Explorer par catégorie.
Les fiches du glossaire sont regroupées par grands thèmes pour une navigation cohérente : attaques, malwares, défense, identité, architecture, réglementation.
Attaque
Les techniques utilisées par les attaquants pour compromettre vos systèmes et vos collaborateurs.
Phishing
Technique frauduleuse pour soutirer identifiants et données.
Lire la fiche AttaqueSpear phishing
Phishing ciblé et personnalisé après recherche préalable.
Lire la fiche AttaqueWhaling
Spear phishing ciblant spécifiquement les dirigeants.
Lire la fiche AttaqueSmishing
Phishing par SMS — fausse livraison, faux Ameli, faux impôts.
Lire la fiche AttaqueVishing
Phishing par appel téléphonique — faux conseiller bancaire.
Lire la fiche AttaqueFraude au président
Arnaque visant à obtenir un virement urgent et confidentiel.
Lire la fiche AttaqueBEC
Business Email Compromise — attaques email ciblant les entreprises.
Lire la fiche AttaqueIngénierie sociale
Manipulation psychologique pour obtenir un accès ou une action.
Lire la fiche AttaqueSupply chain attack
Attaque via un fournisseur ou composant tiers de confiance.
Lire la fiche AttaqueSpoofing
Usurpation d'identité technique — email, téléphone, IP, DNS.
Lire la fiche AttaqueTyposquatting
Enregistrement de domaines proches d'une marque pour tromper les utilisateurs.
Lire la fiche AttaqueSIM swap
Détournement de votre numéro mobile pour contourner la MFA par SMS.
Lire la fiche AttaqueInjection SQL
Injection de code SQL dans les requêtes web — MOVEit 2023, TalkTalk, Heartland.
Lire la fiche AttaqueXSS
Cross-Site Scripting — injection JavaScript qui pirate le navigateur des victimes.
Lire la fiche AttaqueCSRF
Cross-Site Request Forgery — force un utilisateur authentifié à agir à son insu.
Lire la fiche AttaqueMITM
Man-in-the-Middle — interception de communications, AitM moderne contourne la MFA.
Lire la fiche AttaqueSSRF
Server-Side Request Forgery — OWASP A10, critique cloud (Capital One 2019, 106M dossiers).
Lire la fiche AttaqueIDOR
Faille d'autorisation donnant accès aux ressources d'autres utilisateurs — OWASP A01.
Lire la fiche AttaqueBrute force
Attaque testant massivement mots de passe ou clés — credential stuffing, password spraying.
Lire la fiche AttaqueUsurpation d'identité
Usage frauduleux de l'identité d'autrui — arnaques, chantage, impacts bancaires.
Lire la fiche AttaquePiratage informatique
Terme générique — accès non autorisé à systèmes, comptes, réseaux.
Lire la fiche AttaqueArnaque en ligne
Escroquerie numérique — faux site, arnaque sentimentale, sextorsion, crypto.
Lire la fiche AttaqueZero-day
Vulnérabilité inconnue de l'éditeur, exploitée avant correctif.
Lire la fiche AttaqueCredential stuffing
Réutilisation massive d'identifiants volés contre d'autres services.
Lire la fiche AttaqueC2
Serveur de commande et contrôle qui pilote les implants et bots.
Lire la fiche AttaquePretexting
Manipulation par scénario crédible pour obtenir information ou accès.
Lire la fiche AttaqueQuishing
Phishing par QR code — vecteur en forte croissance.
Lire la fiche AttaqueDDoS
Attaque qui sature un service avec un volume massif de trafic distribué.
Lire la fiche AttaqueDoS
Déni de service mono-source — saturation ou exploitation d'une vulnérabilité.
Lire la ficheMalware
Les logiciels malveillants : ransomwares, chevaux de Troie, infostealers, botnets.
Malware
Terme générique pour tout logiciel malveillant.
Lire la fiche MalwareCheval de Troie
Malware déguisé en logiciel légitime — vecteur n°1 des infections modernes.
Lire la fiche MalwareSpyware
Logiciel espion qui collecte secrètement des données — keylogger, infostealer, Pegasus.
Lire la fiche MalwareVer informatique
Malware autonome qui se propage via le réseau — WannaCry, Conficker, Stuxnet.
Lire la fiche MalwareRansomware
Logiciel malveillant qui chiffre vos fichiers et exige une rançon.
Lire la fiche MalwareBotnet
Réseau d'appareils compromis piloté à distance par un attaquant.
Lire la ficheDéfense
Les outils, équipes et méthodes pour détecter et bloquer les attaques.
EDR
Antivirus nouvelle génération avec analyse comportementale.
Lire la fiche DéfenseAPI security
Sécurité des interfaces de programmation — OWASP API Top 10, BOLA.
Lire la fiche DéfenseAntivirus
Logiciel qui détecte et bloque les malwares sur un appareil — base de la protection endpoint.
Lire la fiche DéfensePare-feu
Dispositif qui filtre le trafic réseau selon des règles — firewall, NGFW.
Lire la fiche DéfenseVPN
Tunnel chiffré pour protéger les communications et accéder à un réseau distant.
Lire la fiche DéfenseHSM
Module matériel de sécurité — coffre-fort physique pour clés cryptographiques.
Lire la fiche DéfenseKMS
Gestion centralisée du cycle de vie des clés cryptographiques.
Lire la fiche DéfenseWAF
Web Application Firewall — pare-feu applicatif pour sites web et API.
Lire la fiche DéfenseCaptcha
Test automatique qui distingue humain et robot pour protéger les formulaires web.
Lire la fiche DéfenseCookies
Petits fichiers déposés par les sites web — RGPD, tracking, vol de session.
Lire la fiche DéfenseCNAPP
Plateforme unifiée de protection des applications cloud-natives — CSPM, CWPP, CIEM.
Lire la fiche DéfenseCIEM
Gestion des identités et droits d'accès dans les environnements cloud.
Lire la fiche DéfenseCSPM
Analyse continue des configurations cloud pour détecter les misconfigurations.
Lire la fiche DéfenseCWPP
Protection des workloads cloud — VMs, containers, serverless.
Lire la fiche DéfenseEASM
Cartographie continue de la surface d'attaque externe exposée sur Internet.
Lire la fiche DéfenseXDR
Détection et réponse étendues sur endpoints, réseau, cloud et identité.
Lire la fiche DéfenseOWASP
Fondation AppSec de référence — Top 10 OWASP, ASVS, ZAP, standards mondiaux.
Lire la fiche DéfenseHTTPS
Version sécurisée de HTTP via TLS — cadenas du navigateur, standard universel du web.
Lire la fiche DéfenseTLS/SSL
Protocole cryptographique qui chiffre Internet — TLS 1.3, certificats X.509, base de HTTPS.
Lire la fiche DéfenseMITRE ATT&CK
Framework TTP mondial — tactiques et techniques d'attaquants, référentiel SOC/CTI/EDR.
Lire la fiche DéfenseSyslog
Protocole standard de journalisation — fondation des SIEM et de la centralisation des logs.
Lire la fiche DéfenseMDR
Service externalisé de détection et réponse aux menaces, 24/7.
Lire la fiche DéfenseSIEM
Plateforme centralisée de collecte et corrélation des logs de sécurité.
Lire la fiche DéfenseSOC
Centre des opérations de sécurité — la tour de contrôle cyber.
Lire la fiche DéfenseForensic
Investigation numérique — collecte et analyse des preuves après incident.
Lire la fiche DéfenseSandbox
Environnement isolé d'exécution pour analyser les fichiers suspects.
Lire la fiche DéfenseSBOM
Inventaire logiciel des composants — Software Bill of Materials.
Lire la fiche DéfenseSOAR
Orchestration et automatisation des opérations de sécurité.
Lire la fiche DéfenseDevSecOps
Intégration de la sécurité dans le cycle DevOps — shift-left, CI/CD.
Lire la fiche DéfenseCSIRT
Équipe de réponse aux incidents de cybersécurité.
Lire la fiche DéfenseCVE, CVSS, EPSS
Référentiels d'identification, gravité et probabilité d'exploitation.
Lire la fiche DéfenseHoneypot
Système leurre conçu pour attirer et observer les attaquants.
Lire la fiche DéfenseWi-Fi WPA3
Sécurité Wi-Fi moderne (WPA3, WPA2) — bonnes pratiques routeur, faux hotspots.
Lire la ficheIdentité
La gestion des accès, des mots de passe et des authentifications.
Mot de passe
Authentification historique — longueur sur complexité, gestionnaire, MFA, transition passkeys.
Lire la fiche IdentitéMFA
Authentification à plusieurs facteurs — mot de passe + code.
Lire la fiche IdentitéPasskey
Clé cryptographique qui remplace mot de passe et MFA.
Lire la fiche IdentitéFIDO2
Standard d'authentification sans mot de passe résistant au phishing.
Lire la fiche IdentitéSSO
Authentification unique qui donne accès à toutes vos applications.
Lire la fiche IdentitéIAM
Gestion des identités et des accès — fondation de la sécurité moderne.
Lire la fiche IdentitéPAM
Gestion des comptes à privilèges avec coffre, bastion et JIT.
Lire la fiche IdentitéGestionnaire de mots de passe
Coffre-fort chiffré pour stocker des mots de passe uniques par service.
Lire la ficheLes protocoles de sécurité email : SPF, DKIM, DMARC, BIMI, MTA-STS.
SPF
Liste des serveurs autorisés à envoyer au nom de votre domaine.
Lire la fiche EmailDKIM
Signature cryptographique des emails garantissant leur intégrité.
Lire la fiche EmailDMARC
Protocole qui empêche l'usurpation de votre domaine email.
Lire la fiche EmailBIMI
Affichage du logo de marque dans les emails authentifiés.
Lire la fiche EmailMTA-STS
Forcer le TLS entre serveurs de messagerie.
Lire la ficheArchitecture
Les modèles structurants de sécurité : zero trust, SASE, micro-segmentation.
Zero Trust
Ne jamais faire confiance par défaut, toujours vérifier.
Lire la fiche ArchitectureZTNA
Accès distant granulaire qui remplace le VPN par une logique Zero Trust.
Lire la fiche ArchitectureSASE
Architecture cloud convergée réseau + sécurité.
Lire la fiche ArchitectureMicro-segmentation
Isolation fine des charges de travail contre la propagation latérale.
Lire la ficheRenseignement
Le renseignement cyber — OSINT, threat intelligence, reconnaissance.
OSINT
Collecte de renseignements à partir de sources publiques.
Lire la fiche RenseignementDark web
Partie d'Internet accessible via Tor — marchés de données volées, leak sites ransomware.
Lire la fiche RenseignementThreat Intelligence
Renseignement sur les menaces — IOC, TTP, MITRE ATT&CK.
Lire la ficheMenace IA
Les menaces amplifiées par l'intelligence artificielle — deepfakes, clones vocaux.
Prompt injection
Détournement des instructions d'un LLM — OWASP LLM01, faille structurelle de l'IA générative.
Lire la fiche Menace IADeepfake
Contenu audio, vidéo ou image généré par IA pour imiter une personne.
Lire la fiche Menace IAJailbreak LLM
Contournement des garde-fous d'une IA conversationnelle — OWASP LLM01.
Lire la ficheRéglementation
Les cadres légaux et normatifs : NIS2, DORA, RGPD, référentiels ANSSI.
SOC 2
Rapport d'audit américain (AICPA) sur les contrôles Trust Services.
Lire la fiche RéglementationISO 27001
Norme internationale de management de la sécurité de l'information.
Lire la fiche RéglementationPCI DSS
Standard de sécurité des données de cartes bancaires — 12 exigences.
Lire la fiche RéglementationSecNumCloud
Référentiel ANSSI du cloud de confiance français avec souveraineté.
Lire la fiche RéglementationNIS2
Directive européenne de cybersécurité pour 15 000 entités FR.
Lire la fiche RéglementationRGPD
Règlement européen de protection des données personnelles.
Lire la fiche RéglementationDORA
Règlement européen sur la résilience opérationnelle du secteur financier.
Lire la fiche RéglementationCNIL
Autorité française de protection des données personnelles.
Lire la fiche RéglementationCRA
Cyber Resilience Act — règlement européen sur la sécurité des produits.
Lire la fiche RéglementationHDS
Certification française obligatoire pour les hébergeurs de données de santé.
Lire la ficheGouvernance
Les cadres de pilotage et de résilience : PRA, cyber-assurance, gestion de crise.
ANSSI
Agence nationale française de cybersécurité — référentiels, SecNumCloud, NIS2.
Lire la fiche GouvernanceEBIOS RM
Méthode française d'analyse des risques cyber publiée par l'ANSSI — 5 ateliers.
Lire la fiche GouvernancePASSI
Qualification ANSSI des cabinets d'audit et pentest — ~40 prestataires en France.
Lire la fiche GouvernanceCLUSIF
Association historique française cyber depuis 1984 — panorama annuel cybercriminalité.
Lire la fiche GouvernanceCESIN
Club français des RSSI d'entreprises utilisatrices — baromètre annuel cybersécurité.
Lire la fiche GouvernanceBYOD
Appareils personnels utilisés pour le travail — enjeux sécurité et RGPD.
Lire la fiche GouvernanceShadow IT
Apps et services SaaS non validés par la DSI — 60-80% des apps modernes en entreprise.
Lire la fiche GouvernanceCybermalveillance
Dispositif public français d'aide aux victimes — diagnostic, ExpertCyber, Cybermoi/s.
Lire la fiche GouvernanceHexatrust
Association des éditeurs français cyber — souveraineté, cloud de confiance, export.
Lire la fiche GouvernancePRA
Plan de reprise d'activité — restauration IT après incident majeur.
Lire la fiche GouvernanceCyber-assurance
Contrat qui couvre les conséquences financières d'un incident cyber.
Lire la fiche GouvernanceTHESEE
Pré-plainte en ligne française pour escroqueries numériques — depuis 2022.
Lire la fiche GouvernancePHAROS
Plateforme de signalement des contenus illicites en ligne — OCLCTIC depuis 2009.
Lire la fiche GouvernanceCampus Cyber
Lieu totem de l'écosystème cyber français à La Défense — 200+ acteurs depuis 2022.
Lire la fiche GouvernanceCEFCYS
Cercle des femmes de la cybersécurité — association mixité fondée en 2016.
Lire la ficheMétiers
Les métiers de la cybersécurité : RSSI, pentester, chercheur en vulnérabilités.
Pentester
Testeur d'intrusion — simule des attaques dans un cadre légal.
Lire la fiche MétiersSOC analyst
Analyste de sécurité opérationnelle qui surveille et traite les incidents.
Lire la fiche MétiersRSSI / CISO
Responsable de la sécurité des systèmes d'information d'une organisation.
Lire la fiche MétiersBug bounty
Programme de recherche de vulnérabilités rémunérée par des chercheurs externes.
Lire la fiche