| GLOSSAIRE |
Transcription
| GLOSSAIRE |
| GLOSSAIRE | SECURITE DES SYSTEMES D’INFORMATION A Adware (publiciel) Petit logiciel qui est le plus souvent installé à l’insu de l’internaute lorsque celui-ci installe un autre logiciel. Ce logiciel provoque ensuite l’affichage de liens publicitaires contextuels lorsque certains mots sont présents dans le contenu des sites visités. Anti-spam Logiciel qui permet de se prémunir contre les spams. Installés soit sur les serveurs de messagerie, soit sur le poste de travail de l'utilisateur. Anti-spyware Utilitaire capable de détecter et de désinstaller des spywares. Son fonctionnement est assez similaire à celui d'un antivirus, puisqu'il « scanne » le disque dur d'une machine et, sur la foi d'une base d'empreintes de spywares identifiés, il désinstalle tous ceux qu'il détecte. Anti-virus Logiciel capable de détecter et d'éliminer les virus, ainsi que d'autres codes malveillants (tels que les vers). Ces logiciels ont principalement recours à une base d'empreintes ou signatures de virus connus (qu'il faut donc mettre à jour) qui sert de référence pour détecter les fichiers infectés ; Attaque par déni de service (DoS, Denial of Service) De telles attaques visent à rendre une ou plusieurs applications informatiques inactives ou défaillantes, c'est-à-dire de mettre à mal la disponibilité d'un service. Par la saturation de leurs ressources, sciemment organisée, ces applications sont rendues incapables de répondre aux requêtes légitimes de leurs utilisateurs normaux. Authentification Opération de confirmation de l’identité d’un utilisateur à partir d’au moins un facteur d’authentification supposé détenu ou connu par le seul utilisateur. B C Canular informatique Les canulars informatiques (en anglais « hoax ») sont des messages électroniques émis dans l’intention de saturer les systèmes de messagerie, en incitant leurs destinataires à les rediffuser. Cheval de Troie (trojan horse) Le cheval de Troie (Trojan Horse), est un programme qui, une fois dans votre ordinateur, peut s'introduire dans des fichiers pour les consulter, les modifier, ou les détruire. Il peut demeurer inoffensif, par exemple à l'intérieur d'un jeu, d’une vidéo, d’un fichier audio ou d'un utilitaire, et cela jusqu'à la date programmée de son entrée en action. Chiffrer (encryption) Opération visant à transformer des informations par un procédé cryptographique en vue de les rendre inintelligibles pour des tiers. Classification des informations Opération qui consiste à définir le niveau de sensibilité d’une information selon un ou plusieurs critères de sécurité. La classification s’applique à une donnée, un document, un fichier, un programme, une application, etc. C3 SECRET Toute information dont la divulgation pourrait porter une atteinte grave aux intérêts essentiels du Groupe Société Générale ou de l’une de ses entités, est classifiée C3 SECRET. En pratique, le nombre d’informations classifiées C3 SECRET est extrêmement limité. C2 CONFIDENTIEL1 Toute information qui ne doit être communiquée qu’aux personnes directement concernées (et précisément identifiées) et dont la divulgation non souhaitée pourrait nuire à un projet, une activité ou à une entité du Groupe Société Générale est classifiée C2 CONFIDENTIEL. C1 INTERNE Toute information qui ne doit circuler qu’à l’intérieur du Groupe Société Générale ou d’une de ses entités est classifiée C1 INTERNE. Cette information ne doit être diffusée que dans la limite du besoin d’en connaître. C0 PUBLIC Toute information dont il a été décidé qu’elle peut être rendue publique et dont la divulgation ne porte pas préjudice aux intérêts du Groupe ou d’une de ses entités, est classifiée C0 PUBLIC. Code confidentiel (Mot de passe - Password) Suite de caractères utilisées comme information d’authentification d’un utilisateur afin de lui permettre de se connecter à un système d’information ou à l’une de ses ressources. Le code confidentiel est valide pour une période définie et respecte les consignes de sécurité exigées. Un mot de passe est qualifié de « fort », lorsqu’il est constitué d’une suite d’au moins 8 caractères contenant 3 des 4 types (majuscules, minuscules, chiffres, caractères spéciaux). Code malveillant (malware) Un code ou programme malveillant (malware) est un logiciel développé dans le but de nuire à un système informatique, d'espionner ou de surveiller le comportement d'un utilisateur, comme par exemple un virus ou un spyware. Confidentialité Propriété selon laquelle une information ne peut être divulguée ou rendue accessible à des individus, entités ou processus n’ayant pas à connaître cette information, ou non autorisés. Correspondant de Sécurité des Systèmes d’Information (CSSI) (extrait de la PGSSI) Ils sont désignés au sein des entités de chaque Pôle d’activités, Directions Centrales et Lignes Métiers selon des modalités spécifiques définies par les Responsable Sécurité des Systèmes d’Information (RSSI). Le CSSI-Métier et le CSSI-SI sont des relais et interfaces entre le RSSI et la ligne métier ou l’entité qu’ils représentent. Ils assistent les autorités hiérarchiques pour le suivi de tâches liées à la Sécurité des Systèmes d’Information, coordonnent les missions confiées par leur RSSI et remontent notamment les incidents de sécurité. Le CSSI-Métier et le CSSI-SI sont rattachés fonctionnellement aux RSSI et à ce titre : - définissent des objectifs annuels en matière de déclinaison des Politiques de Sécurité du Groupe ; - reçoivent à titre personnel des objectifs de performance et de comportement ; - assurent le reporting de leur entité en matière de sécurité. D Déni de service (DoS, Denial of Service) Attaque visant à mettre à mal la disponibilité d'un service en rendant une ou plusieurs applications informatiques inactives ou défaillantes. Par la saturation de leurs ressources, sciemment organisée, ces applications sont rendues incapables de répondre aux requêtes légitimes de leurs utilisateurs normaux. Défacement – Défiguration Un défacement, défaçage ou défiguration (defacing en anglais) est un anglicisme désignant la modification non sollicitée de la présentation d'un site web, à la suite du piratage de ce site. Il s'agit donc d'une forme de détournement de site Web par un hacker. Droits d'accès, gestion des droits Autorisation donnée à un utilisateur d’utiliser une ressource (c'est-à-dire une application, des fichiers de données, des moyens informatiques …) selon un mode déterminé (consultation, mise à jour, lancements de traitements…) Disponibilité Propriété d’être accessible et utilisable à la demande d’une personne ou d’une entité autorisée dans les délais impartis ; E Espiogiciel Logiciel espion (espiogiciel ou spyware) est un logiciel malveillant qui infecte un ordinateur dans le but de collecter et de transmettre à des tiers (généralement des annonceurs publicitaires ou des entreprises) des informations sur l’utilisateur et ses habitudes, sans qu’il en ait conscience ou l’ait autorisé. F Faille exploitable, faille de sécurité Une faille de sécurité désigne une faiblesse dans un système, permettant à un attaquant de porter atteinte à la sécurité d'une information ou d'un système d'information. On parle également de vulnérabilité du système informatique. Ces failles de sécurité peuvent résulter d'une erreur de programmation ou d'une faiblesse de conception dans le système. Firewall (pare-feu) Dispositif informatique qui filtre les flux d'informations entre un réseau interne et un réseau externe (Internet) en vue de neutraliser les tentatives d'intrusion en provenance de l'extérieur et de maîtriser les accès vers l'extérieur. G H Habilitation Procédure au cours de laquelle sont déterminées, pour une personne les capacités à avoir accès à des informations ou ressources dans le cadre d'une activité bien définie. Hacker Désigne un pirate informatique "Hacker" est un mot d'origine anglo-américaine, qui signifie littéralement "bidouilleur. Appliqué à l'informatique, un hacker sait où comment bidouiller un programme pour en faire ce qu'il veut. Hameçonnage (phishing en anglais) Apparentés au spam, le spoofing et le phishing sont des pratiques malveillantes destinées à collecter des codes d’accès à des sites bancaires ou de commerce en ligne : Avec le spoofing (ou usurpation d’identité), les fraudeurs se font passer pour une entreprise ou une banque (dans certains cas votre propre banque !), ou encore pour l’une de vos connaissances. Ils vous envoient un e-mail vous conduisant vers un faux site Internet afin de vous induire en erreur. Le faux site Internet vous invite alors à saisir vos codes d’accès : c’est le phishing, une pratique émergente qui permet aux fraudeurs de collecter vos codes pour une utilisation frauduleuse ultérieure de vos comptes. Hoax (canular) Les hoax (mot anglais signifiant canular) sont des messages électroniques émis dans l’intention de saturer les systèmes de messagerie, en incitant leurs destinataires à les rediffuser. I Ingénierie sociale (social engineering) Le terme d'« ingénierie sociale » (en anglais « social engineering ») désigne l'art de manipuler des personnes afin de contourner des dispositifs de sécurité. Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct. L'ingénierie sociale est basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc Intégrité Propriété assurant qu’une information – ou un processus automatisé de traitement de cette information – n'a pas été modifié, altéré ou détruit de façon accidentelle ou non autorisée ; Intrusion Action de s'introduire frauduleusement au sein d'un système ou d'un réseau informatique privatif. Les techniques utilisées peuvent être très variées, allant du simple vol de code confidentiel à l'exploitation de failles critiques de sécurité. Toutes les intrusions ne causent pas de préjudices, mais toutes sont potentiellement très dangereuses. J K Keylogger Dispositif logiciel ou physique (dongle ou câble installé entre le clavier et l’ordinateur) chargé d’enregistrer les touches frappées au clavier, à l’insu de l’utilisateur. Un keylogger peut ainsi enregistrer un identifiant, un code confidentiel, etc. L Logiciel espion (spyware) Logiciel espion (espiogiciel ou spyware) est un logiciel malveillant qui infecte un ordinateur dans le but de collecter et de transmettre à des tiers (généralement des annonceurs publicitaires ou des entreprises) des informations sur l’utilisateur et ses habitudes, sans qu’il en ait conscience ou l’ait autorisé. M Mail-bombing (bombardement de courriels électroniques) Technique d’attaque consistant à envoyer (à l’aide d’un programme automatisé) une avalanche de courriers électroniques sur le compte d'un utilisateur ou sur un serveur pour le saturer, et le rendre ainsi indisponible. Malware (logiciel malveillant) Le terme« Malware » est issu de l’anglais « malicious software », c’est-à-dire « logiciel malicieux ». Le terme « virus » est souvent employé abusivement car les virus ont été historiquement les premiers logiciels malveillants.» Marquage Opération consistant à préciser le niveau de classification d’une information sur son support. Mot de passe (password) Suite de caractères utilisés comme information d’authentification d’un utilisateur afin de lui permettre de se connecter à un système d’information ou à l’une de ses ressources. Le code confidentiel est valide pour une période définie et respecte les consignes de sécurité exigées. Un mot de passe est qualifié de « fort », lorsqu’il est constitué d’une suite d’au moins 8 caractères contenant 3 des 4 types (majuscules, minuscules, chiffres, caractères spéciaux). N O P Password (Code confidentiel - Mot de passe) Suite de caractères utilisés comme information d’authentification d’un utilisateur afin de lui permettre de se connecter à un système d’information ou à l’une de ses ressources. Le code confidentiel est valide pour une période définie et respecte les consignes de sécurité exigées. Un mot de passe est qualifié de « fort », lorsqu’il est constitué d’une suite d’au moins 8 caractères contenant 3 des 4 types (majuscules, minuscules, chiffres, caractères spéciaux). Pare-feu (firewall) Dispositif informatique qui filtre les flux d'informations entre un réseau interne et un réseau externe (Internet) en vue de neutraliser les tentatives d'intrusion en provenance de l'extérieur et de maîtriser les accès vers l'extérieur. Phishing (hameçonnage en français (Extrait du site externe socgen) Apparentés au spam, le spoofing et le phishing sont des pratiques malveillantes destinées à collecter des codes d’accès à des sites bancaires ou de commerce en ligne : Avec le spoofing (ou usurpation d’identité), les fraudeurs se font passer pour une entreprise ou une banque (dans certains cas votre propre banque !), ou encore pour l’une de vos connaissances. Ils vous envoient un e-mail vous conduisant vers un faux site Internet afin de vous induire en erreur. Le faux site Internet vous invite alors à saisir vos codes d’accès : c’est le phishing, une pratique émergente qui permet aux fraudeurs de collecter vos codes pour une utilisation frauduleuse ultérieure de vos comptes. Politique Groupe de Sécurité des Systèmes d''information (PGSSI) (Extrait de la PGSSI) La Sécurité des Systèmes d’Information vise à protéger l’information du Groupe Société Générale et de ses clients, de façon cohérente et de bout en bout sur tous ses supports et vecteurs de transmission, contre tous les risques de perte, de modification non habilitée, d’altération ou de divulgation. Sont ainsi concernés par ce sujet : - les systèmes informatiques qui traitent, exploitent et stockent les informations, ce qui constitue l’essentiel du périmètre, - les documents et archives papier (exemples de la protection des documents C2 et C3 papier dans les armoires fortes, ou encore de la politique « bureau propre »), - les informations échangées oralement (exemple de la confidentialité dans les transports, ou encore des conversations téléphoniques). La PGSSI [Politique Groupe de Sécurité des Systèmes d’Information] décline les orientations du Groupe afin de limiter son exposition aux menaces (erreurs, accidents et malveillances) susceptibles de remettre en cause la disponibilité des informations et systèmes, l’intégrité des données et traitements, la confidentialité des informations et la traçabilité des opérations. Elle décrit la gouvernance relative à la Sécurité des Systèmes d’Information dans le Groupe. La PGSSI s’applique à l’ensemble du Groupe Société Générale. Ses principes doivent être mis en œuvre par chaque personnel (permanent et occasionnel) dans chaque entité détenue totalement ou majoritairement par le Groupe Société Générale. La conformité à ces principes doit être vérifiée dans tous les cas de Joint-Venture auxquelles participent la Société Générale ou l’une de ses filiales Pourriel (Spam) Le terme de spam (ou spamming) désigne tout courrier électronique non sollicité. Le spam est une manœuvre rentable pour les « spammeurs », qui y voient une façon peu coûteuse de prospecter massivement de nouveaux clients. Les spams proposent souvent des arnaques en tous genres : remèdes miracles, moyens de gagner facilement de l’argent, ou encore l’achat de biens de luxe à prix cassés (ex. voitures, montres). Le fait de répondre à ces messages donnerait confirmation de votre adresse e-mail aux spammeurs, ce qui aurait pour effet quasi-instantané de vous envoyer d’autres propositions du même ordre, et de faire éventuellement saturer votre boîte aux lettres électronique. Programme malveillant (malware) Le terme« Malware » est issu de l’anglais « malicious software », c’est-à-dire « logiciel malicieux ». Le terme « virus » est souvent employé abusivement car les virus ont été historiquement les premiers logiciels malveillants.» Publiciel (adware) Petit logiciel qui est le plus souvent installé à l’insu de l’internaute lorsque celui-ci installe un autre logiciel. Ce logiciel provoque ensuite l’affichage de liens publicitaires contextuels lorsque certains mots sont présents dans le contenu des sites visités. Preuve propriété d’être en mesure de prouver qu’une action ou un événement relatif à l’information a eu lieu. Elle est caractérisée par un niveau de qualité de mémorisation des différentes actions liées à l’utilisation des informations manipulées (par exemple, à travers l’existence et l’archivage de « pistes d’audit »). Propriétaire Le propriétaire d’information est une personne ou une entité ayant des responsabilités de création, d’entretien, de mise à jour, de suivi et / ou d’évolution sur tout ou partie d’une information. Il s’agit, plus généralement, soit de l’auteur à l’origine des données, soit de l’entité métier ayant la charge de leur création dans le cadre de l’organisation Groupe. Q R S SI (Système d'information) Ensemble des ressources (personnels, moyens et processus) permettant de recueillir, traiter, conserver et communiquer les informations nécessaires aux finalités et au bon fonctionnement d'une entreprise ou d'un périmètre fonctionnel déterminé. Social engineering (ingénierie sociale) Le terme d'« ingénierie sociale » (en anglais « social engineering ») désigne l'art de manipuler des personnes afin de contourner des dispositifs de sécurité. Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct. L'ingénierie sociale est basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc Spam (pourriel) Le terme de spam (ou spamming) désigne tout courrier électronique non sollicité. Le spam est une manœuvre rentable pour les « spammeurs », qui y voient une façon peu coûteuse de prospecter massivement de nouveaux clients. Les spams proposent souvent des arnaques en tous genres : remèdes miracles, moyens de gagner facilement de l’argent, ou encore l’achat de biens de luxe à prix cassés (ex. voitures, montres). Le fait de répondre à ces messages donnerait confirmation de votre adresse e-mail aux spammeurs, ce qui aurait pour effet quasi-instantané de vous envoyer d’autres propositions du même ordre, et de faire éventuellement saturer votre boîte aux lettres électronique. Spyware (espiogiciel) Un logiciel espion (aussi appelé mouchard ou espiogiciel ; en anglais spyware) est un logiciel malveillant qui s'installe dans un ordinateur dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé, très souvent sans que l'utilisateur en ait connaissance. L'essor de ce type de logiciel est associé à celui d'Internet qui lui sert de moyen de transmission de données. T Trojan horse (ou cheval de Troie) Le cheval de Troie (Trojan Horse), est un programme qui, une fois dans votre ordinateur, peut s'introduire dans des fichiers pour les consulter, les modifier, ou les détruire. Il peut demeurer inoffensif, par exemple à l'intérieur d'un jeu, d’une vidéo, d’un fichier audio ou d'un utilitaire, et cela jusqu'à la date programmée de son entrée en action. U Usurpation d'identité L'usurpation d'identité (improprement qualifiée de vol d’identité) est le fait de prendre délibérément l'identité d'une autre personne vivante, généralement dans le but de réaliser des actions frauduleuses commerciales, civiles ou pénales, comme régulariser sa situation au regard de l'émigration, accéder aux finances de la personne usurpée, ou de commettre en son nom un délit ou un crime, ou d'accéder à des droits de façon indue. Il existe aujourd'hui des usurpations d'identité de personnes morales, c'est-à-dire d'individus qui créent de fausses filiales de sociétés existantes, dans le but de réaliser des escroqueries. Utilisateur Personne physique qui accède de manière logique aux ressources V Ver (worm) Programme autonome et parasite, capable de se reproduire par lui-même et dont le but est d'infecter le plus grand nombre de machines et donc de se propager sur les réseaux (en particulier via les messageries). Quelques exemples de vers sont : Bagle, Code Red, I love you, Nimda, Sasser, NetSky… Un ver est un code malveillant Verrouiller une session Verrouiller une session consiste, lorsque l'on s'absente de son poste de travail, à empêcher qu'une autre personne puisse y travailler : presser simultanément sur les touches [ctrl] [alt] [suppr]. Virus informatique Un virus informatique détruit certains fichiers indispensables ou crée une surcharge de l’ordinateur. De nouveaux types de virus, les vers (ou worms) sont capables de se répliquer à travers les terminaux connectés à un réseau. W Worm (Ver) Programme autonome et parasite, capable de se reproduire par lui-même et dont le but est d'infecter le plus grand nombre de machines et donc de se propager sur les réseaux (en particulier via les messageries). Quelques exemples de vers sont : Bagle, Code Red, I love you, Nimda, Sasser, NetSky… Un ver est un code malveillant X Y Z