées des menaces émergentes, des techniques de réponse aux incidents et de la stratégie de sécurité. Si votre équipe a besoin d'une expertise pratique, ForgeWork propose des services de sécurité allant de la réponse aux incidents à l'ingénierie de sécurité.