Ressources
Le lexique de la cybersécurité
Offensif
15 termesBoîte noire / grise / blancheCes trois expressions décrivent le niveau d'information fourni aux testeurs avant un test d'intrusion. En boîte noire (black box), l'équipe part sans connaissance préalable, comme un attaquant externe. En boîte grise (grey box), elle dispose d'informations partielles (un compte utilisateur, une documentation limitée). En boîte blanche (white box), elle a un accès complet : code source, architecture, comptes à privilèges.CVEUne CVE (Common Vulnerabilities and Exposures) est un identifiant unique et public attribué à une vulnérabilité de sécurité connue, au format CVE-AAAA-NNNNN. Le programme, coordonné par MITRE, fournit une référence normalisée pour qu'éditeurs, chercheurs et défenseurs désignent sans ambiguïté la même faille.CVSSLe CVSS (Common Vulnerability Scoring System) est un standard ouvert qui note la gravité technique d'une vulnérabilité sur une échelle de 0 à 10. Il repose sur des groupes de métriques - de base (Base), liées à la menace (Threat) et environnementales (Environmental) - qui décrivent la facilité d'exploitation et l'impact. La version en vigueur est CVSS v4.0, publiée par le FIRST.Élévation de privilègesL'élévation de privilèges (privilege escalation) désigne toute technique permettant à un attaquant d'obtenir des droits supérieurs à ceux dont il disposait initialement. On parle d'élévation verticale (passer d'un compte standard à administrateur ou root) et d'élévation horizontale (accéder aux ressources d'un autre utilisateur de même niveau).ExploitUn exploit est un code, un script ou une technique qui tire parti d'une vulnérabilité pour produire un comportement non prévu : exécuter du code, contourner une authentification, obtenir des privilèges. On distingue le PoC (preuve de concept, qui démontre la faisabilité) de l'exploit armé (weaponized), intégré à une chaîne d'attaque opérationnelle.Ingénierie socialeL'ingénierie sociale (social engineering) désigne l'ensemble des techniques de manipulation qui visent l'humain plutôt que la technique, pour lui faire divulguer une information, cliquer sur un lien ou exécuter une action au bénéfice de l'attaquant. Elle englobe le phishing (hameçonnage), le spear phishing ciblé, le vishing (par téléphone), le smishing (par SMS) et le prétexte (usurpation d'identité).MITRE ATT&CKMITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances publique qui décrit les comportements réels des attaquants, organisés en tactiques (leurs objectifs : accès initial, persistance, exfiltration...) et en techniques (les moyens employés). C'est une taxonomie de référence pour cartographier ce que font les adversaires une fois dans le système.Mouvement latéralLe mouvement latéral (lateral movement) regroupe les techniques par lesquelles un attaquant, une fois un premier point d'accès obtenu, se déplace de machine en machine à l'intérieur du réseau pour atteindre ses cibles. Il s'appuie souvent sur des identifiants volés, des relations de confiance ou des protocoles d'administration légitimes (RDP, SMB, WMI).OSINTL'OSINT (Open Source Intelligence) est le renseignement obtenu à partir de sources ouvertes et accessibles publiquement : sites web, réseaux sociaux, registres d'entreprises, fuites de données, métadonnées de documents, enregistrements DNS. Appliqué à la cybersécurité, il sert à cartographier la surface d'attaque et à profiler une cible avant toute action intrusive.OWASP Top 10L'OWASP Top 10 est un référentiel de sensibilisation, maintenu par la fondation Open Worldwide Application Security Project, qui classe les dix catégories de risques de sécurité les plus critiques pour les applications web. Il regroupe des familles comme le contrôle d'accès défaillant (Broken Access Control), les injections ou les défauts de configuration, et sert de socle commun aux développeurs et aux testeurs.Pentest as a Service (PTaaS)Le Pentest as a Service (PTaaS) est un modèle de délivrance du test d'intrusion combinant expertise humaine et plateforme en ligne. Les résultats sont livrés en continu via un portail, plutôt que dans un rapport PDF ponctuel une fois par an. Il facilite le suivi des vulnérabilités, l'échange direct avec les testeurs et le déclenchement de retests à la demande.Purple TeamLe Purple Team n'est pas une équipe permanente mais une démarche collaborative qui réunit l'équipe offensive (Red) et l'équipe défensive (Blue) autour d'un même objectif : améliorer la détection et la réponse. L'attaquant rejoue des techniques connues pendant que les défenseurs observent, ajustent leurs règles et vérifient en temps réel ce qui est vu ou manqué.Red TeamUne opération Red Team est un exercice offensif furtif qui simule une attaque ciblée et réaliste, orientée vers un objectif précis (exfiltrer une donnée sensible, atteindre un système critique) plutôt que vers un périmètre technique large. Elle combine intrusion technique, ingénierie sociale et parfois intrusion physique, en conditions proches du réel, souvent à l'insu des équipes de défense.Test d'intrusion (pentest)Le test d'intrusion, ou pentest, est une évaluation offensive autorisée d'un système d'information : une équipe d'experts reproduit le mode opératoire d'un attaquant réel pour identifier, exploiter et démontrer l'impact des vulnérabilités d'un périmètre défini (application web, infrastructure interne, cloud, API, environnement industriel). Contrairement à un simple scan automatisé, il combine outillage et expertise humaine pour enchaîner des failles et prouver un scénario de compromission.Vulnérabilité 0-dayUne vulnérabilité 0-day (jour zéro) est une faille inconnue de l'éditeur du logiciel, pour laquelle aucun correctif n'existe encore. Le terme traduit le fait que les défenseurs ont eu "zéro jour" pour se préparer. Un code qui l'exploite avant sa divulgation est appelé exploit 0-day.
Défensif
15 termesBastion / PAM (Privileged Access Management)le PAM est la gestion des accès à privilèges - comptes administrateurs, comptes de service, secrets. Il repose sur un coffre-fort de mots de passe, l'attribution d'accès juste-à-temps (just-in-time) et le moindre privilège. Le bastion (ou serveur de rebond) en est la brique d'accès : il concentre, filtre et enregistre les sessions d'administration, avec traçabilité complète et rotation des identifiants.DLP (Data Loss Prevention)le DLP désigne les technologies qui empêchent la fuite ou l'exfiltration de données sensibles. Par inspection de contenu et classification, il contrôle les données au repos (stockage), en mouvement (réseau, messagerie) et en usage (endpoint), et bloque ou alerte lorsqu'une information protégée quitte un périmètre autorisé - envoi vers un webmail personnel, copie sur clé USB, dépôt dans un service cloud non validé.EASM (surface d'attaque externe)l'EASM (External Attack Surface Management) est la découverte et la surveillance continues, depuis le point de vue d'un attaquant, de tout ce qui expose une organisation sur Internet : domaines et sous-domaines, adresses IP, ports ouverts, services, certificats, actifs cloud, applications oubliées. Il cartographie ce que voit l'extérieur, y compris le shadow IT que la DSI ne recense pas.EDR (Endpoint Detection and Response)l'EDR est une solution installée sur les terminaux (postes, serveurs) qui collecte la télémétrie d'exécution - processus, appels système, connexions réseau, modifications de registre - et détecte les comportements malveillants par analyse comportementale, pas seulement par signature. Il permet aussi de réagir à distance : isoler la machine du réseau, tuer un processus, mettre un fichier en quarantaine.Indicateur de compromission (IOC)un indicateur de compromission est un artefact technique qui trahit une intrusion : empreinte (hash) de fichier malveillant, adresse IP ou domaine de commande et contrôle, URL de phishing, clé de registre, mutex. Les IOC se diffusent dans les outils de détection et se partagent au format STIX. On les distingue des IOA (indicateurs d'attaque), qui décrivent un comportement plutôt qu'un artefact figé.MDR (Managed Detection and Response)le MDR est un service managé qui combine une pile technologique (EDR, XDR, NDR, SIEM) et une équipe d'analystes chargée non seulement de détecter les menaces, mais aussi d'y répondre - isolement d'un poste, blocage d'un compte, endiguement d'une propagation. C'est la distinction clé avec un MSSP classique, qui se limite le plus souvent à remonter des alertes que le client doit traiter lui-même.NDR (Network Detection and Response)le NDR analyse le trafic réseau, notamment les flux internes est-ouest, pour repérer des comportements anormaux : balisage vers un serveur de commande et contrôle (C2), mouvement latéral, exfiltration de données. Il s'appuie sur les métadonnées de flux et l'analyse comportementale, y compris sur du trafic chiffré via des techniques d'analyse sans déchiffrement.Sauvegarde immuableune sauvegarde immuable est une copie de données qui ne peut être ni modifiée ni supprimée pendant une durée définie, y compris par un administrateur. Elle repose sur des mécanismes WORM (write once, read many), du verrouillage d'objet (object lock) ou une isolation physique ou logique (air gap). L'immuabilité garantit qu'une version saine des données subsiste, quoi qu'il arrive au système de production.SIEM (Security Information and Event Management)le SIEM centralise, normalise et corrèle les journaux de l'ensemble du système d'information - pare-feu, serveurs, applications, annuaire, cloud. Il applique des règles de corrélation et, sur les générations récentes, de l'analyse comportementale (UEBA) pour transformer des millions d'événements en un nombre exploitable d'alertes qualifiées. Il assure aussi la conservation des logs à des fins d'investigation et de conformité.SOAR (Security Orchestration, Automation and Response)le SOAR automatise et orchestre les tâches répétitives du SOC via des playbooks : enrichir une alerte avec du contexte de threat intelligence, ouvrir un ticket, isoler un poste, notifier une équipe. Il ajoute une couche de gestion de cas (case management) et connecte, par API, les outils hétérogènes de la chaîne de détection et de réponse.SOC (Security Operations Center)le SOC est la fonction, humaine et technologique, qui centralise la détection, l'analyse et le traitement des événements de sécurité d'une organisation. Il agrège les journaux et la télémétrie via un SIEM, un EDR et une sonde NDR, puis un ou plusieurs niveaux d'analystes (L1 à L3) qualifient les alertes et déclenchent la réponse. Un SOC mature fonctionne en 24/7 et pilote des indicateurs comme le MTTD (délai de détection) et le MTTR (délai de réponse).Threat Huntingle threat hunting est une recherche proactive de menaces qui ont échappé aux détections automatiques. L'analyste part de l'hypothèse qu'un attaquant est peut-être déjà présent (posture « assume breach »), formule une hypothèse fondée sur des TTP connus (souvent cartographiés sur MITRE ATT&CK), puis interroge la télémétrie pour la confirmer ou l'infirmer. C'est une démarche humaine et itérative, distincte de l'alerting.Threat Intelligence (CTI)la Cyber Threat Intelligence est le renseignement sur les menaces : collecte, analyse et diffusion d'informations sur les acteurs, leurs motivations, leurs infrastructures et leurs modes opératoires (TTP). Elle se décline en quatre niveaux - stratégique (tendances, pour la direction), tactique (TTP, cartographiés sur MITRE ATT&CK), opérationnel (campagnes en cours) et technique (IOC exploitables par les outils).XDR (Extended Detection and Response)l'XDR étend la logique de l'EDR au-delà du terminal en corrélant, dans une plateforme unifiée, la télémétrie de plusieurs domaines : endpoints, réseau, identité, messagerie et cloud. L'objectif est de reconstituer automatiquement une chaîne d'attaque complète (un phishing qui aboutit à une compromission de compte puis à un mouvement latéral) plutôt que d'empiler des alertes isolées.Zero Trustle Zero Trust est un modèle d'architecture de sécurité qui abandonne la confiance implicite accordée au réseau interne. Son principe : « ne jamais faire confiance, toujours vérifier ». Chaque accès à une ressource est authentifié, autorisé et vérifié en continu selon l'identité, la posture de l'appareil et le contexte, indépendamment de la position réseau. Le cadre de référence est le NIST SP 800-207 ; ses piliers incluent la microsegmentation et l'accès réseau Zero Trust (ZTNA).
Gouvernance
10 termesAnalyse de risquel'analyse de risque est le processus qui identifie, estime et hiérarchise les risques pesant sur un système d'information, en croisant menaces, vulnérabilités, vraisemblance et gravité des impacts. Dans le vocabulaire ISO 27005, elle constitue le cœur de l'appréciation du risque (identification, analyse, évaluation), étape qui précède le traitement (réduire, transférer, éviter, accepter). Elle produit une cartographie des risques exploitable par la direction.Cartographie du SIla cartographie du système d'information est la représentation structurée des composants du SI et de leurs relations : actifs, applications, flux de données, interconnexions et dépendances. L'ANSSI la décompose en cinq vues complémentaires (écosystème, métier, applicative, administration, infrastructure), du niveau stratégique jusqu'au niveau technique. Elle constitue un inventaire vivant, tenu à jour au fil des projets et des mises hors service, et non un schéma figé oublié dans un partage de fichiers.EBIOS Risk ManagerEBIOS Risk Manager (Expression des Besoins et Identification des Objectifs de Sécurité - Risk Manager) est la méthode française d'appréciation et de traitement du risque numérique publiée par l'ANSSI et le Club EBIOS. Elle se déroule en cinq ateliers : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, puis traitement du risque. Sa logique est orientée menace : on part des sources de risque et de leurs objectifs visés pour construire des scénarios de bout en bout, écosystème inclus.Gestion de crise cyberla gestion de crise cyber est l'organisation et les procédures qui permettent de piloter un incident majeur au niveau décisionnel, au-delà de la seule réponse technique. Elle s'appuie sur une cellule de crise à deux étages (une cellule décisionnelle qui arbitre, une cellule opérationnelle qui exécute), une main courante, un plan de communication interne et externe, et l'activation éventuelle du PCA/PRA. L'ANSSI et le CDSE fournissent des guides dédiés à la crise d'origine cyber.Homologation de sécuritél'homologation de sécurité est la décision formelle par laquelle une autorité d'homologation atteste connaître les risques résiduels d'un système et les accepte, autorisant sa mise en service pour une durée déterminée. Elle repose sur un dossier d'homologation (analyse de risque, mesures en place, plan d'action, avis d'une commission) et engage la responsabilité de l'autorité qui la prononce. Le Référentiel Général de Sécurité (RGS) en encadre la démarche pour les services de l'administration.PCA / PRAle Plan de Continuité d'Activité (PCA) réunit les mesures qui permettent de maintenir les activités essentielles pendant une perturbation majeure ; le Plan de Reprise d'Activité (PRA) décrit, lui, la remise en service des systèmes informatiques après un sinistre. Le PRA est donc le volet technique et informatique du PCA. Les deux s'appuient sur un bilan d'impact sur l'activité (BIA) qui hiérarchise les processus et fixe leurs exigences de disponibilité. La norme ISO 22301 en fournit le cadre de référence.PSSIla Politique de Sécurité des Systèmes d'Information (PSSI) est le document cadre qui formalise les objectifs de sécurité de l'organisation, l'organisation des responsabilités et les règles applicables. Elle se décline ensuite en politiques thématiques et procédures opérationnelles : gestion des accès, mots de passe, sauvegardes, télétravail, gestion des tiers. L'ANSSI propose une méthode et un référentiel de mesures pour l'élaborer.RSSIle Responsable de la Sécurité des Systèmes d'Information (RSSI, en anglais CISO) définit et pilote la stratégie de sécurité de l'organisation. Il conduit l'analyse de risque, élabore la PSSI, arbitre les investissements, coordonne la réponse aux incidents et porte la sensibilisation. Son rattachement conditionne son indépendance : positionné trop bas sous la DSI, il peine à arbitrer entre disponibilité et sécurité. Le RSSI ne doit pas être confondu avec le DPO, dont le rôle porte sur la protection des données personnelles.RTO / RPOle RTO (Recovery Time Objective, durée maximale d'interruption admissible) fixe le délai au bout duquel un service doit être rétabli après un incident. Le RPO (Recovery Point Objective, perte de données maximale admissible) définit la quantité de données que l'on accepte de perdre, exprimée en temps entre le dernier point de restauration exploitable et l'incident. Ces deux objectifs sont établis lors du bilan d'impact sur l'activité et dimensionnent le PRA.SMSIle Système de Management de la Sécurité de l'Information (SMSI, en anglais ISMS) est l'ensemble organisé des politiques, processus, rôles et ressources par lequel une organisation pilote la sécurité de son information dans la durée. Il suit une logique d'amélioration continue (cycle PDCA, ou roue de Deming) et repose sur un périmètre défini, une analyse de risque et une déclaration d'applicabilité qui justifie les mesures retenues. C'est l'objet même de la norme ISO/IEC 27001.
Réglementaire
12 termesAIPDl'analyse d'impact relative à la protection des données (AIPD, ou DPIA en anglais) est l'étude prévue par l'article 35 du RGPD. Elle est obligatoire dès qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. La CNIL publie une liste des types de traitements qui la rendent systématiquement nécessaire.DORADORA (Digital Operational Resilience Act) est le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, applicable depuis le 17 janvier 2025. Il s'adresse aux banques, assurances, entreprises d'investissement, prestataires de services sur crypto-actifs et à leurs prestataires informatiques critiques. Contrairement à une directive, un règlement s'applique directement, sans transposition nationale.ExpertCyberExpertCyber est un label national de reconnaissance délivré par le dispositif Cybermalveillance.gouv.fr (GIP ACYMA), en partenariat avec l'AFNOR. Il atteste de l'expertise de prestataires en sécurité numérique auprès des TPE, PME, collectivités et associations, sur les activités d'assistance, de dépannage et de sécurisation des systèmes, aussi bien avant qu'après un incident.Hébergeur de Données de Santé (HDS)la certification Hébergeur de Données de Santé (HDS) est obligatoire, en France, pour toute entité qui héberge des données de santé à caractère personnel pour le compte de tiers. Elle découle de l'article L.1111-8 du Code de la santé publique et repose sur un référentiel de certification adossé aux normes ISO/IEC 27001 et ISO/IEC 20000-1, complété par des exigences spécifiques au domaine de la santé. La certification est délivrée par un organisme accrédité.IEC 62443IEC 62443 est la série de normes internationales dédiée à la cybersécurité des systèmes d'automatisation et de contrôle industriels (IACS), c'est-à-dire des environnements OT. Issue des travaux ISA-99, elle couvre l'ensemble des parties prenantes : l'exploitant, l'intégrateur et le fabricant de composants. Elle est aujourd'hui la référence mondiale pour sécuriser les usines, les réseaux d'énergie et les infrastructures industrielles.ISO/IEC 27001ISO/IEC 27001 est la norme internationale de référence pour un système de management de la sécurité de l'information (SMSI). Sa version en vigueur est ISO/IEC 27001:2022. C'est la seule norme de la famille 27000 qui soit certifiable : un organisme accrédité (COFRAC en France) atteste que l'organisation pilote sa sécurité de façon structurée et améliorée en continu.ISO/IEC 27002ISO/IEC 27002 est le code de bonnes pratiques qui détaille les mesures de sécurité de l'information. Sa version 2022 sert de guide de mise en œuvre pour l'annexe A d'ISO/IEC 27001. Ce n'est pas une norme certifiable : elle explique comment déployer chaque mesure, là où 27001 fixe les exigences de management.ISO/IEC 27005ISO/IEC 27005 fournit les lignes directrices pour la gestion des risques liés à la sécurité de l'information. Sa version 2022 accompagne la mise en œuvre de l'exigence d'appréciation des risques d'ISO/IEC 27001 (clause 6.1.2). Elle décrit un processus complet : identification, analyse, évaluation et traitement des risques, sans imposer une méthode unique.LPMla Loi de Programmation Militaire, à travers son article 22 (loi n° 2013-1168), a instauré le régime français de sécurité des Opérateurs d'Importance Vitale (OIV). Ces opérateurs, publics ou privés, exploitent des Systèmes d'Information d'Importance Vitale (SIIV) dont l'atteinte porterait un préjudice grave à la Nation. C'est le premier dispositif contraignant de cybersécurité imposé par l'État français à des entreprises.NIS2NIS2 est la directive (UE) 2022/2555 sur la sécurité des réseaux et des systèmes d'information, qui remplace la première directive NIS de 2016. Elle élargit fortement le périmètre des entités régulées et distingue deux statuts : les entités essentielles (EE) et les entités importantes (EI). En France, elle est transposée par la loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, l'ANSSI étant l'autorité nationale compétente.PASSIPASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est une qualification délivrée par l'ANSSI aux prestataires d'audit qui respectent un référentiel d'exigences précis, portant à la fois sur les compétences des auditeurs, la méthodologie et la déontologie. La qualification distingue cinq portées : audit d'architecture, audit de configuration, audit de code source, tests d'intrusion, et audit organisationnel et physique.RGPDle Règlement général sur la protection des données est le règlement (UE) 2016/679, applicable depuis le 25 mai 2018. Il encadre le traitement des données à caractère personnel des résidents de l'Union et confie le contrôle, en France, à la CNIL. Il fixe des principes (licéité, minimisation, limitation des finalités, exactitude, intégrité et confidentialité) et des droits opposables aux organisations.
IA
11 termesAgent IA autonomeUn agent IA autonome est un système bâti autour d'un LLM, capable de planifier et d'exécuter des tâches de bout en bout en enchaînant des appels à des outils (API, navigateur web, système de fichiers, exécution de code) avec un minimum d'intervention humaine. Là où un chatbot répond, un agent agit : il décompose un objectif, choisit ses actions et boucle jusqu'au résultat.AI ActL'AI Act (règlement européen 2024/1689 sur l'intelligence artificielle) est le premier cadre juridique global encadrant l'IA. Il classe les systèmes par niveau de risque : inacceptable (pratiques interdites), élevé (fortement encadré), limité (obligations de transparence) et minimal. Les obligations sont proportionnées au niveau : gestion des risques, qualité des données, documentation technique, supervision humaine, robustesse et cybersécurité.DeepfakeUn deepfake est un contenu synthétique (vidéo, image, voix) généré ou manipulé par des techniques d'IA, généralement des réseaux antagonistes génératifs (GAN) ou des modèles de diffusion, pour faire dire ou faire faire à une personne quelque chose qui n'a jamais eu lieu. La qualité a atteint un seuil où la détection à l'œil ou à l'oreille n'est plus fiable.Empoisonnement de modèle (data poisoning)L'empoisonnement de données (data poisoning) est une attaque qui consiste à corrompre les données d'entraînement d'un modèle pour altérer son comportement. L'attaquant introduit des exemples piégés afin de dégrader la performance globale, de biaiser certaines décisions ou d'implanter une porte dérobée (backdoor) activée par un déclencheur précis. L'attaque peut viser l'entraînement initial comme le réapprentissage continu.ISO/IEC 42001L'ISO/IEC 42001:2023 est la première norme internationale certifiable définissant un système de management de l'intelligence artificielle (AIMS, Artificial Intelligence Management System). Sur le modèle de l'ISO 27001, elle fournit un cadre organisationnel pour développer, déployer et exploiter des systèmes d'IA de manière responsable : politique IA, évaluation d'impact, gestion des risques, cycle de vie des modèles et amélioration continue.LLM (grand modèle de langage)Un LLM (large language model, ou grand modèle de langage) est un réseau de neurones fondé sur l'architecture transformer, entraîné sur d'immenses corpus de texte pour prédire le prochain jeton et générer du langage naturel. GPT, Claude, Llama ou Mistral en sont les représentants connus. Sa sortie est probabiliste, pas déterministe : le modèle produit une réponse plausible, sans garantie d'exactitude, ce qui explique le phénomène d'hallucination.MLSecOpsLe MLSecOps (Machine Learning Security Operations) désigne l'intégration de la sécurité tout au long du cycle de vie des modèles de machine learning, de la collecte des données d'entraînement au déploiement et à la surveillance en production. C'est la transposition des principes DevSecOps au monde de l'IA : automatiser les contrôles de sécurité à chaque étape du pipeline plutôt que de les traiter après coup.OWASP Top 10 LLML'OWASP Top 10 for Large Language Model Applications est un référentiel publié par la fondation OWASP qui recense les dix risques de sécurité les plus critiques des applications reposant sur un LLM. Il couvre notamment l'injection de prompt (LLM01), la divulgation d'informations sensibles, l'empoisonnement des données d'entraînement, le traitement non sécurisé des sorties, la consommation illimitée de ressources et les faiblesses de la chaîne d'approvisionnement des modèles.Prompt injectionL'injection de prompt (prompt injection) est une attaque qui consiste à insérer des instructions malveillantes dans l'entrée d'un LLM pour détourner son comportement du prompt système initial. Elle exploite le fait qu'un modèle ne distingue pas structurellement les instructions de confiance des données non fiables : tout se présente à lui comme du texte. On sépare l'injection directe, où l'utilisateur manipule lui-même le modèle, de l'injection indirecte, où la charge est cachée dans un contenu que le modèle va lire (page web, e-mail, document, ticket).RAG (Retrieval-Augmented Generation)Le RAG (Retrieval-Augmented Generation, ou génération augmentée par récupération) est une architecture qui connecte un LLM à une base de connaissances externe. Avant de répondre, le système recherche les documents pertinents, le plus souvent dans une base vectorielle, et les injecte dans le contexte du modèle. On obtient des réponses ancrées dans des données à jour et propres à l'entreprise, sans avoir à réentraîner le modèle.Shadow AILe shadow AI désigne l'usage d'outils d'intelligence artificielle (ChatGPT, assistants de code, générateurs d'images, extensions IA de navigateur) par les collaborateurs sans validation ni supervision de la DSI ou du RSSI. C'est la déclinaison IA du shadow IT, avec un facteur aggravant : les données saisies dans un service tiers peuvent servir à réentraîner un modèle ou fuiter hors du périmètre de l'entreprise.
Technique
10 termesActive Directory (sécurité)Active Directory (AD) est l'annuaire qui gère l'authentification et les autorisations dans la majorité des systèmes d'information Windows. Il s'articule autour de contrôleurs de domaine, des protocoles Kerberos et NTLM, et des stratégies de groupe (GPO). Entra ID en prolonge le périmètre vers le cloud dans les environnements hybrides.Analyse forensicl'analyse forensic (investigation numérique) consiste à collecter et examiner des preuves techniques - images disque, mémoire vive, journaux, artefacts système - pour reconstituer le déroulé précis d'une attaque : point d'entrée, mouvements, actions menées, données touchées. Elle s'appuie sur une chaîne de conservation rigoureuse qui garantit l'intégrité et la recevabilité des éléments.Chiffrementle chiffrement transforme une donnée lisible en un texte inintelligible sans la clé adéquate. On distingue le chiffrement symétrique (une clé partagée, par exemple AES) et asymétrique (une paire de clés publique et privée, par exemple RSA ou les courbes elliptiques). Il s'applique aux données en transit, typiquement via TLS, et aux données au repos, sur disque ou en base.Cloud (IaaS / PaaS / SaaS)le cloud désigne la fourniture de ressources informatiques à la demande, selon trois modèles de service. En IaaS (Infrastructure-as-a-Service), le fournisseur livre le socle (calcul, stockage, réseau) et le client gère le reste. En PaaS (Platform-as-a-Service), il fournit aussi l'environnement d'exécution. En SaaS (Software-as-a-Service), il opère l'application complète. Chaque modèle redistribue les responsabilités selon le principe de responsabilité partagée.Malwareun malware (logiciel malveillant) est tout code conçu pour nuire à un système ou détourner son fonctionnement. La famille regroupe des catégories distinctes : virus, ver, cheval de Troie, rootkit, spyware, loader, cheval de Troie d'accès distant (RAT) ou wiper. Le ransomware en est une sous-catégorie à visée financière.MFA (authentification multifacteur)l'authentification multifacteur exige au moins deux facteurs de nature différente pour valider une identité : un élément de connaissance (mot de passe), de possession (téléphone, clé physique) ou d'inhérence (biométrie). Les mécanismes vont du code temporaire (TOTP) et de la notification push jusqu'aux standards résistants au phishing FIDO2 / WebAuthn et aux passkeys.Patch managementle patch management (gestion des correctifs) est le processus qui maintient à jour systèmes et applications : inventaire du parc, veille sur les vulnérabilités publiées (CVE), qualification, déploiement des correctifs et vérification de leur application. La priorisation s'appuie sur le score CVSS et, surtout, sur le caractère réellement exploité de la faille.Phishingle phishing (hameçonnage) est une attaque d'ingénierie sociale qui pousse une cible à divulguer des identifiants, ouvrir une pièce jointe piégée ou effectuer un virement, en usurpant une identité de confiance. Il se décline par courriel, par SMS (smishing), par téléphone (vishing), et se sophistique en spear phishing ciblé ou en fraude au président (BEC).Ransomwareun ransomware (ou rançongiciel) est un logiciel malveillant qui chiffre les fichiers d'un système et exige le paiement d'une rançon pour fournir la clé de déchiffrement. La technique correspondante est cataloguée par MITRE ATT&CK sous l'identifiant T1486 (Data Encrypted for Impact). Les groupes actuels pratiquent la double extorsion : ils exfiltrent les données avant de les chiffrer, puis menacent de les publier.Segmentation réseaula segmentation réseau consiste à cloisonner le système d'information en zones distinctes (VLAN, sous-réseaux, périmètres logiques) et à filtrer strictement les flux autorisés entre elles. Poussée à son terme, elle devient de la micro-segmentation et rejoint les principes du Zero Trust, où aucune communication n'est implicitement de confiance.
Du mot à la mission.
Derrière chaque définition, une expertise concrète. Parlons de la vôtre avec un expert senior.