Vocabulaire et Définition
| Vocabulaire | Définition |
|---|---|
| ANSSI | Agence Nationale de Sécurité des SI |
| BLACK HAT | Représente un type de hacker. Un Hacker au chapeau noir est un cybercriminel avec des intentions illégales, un pirate informatique qui cherche à nuire à l’entreprise avec des objectifs financiers, vols de données ou de destruction. |
| BOITE BLANCHE | Méthode définissant l’approche en boite blanche qui consiste à se mettre dans la peau d’un attaquant externe, interne mais avec tous les accès, les documentations, les sources nécessaires |
| BOITE GRISE | Méthode définissant l’approche en boite grise qui consiste à se mettre dans la peau d’un attaquant externe et interne avec des accès légitimes |
| BOITE NOIRE | Méthode définissant l’approche en boite noire qui consiste à se mettre dans la peau d’un attaquant externe uniquement avec peu d’information |
| CODE D’EXPLOITATION | Outils informatiques créés dans le but de pénétrer, d’exécuter, de détruire, d’exfiltrer, etc.. Un réseau, un système ou une application dans le but de les compromettre et d’exploiter les vulnérabilités |
| COMPROMISSION | L’action de compromettre un réseau, un système ou une application pour le rendre vulnérable aux attaques. |
| CVE | Common Vulnerabilities and Exposures ou CVE est un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité. |
| DoS | C’est un type d’attaque. L’attaque en déni de service (DoS) vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé |
| DSC | Document de Cadrage Signé |
| GREY HAT | Représente un type de hacker. Un hacker au chapeau gris est plus motivé pour défendre des causes, ses opinions, mais ses attaques peuvent être contestables et illégitimes. |
| HACKER | Personne malveillante attaquant un réseau, un système ou une application dans le but de nuire |
| HACKER ETHIQUE | Personne bienveillante réalisant des attaques sur un réseau, un système ou une application à la demande du commanditaire, dans le but de mieux la protéger |
| OIV | Un opérateur d’importance vitale (OIV) est, en France, une organisation identifiée par l’État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population. |
| PENTEST | Mot anglais pour signifier tests d’intrusion. PENTESTER désigne celui qui les réalise. |
| PHISHING | L’hameçonnage ou phishing est une forme d’escroquerie sur internet. Le fraudeur se fait passer pour un organisme que vous connaissez (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme. |
| POC | Preuve démontrant le résultat d’un test ou d’une vulnérabilité (Prouf Of Concept en anglais) |
| RAPPORT | Document de synthèse élaboré par l’équipe en charge du test d’intrusion et remis au commanditaire. Il présente les résultats et en particulier les vulnérabilités découvertes ainsi que les mesures correctives proposées par ordre de priorité et de criticité. |
| SENSIBILISATION | Action de former ou de sensibiliser les personnes aux bonnes pratiques cybersécurité pour mieux les protéger |
| TEST D’INTRUSION | Le principe du test d’intrusion est de découvrir des vulnérabilités sur le système d’information audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système d’information, à la place d’un attaquant potentiel. Ces tests peuvent être réalisés soit depuis l’extérieur du système d’information (notamment depuis Internet ou le réseau interconnecté d’un tiers), soit depuis l’intérieur. Un test d’intrusion seul n’a pas vocation à être exhaustif. Il s’agit d’une activité qui doit être effectuée régulièrement et en complément d’autres activités d’audit afin d’en améliorer l’efficacité ou de démontrer la faisabilité de l’exploitation des failles et vulnérabilités découvertes à des fins de sensibilisation. Les tests de vulnérabilité, notamment automatisés, ne représentent pas à eux seuls une activité d’audit au sens large du référentiel de l’ANSSI |
| TIJ | Temps Imparti en Jour : nombre de jours choisi par le commanditaire pour réaliser l’ensemble des tests d’intrusion sur son périmètre. Ce nombre de jours défini la facturation de la prestation complète. |
| VECTEURS D’INFECTION | Un vecteur désigne en informatique le moyen utilisé par du code malveillant, tel qu’un virus ou un vers, pour se propager d’ordinateur à ordinateur afin de les infecter. |
| VULNÉRABILITÉS | Faiblesse d’un système informatique se traduisant par une incapacité partielle de celui-ci à faire face aux attaques ou aux intrusions informatiques. |
| WHITE HAT | Représente un type de hacker. Un hacker au chapeau blanc est un Hacker Éthique. Son seul et unique objectif est de défendre les futures victimes en se mettant dans la peau d’un attaquant malveillant |
