Glossaire sur la sécurité des identités

ABCDEFGHIJLMNOPRSTVZ

A

Agrégation

Collecte et regroupement des données d'identité provenant de plusieurs systèmes dans un référentiel central.

Annuaire

Base de données partagée contenant des informations sur les utilisateurs, groupes, périphériques, etc.

Application automatisée des politiques

Mécanismes automatiques garantissant le respect des politiques de sécurité définies par l'organisation.

Assertion

Déclaration d'identité accompagnée d'une preuve (ex. identifiant et mot de passe), utilisée dans les protocoles d'authentification comme SAML.

Attribut

Donnée décrivant une identité numérique (nom, service, téléphone…).

Atténuation du risque

Mesures prises pour réduire la probabilité ou l'impact d'un risque.

Audit

Vérification indépendante des procédures et systèmes pour assurer la conformité et la sécurité.

Audit de cybersécurité

Évaluation de la posture de sécurité d'une organisation.

En savoir plus
Authentification

Processus de vérification de l'identité d'un utilisateur.

Authentification basée sur le risque

Authentification adaptée au niveau de risque estimé.

Authentification multifacteur (MFA)

Authentification nécessitant plusieurs preuves d'identité (ex. mot de passe + empreinte).

En savoir plus
Autorisation

Décision d'accorder ou de refuser l'accès à une ressource selon des règles définies.

B

BYOA (Bring Your Own Application)

Politique permettant l'usage d'applications personnelles sur le lieu de travail.

BYOD (Bring Your Own Device)

Politique autorisant les employés à utiliser leurs propres appareils pour accéder aux systèmes internes.

Biométrie

Caractéristique physique ou comportementale permettant d'identifier ou vérifier une personne.

Brèche de sécurité

Accès non autorisé entraînant la compromission de données ou de systèmes.

Business continuity

Planification visant à maintenir les opérations critiques en cas d'incident majeur.

Bâle II

Réglementation bancaire internationale définissant les exigences minimales de fonds propres.

C

CSV (Comma Separated Values)

Format de fichier permettant de stocker des données tabulaires.

Certifications d'accès

Révision périodique des droits d'accès utilisateurs pour s'assurer qu'ils sont adaptés à la fonction et conformes aux politiques internes (souvent utilisées pour la conformité SOX).

Chiffrement

Processus de transformation des données pour les rendre illisibles sans clé de déchiffrement.

Cloud computing

Fourniture à la demande de ressources informatiques (infrastructure, plateforme ou logiciel) via Internet.

Cloud privé

Cloud dédié à une seule organisation, garantissant la séparation complète des ressources.

Cloud public

Cloud hébergé et géré par un fournisseur externe accessible via Internet.

Compte orphelin

Compte actif associé à un utilisateur parti ou inactif.

Conception de rôles

Définition de rôles et attribution de droits d'accès associés selon les fonctions.

Conformité

Respect de normes, de politiques internes ou de lois externes.

Conformité continue

Maintien automatisé et constant de la conformité aux exigences réglementaires.

Conformité réglementaire

Respect des obligations légales et réglementaires imposées à une organisation.

Constat d'audit

Observation d'un auditeur indiquant qu'un contrôle est inefficace.

Contrôle d'accès

Mécanismes et processus qui permettent d'autoriser ou d'empêcher l'accès à un système ou à une ressource.

Contrôle d'accès basé sur les attributs (ABAC)

Méthode d'autorisation fondée sur les attributs de l'utilisateur (service, localisation, heure, etc.).

En savoir plus
Contrôle d'accès basé sur les rôles (RBAC)

Méthode de gestion des accès selon le rôle et les responsabilités d'un utilisateur.

En savoir plus
Contrôle de détection

Mécanisme permettant d'identifier des événements ou anomalies après leur survenue.

Contrôle préventif

Mécanisme visant à empêcher la survenue d'incidents ou de fraudes.

Contrôles internes

Mécanismes visant à prévenir les fraudes et à protéger les actifs de l'organisation.

Corrélation

Fusion de données d'identité provenant de diverses sources pour créer un profil unique.

Cyberattaque

Intrusion non autorisée dans un système à des fins malveillantes.

En savoir plus
Cyberrisque

Risque résultant d'une compromission des systèmes informatiques.

En savoir plus
Cybersécurité

Protection des systèmes et données contre les menaces numériques.

En savoir plus

D

Dashboard

Outil de visualisation centralisée d'indicateurs et de métriques clés.

Datacenter

Infrastructure hébergeant des serveurs, équipements réseau et systèmes de stockage.

Demande d'accès

Processus permettant de demander, modifier ou supprimer des droits d'accès à une ressource.

Directive NIS2

Loi européenne encadrant la cybersécurité et la gestion des risques au sein de l'UE.

En savoir plus
Droit (entitlement)

Autorisation spécifique accordée à un compte pour accéder à une donnée ou fonction.

Délégation

Transfert temporaire ou permanent du pouvoir de décision à un autre utilisateur.

Déprovisionnement

Suppression d'un compte utilisateur ou de ses accès.

En savoir plus

E

Entitlement creep

Phénomène d'accumulation de droits inutiles par un utilisateur au fil du temps, augmentant les risques.

Escalade (d'approbation)

Alerte ou délégation déclenchée lorsqu'une approbation n'est pas traitée à temps.

F

FISMA

Loi américaine établissant les normes de sécurité de l'information pour les agences fédérales.

FedRAMP

Programme fédéral américain de gestion des risques liés aux services cloud.

En savoir plus
Fédération

Accord entre organisations pour reconnaître mutuellement les authentifications.

G

Gestion des accès

Ensemble des systèmes et processus de contrôle de l'authentification et de l'autorisation des utilisateurs.

Gestion des comptes

Processus de gestion des comptes utilisateurs dans les systèmes connectés (création, suppression, modification).

Gestion des risques

Processus d'identification, d'évaluation et d'atténuation des risques.

Gestion des risques fournisseurs

Identification et suivi des risques liés aux prestataires et partenaires.

Gestion des risques tiers

Supervision et évaluation des risques liés aux partenaires externes.

Gouvernance

Ensemble de règles et pratiques guidant la gestion d'une organisation.

Gouvernance des données

Gestion du cycle de vie des données pour garantir leur qualité, sécurité et conformité.

En savoir plus
Gouvernance des identités

Automatisation et supervision des règles d'accès et de conformité liées aux identités.

Groupe

Ensemble d'utilisateurs partageant des droits communs.

H

HIPAA

Loi américaine sur la confidentialité et la sécurité des données de santé.

Hardware / Infrastructure

Composants physiques nécessaires au fonctionnement des systèmes.

I

IAM (Identity and Access Management)

Ensemble des processus assurant la gestion sécurisée des identités et de leurs droits.

En savoir plus
IDaaS (IAM-as-a-Service)

Solution IAM hébergée dans le cloud et gérée par un fournisseur tiers.

Identifiant unique

Valeur unique attribuée à chaque identité dans un système.

Identité fédérée

Système permettant l'accès sécurisé à des ressources entre organisations partenaires.

En savoir plus
Identité numérique

Représentation numérique d'une personne ou entité.

Infrastructure hybride

Approche combinant ressources informatiques sur site et dans le cloud.

Interface utilisateur

Moyens techniques permettant à l'utilisateur d'interagir avec un système.

J

Journal d'audit

Enregistrement des événements (connexions, modifications, actions) sur un système.

Justificatif d'authentification

Élément permettant de prouver son identité (mot de passe, clé, certificat, jeton, biométrie…).

L

LDAP

Protocole standard d'accès aux services d'annuaires.

M

MAR (Model Audit Rule)

Réglementation américaine imposant des contrôles sur la fiabilité des systèmes financiers.

Machine learning

Sous-domaine de l'intelligence artificielle permettant à un système d'apprendre à partir de données et de détecter des modèles.

En savoir plus
Menace interne

Risque de compromission provenant d'un utilisateur interne.

En savoir plus
Microsegmentation

Division du réseau en zones de sécurité indépendantes.

N

NERC CIP

Cadre de sécurité pour protéger les infrastructures électriques critiques.

NIST Cybersecurity Framework

Cadre défini par le NIST pour renforcer la sécurité des infrastructures essentielles.

En savoir plus

O

OAuth

Norme ouverte d'autorisation permettant un accès délégué sans partage de mot de passe.

OTP (One-Time Password)

Mot de passe temporaire généré pour une seule session.

Offboarding

Processus de suppression d'accès lorsqu'un utilisateur quitte l'organisation.

On-premises

Logiciel installé localement plutôt que dans le cloud.

Onboarding

Processus d'attribution d'accès aux nouveaux utilisateurs.

OpenID / OpenID Connect

Standards ouverts d'authentification fédérée basés sur OAuth 2.0.

P

PCI DSS

Norme visant à renforcer la sécurité des transactions bancaires.

Politique

Règle officielle encadrant les pratiques d'une organisation.

Principe du moindre privilège

Principe de restriction des droits d'accès au strict nécessaire.

Privilèges d'accès

Droits qu'un utilisateur possède sur une ressource (lecture, écriture, suppression, etc.).

Provisioning

Attribution, modification ou suppression automatisée des droits d'accès utilisateurs.

R

Rapprochement

Comparaison périodique des données d'identité entre systèmes pour détecter les écarts.

Ressource

Système, application ou base de données sous gestion d'un outil d'identité.

Risque

Probabilité et impact potentiel d'un événement négatif.

Règles

Ensemble de directives définissant les comportements et décisions autorisés.

Réaffectation

Transfert de responsabilité d'une tâche ou d'une approbation.

Révocation

Suppression d'un droit ou d'un rôle.

Rôle

Regroupement de privilèges permettant à un utilisateur d'accéder à des ressources selon sa fonction.

S

SAML

Standard XML d'échange d'informations d'authentification entre domaines de sécurité.

SIEM

Technologie combinant analyse de journaux et détection d'incidents.

SSO (Single Sign-On)

Connexion unique permettant d'accéder à plusieurs systèmes sans ressaisie de mot de passe.

En savoir plus
SaaS (Software-as-a-Service)

Modèle de distribution où le fournisseur héberge et gère le logiciel via Internet.

Sarbanes-Oxley Act (SOX)

Loi américaine imposant des contrôles internes sur les rapports financiers.

Service account

Compte non nominatif utilisé par une application ou un service pour accéder à des ressources.

Shadow IT

Utilisation d'applications non approuvées par la DSI.

En savoir plus
Solvabilité II

Cadre européen de gestion des risques pour les compagnies d'assurance.

Source faisant autorité

Système qui détient la valeur officielle d'un attribut.

Stratégie de gestion des risques

Cadre organisationnel pour la supervision continue des risques.

Séparation des fonctions (SoD)

Principe visant à empêcher qu'une seule personne ait un contrôle excessif.

En savoir plus

T

Token

Dispositif matériel ou logiciel servant de facteur d'authentification.

Transparence

Accès complet à l'information nécessaire à la responsabilité et à la gouvernance.

V

Violation de sécurité

Accès non autorisé à des données ou systèmes.

Z

Zero trust

Modèle de sécurité imposant une vérification systématique de chaque identité et session, interne ou externe.

En savoir plus