Glossaire GRC
& Cybersécurité

Tout élément ayant de la valeur pour une organisation : données, systèmes, logiciels, personnes, processus. La protection des actifs informationnels est au cœur de toute démarche de sécurité.

Processus d’identification, d’estimation et d’évaluation des risques pesant sur une organisation. Elle permet de prioriser les actions de sécurité en fonction de la probabilité et de l’impact des menaces.

Agence Nationale de la Sécurité des Systèmes d’Information. Autorité nationale française en matière de cybersécurité, elle publie des référentiels, des guides et des qualifications pour aider les organisations à se protéger.

Évaluation formelle visant à vérifier si une organisation respecte les exigences d’un référentiel. L’audit peut être interne ou externe (réalisé par un tiers indépendant).

Représentation visuelle et structurée des risques identifiés, classés selon leur probabilité et leur impact. Elle permet de visualiser rapidement les menaces prioritaires et d’allouer les ressources de sécurité efficacement.

Commission Nationale de l’Informatique et des Libertés. Autorité française de protection des données personnelles. Elle veille au respect du RGPD sur le territoire français et peut prononcer des sanctions.

État dans lequel une organisation respecte les exigences d’un cadre réglementaire, normatif ou contractuel. La conformité n’est pas une fin en soi mais un processus continu d’amélioration.

Ensemble des politiques, procédures, chartes et guides de sécurité d’une organisation. Il constitue la base formelle de la gouvernance SSI et est exigé par la majorité des référentiels (ISO 27001, NIS2…).

Disponibilité, Intégrité, Confidentialité, Preuve. Les quatre critères fondamentaux de sécurité de l’information. Chaque actif est évalué selon ces quatre dimensions pour définir les mesures de protection appropriées.

Digital Operational Resilience Act. Règlement européen applicable aux entités financières. Il impose des exigences strictes en matière de résilience opérationnelle numérique, de gestion des risques ICT et de supervision des prestataires tiers.

Data Protection Impact Assessment. Analyse obligatoire sous RGPD pour tout traitement susceptible d’engendrer un risque élevé. Elle évalue les risques et documente les mesures prises pour les atténuer.

Délégué à la Protection des Données. Rôle prévu par le RGPD, obligatoire pour certaines organisations. Le DPO conseille et contrôle la conformité en matière de protection des données personnelles.

Expression des Besoins et Identification des Objectifs de Sécurité. Méthode française d’analyse des risques cyber développée par l’ANSSI. Elle s’articule en 5 ateliers permettant d’identifier les scénarios de menace les plus réalistes.

Catégories d’organisations définies par NIS2. Les entités essentielles (secteurs critiques) sont soumises à des obligations plus strictes. La distinction détermine le niveau de supervision et les sanctions applicables.

Analyse des écarts entre l’état actuel de sécurité et les exigences d’un référentiel cible. Elle produit un tableau de conformité et un plan d’action priorisé. C’est le point de départ de toute démarche de mise en conformité.

Ensemble des structures, politiques, processus et responsabilités qui encadrent la gestion de la cybersécurité. Une bonne gouvernance garantit que la sécurité est pilotée au niveau stratégique et alignée sur les objectifs métier.

Gouvernance, Risk Management, Compliance. Triptyque fondamental de la cybersécurité organisationnelle : la gouvernance définit les règles, le risk management identifie les menaces, la compliance vérifie le respect des obligations.

Gestion des Identités et des Accès. Ensemble des processus et outils permettant de gérer qui a accès à quoi dans un système d’information. Couvre le cycle de vie des identités et la gestion des droits d’accès.

Conséquence d’un incident de sécurité : perte financière, atteinte à la réputation, interruption d’activité, sanction réglementaire. L’impact combiné à la probabilité permet de calculer le niveau de risque.

Norme internationale de référence pour les Systèmes de Management de la Sécurité de l’Information (SMSI). Elle définit les exigences pour établir, mettre en œuvre, maintenir et améliorer un SMSI. Version en vigueur : ISO 27001:2022.

Norme dédiée à la gestion des risques liés à la sécurité de l’information. Elle fournit un cadre méthodologique pour identifier, analyser et traiter les risques dans le contexte d’un SMSI ISO 27001.

Authentification Multi-Facteurs. Mécanisme qui exige plusieurs preuves d’identité pour accéder à un système. Le MFA réduit considérablement les risques de compromission de compte.

Tout événement potentiel susceptible de causer un préjudice : cyberattaque, erreur humaine, catastrophe naturelle, défaillance technique. Une menace exploite une vulnérabilité pour provoquer un incident.

Base de connaissances mondiale des tactiques, techniques et procédures utilisées par les attaquants. Ce framework permet aux équipes de sécurité de comprendre et d’anticiper les comportements des cybermenaces.

Network and Information Security v2. Directive européenne qui renforce les obligations de cybersécurité pour les secteurs critiques. Elle impose des mesures de gouvernance, gestion des risques, notification d’incidents et sécurité de la chaîne d’approvisionnement.

National Institute of Standards and Technology Cybersecurity Framework. Référentiel organisé en 5 fonctions : Identifier, Protéger, Détecter, Répondre, Récupérer. Utilisé mondialement comme base de maturité cyber.

Gestion des Accès à Privilèges. Dédié aux comptes à hauts privilèges (administrateurs, root). Le PAM encadre, surveille et enregistre les actions des utilisateurs disposant d’accès étendus aux systèmes critiques.

Document formalisant les décisions prises pour chaque risque identifié : accepter, réduire, transférer ou éviter. Il liste les actions correctives, les responsables et les délais.

Politique de Sécurité des Systèmes d’Information. Document de référence qui exprime la vision stratégique de la direction en matière de sécurité. Elle est au sommet de la hiérarchie documentaire SSI.

Estimation de la chance qu’un événement indésirable se produise. Combinée à l’impact, elle permet de calculer le niveau de risque.

Logiciel malveillant qui chiffre les données d’une organisation et exige une rançon. L’une des menaces les plus répandues. La prévention passe par la sauvegarde, la segmentation réseau et la sensibilisation des collaborateurs.

Règlement Général sur la Protection des Données. Encadre la collecte, le traitement et la conservation des données personnelles en Europe. Impose des obligations aux organisations et confère des droits aux personnes concernées.

Niveau de risque qui subsiste après la mise en place des mesures de traitement. Aucune organisation ne peut atteindre un risque nul — l’objectif est de ramener le risque résiduel à un niveau jugé acceptable par la direction.

Responsable de la Sécurité des Systèmes d’Information. Fonction stratégique chargée de définir, mettre en œuvre et piloter la politique de sécurité. Le RSSI est l’interlocuteur clé entre la direction et les équipes techniques.

Description structurée d’un enchaînement d’événements pouvant mener à un incident. Dans EBIOS RM, les scénarios sont déclinés en stratégiques (vision macro) et opérationnels (modes opératoires techniques).

Programme visant à former et informer les collaborateurs sur les bonnes pratiques de sécurité numérique. L’une des mesures les plus efficaces pour réduire les risques liés aux erreurs humaines.

Système de Management de la Sécurité de l’Information. Ensemble cohérent de politiques, processus et contrôles visant à gérer la sécurité de l’information. La norme ISO 27001 définit les exigences pour mettre en place et certifier un SMSI.

Authentification Unique. Mécanisme permettant à un utilisateur de s’authentifier une seule fois pour accéder à plusieurs applications. Le SSO améliore l’expérience utilisateur tout en centralisant la gestion des identités.

Collecte et analyse d’informations sur les cybermenaces actuelles et émergentes. Permet d’anticiper les attaques, de comprendre les TTPs des attaquants et d’adapter les défenses en conséquence.

Modèle de gouvernance : 1ère ligne (opérationnels), 2ème ligne (risk management, conformité, RSSI), 3ème ligne (audit interne). Exigé par NIS2 et préconisé par ISO 27001.

Faiblesse d’un système, d’un processus ou d’une organisation susceptible d’être exploitée par une menace. Les vulnérabilités peuvent être techniques, humaines ou organisationnelles.

Modèle basé sur le principe « ne jamais faire confiance, toujours vérifier ». Exige une vérification systématique de chaque utilisateur, appareil et accès — quel que soit leur emplacement dans le réseau.