| GLOSSAIRE |

| GLOSSAIRE |
SECURITE DES SYSTEMES D’INFORMATION
A
Adware (publiciel)
Petit logiciel qui est le plus souvent installé à l’insu de l’internaute lorsque celui-ci installe un autre logiciel. Ce logiciel
provoque ensuite l’affichage de liens publicitaires contextuels lorsque certains mots sont présents dans le contenu des
sites visités.
Anti-spam
Logiciel qui permet de se prémunir contre les spams. Installés soit sur les serveurs de messagerie, soit sur le poste de
travail de l'utilisateur.
Anti-spyware
Utilitaire capable de détecter et de désinstaller des spywares. Son fonctionnement est assez similaire à celui d'un antivirus, puisqu'il « scanne » le disque dur d'une machine et, sur la foi d'une base d'empreintes de spywares identifiés, il
désinstalle tous ceux qu'il détecte.
Anti-virus
Logiciel capable de détecter et d'éliminer les virus, ainsi que d'autres codes malveillants (tels que les vers). Ces logiciels
ont principalement recours à une base d'empreintes ou signatures de virus connus (qu'il faut donc mettre à jour) qui sert
de référence pour détecter les fichiers infectés ;
Attaque par déni de service (DoS, Denial of Service)
De telles attaques visent à rendre une ou plusieurs applications informatiques inactives ou défaillantes, c'est-à-dire de
mettre à mal la disponibilité d'un service. Par la saturation de leurs ressources, sciemment organisée, ces applications
sont rendues incapables de répondre aux requêtes légitimes de leurs utilisateurs normaux.
Authentification
Opération de confirmation de l’identité d’un utilisateur à partir d’au moins un facteur d’authentification supposé détenu ou
connu par le seul utilisateur.
B
C
Canular informatique
Les canulars informatiques (en anglais « hoax ») sont des messages électroniques émis dans l’intention de saturer les
systèmes de messagerie, en incitant leurs destinataires à les rediffuser.
Cheval de Troie (trojan horse)
Le cheval de Troie (Trojan Horse), est un programme qui, une fois dans votre ordinateur, peut s'introduire dans des
fichiers pour les consulter, les modifier, ou les détruire. Il peut demeurer inoffensif, par exemple à l'intérieur d'un jeu,
d’une vidéo, d’un fichier audio ou d'un utilitaire, et cela jusqu'à la date programmée de son entrée en action.
Chiffrer (encryption)
Opération visant à transformer des informations par un procédé cryptographique en vue de les rendre inintelligibles pour
des tiers.
Classification des informations
Opération qui consiste à définir le niveau de sensibilité d’une information selon un ou plusieurs critères de sécurité. La
classification s’applique à une donnée, un document, un fichier, un programme, une application, etc.
C3 SECRET
Toute information dont la divulgation pourrait porter une atteinte grave aux intérêts essentiels du Groupe Société
Générale ou de l’une de ses entités, est classifiée C3 SECRET.
En pratique, le nombre d’informations classifiées C3 SECRET est extrêmement limité.
C2 CONFIDENTIEL1
Toute information qui ne doit être communiquée qu’aux personnes directement concernées (et précisément
identifiées) et dont la divulgation non souhaitée pourrait nuire à un projet, une activité ou à une entité du Groupe
Société Générale est classifiée C2 CONFIDENTIEL.
C1 INTERNE
Toute information qui ne doit circuler qu’à l’intérieur du Groupe Société Générale ou d’une de ses entités est
classifiée C1 INTERNE. Cette information ne doit être diffusée que dans la limite du besoin d’en connaître.
C0 PUBLIC
Toute information dont il a été décidé qu’elle peut être rendue publique et dont la divulgation ne porte pas préjudice
aux intérêts du Groupe ou d’une de ses entités, est classifiée C0 PUBLIC.
Code confidentiel (Mot de passe - Password)
Suite de caractères utilisées comme information d’authentification d’un utilisateur afin de lui permettre de se connecter à
un système d’information ou à l’une de ses ressources. Le code confidentiel est valide pour une période définie et
respecte les consignes de sécurité exigées.
Un mot de passe est qualifié de « fort », lorsqu’il est constitué d’une suite d’au moins 8 caractères contenant 3 des 4
types (majuscules, minuscules, chiffres, caractères spéciaux).
Code malveillant (malware)
Un code ou programme malveillant (malware) est un logiciel développé dans le but de nuire à un système informatique,
d'espionner ou de surveiller le comportement d'un utilisateur, comme par exemple un virus ou un spyware.
Confidentialité
Propriété selon laquelle une information ne peut être divulguée ou rendue accessible à des individus, entités ou
processus n’ayant pas à connaître cette information, ou non autorisés.
Correspondant de Sécurité des Systèmes d’Information (CSSI) (extrait de la PGSSI)
Ils sont désignés au sein des entités de chaque Pôle d’activités, Directions Centrales et Lignes Métiers selon des
modalités spécifiques définies par les Responsable Sécurité des Systèmes d’Information (RSSI).
Le CSSI-Métier et le CSSI-SI sont des relais et interfaces entre le RSSI et la ligne métier ou l’entité qu’ils représentent.
Ils assistent les autorités hiérarchiques pour le suivi de tâches liées à la Sécurité des Systèmes d’Information,
coordonnent les missions confiées par leur RSSI et remontent notamment les incidents de sécurité.
Le CSSI-Métier et le CSSI-SI sont rattachés fonctionnellement aux RSSI et à ce titre :
- définissent des objectifs annuels en matière de déclinaison des Politiques de Sécurité du Groupe ;
- reçoivent à titre personnel des objectifs de performance et de comportement ;
- assurent le reporting de leur entité en matière de sécurité.
D
Déni de service (DoS, Denial of Service)
Attaque visant à mettre à mal la disponibilité d'un service en rendant une ou plusieurs applications informatiques inactives
ou défaillantes. Par la saturation de leurs ressources, sciemment organisée, ces applications sont rendues incapables de
répondre aux requêtes légitimes de leurs utilisateurs normaux.
Défacement – Défiguration
Un défacement, défaçage ou défiguration (defacing en anglais) est un anglicisme désignant la modification non sollicitée
de la présentation d'un site web, à la suite du piratage de ce site. Il s'agit donc d'une forme de détournement de site Web
par un hacker.
Droits d'accès, gestion des droits
Autorisation donnée à un utilisateur d’utiliser une ressource (c'est-à-dire une application, des fichiers de données, des
moyens informatiques …) selon un mode déterminé (consultation, mise à jour, lancements de traitements…)
Disponibilité
Propriété d’être accessible et utilisable à la demande d’une personne ou d’une entité autorisée dans les délais impartis ;
E
Espiogiciel
Logiciel espion (espiogiciel ou spyware) est un logiciel malveillant qui infecte un ordinateur dans le but de collecter et de
transmettre à des tiers (généralement des annonceurs publicitaires ou des entreprises) des informations sur l’utilisateur et
ses habitudes, sans qu’il en ait conscience ou l’ait autorisé.
F
Faille exploitable, faille de sécurité
Une faille de sécurité désigne une faiblesse dans un système, permettant à un attaquant de porter atteinte à la sécurité
d'une information ou d'un système d'information. On parle également de vulnérabilité du système informatique. Ces failles
de sécurité peuvent résulter d'une erreur de programmation ou d'une faiblesse de conception dans le système.
Firewall (pare-feu)
Dispositif informatique qui filtre les flux d'informations entre un réseau interne et un réseau externe (Internet) en vue de
neutraliser les tentatives d'intrusion en provenance de l'extérieur et de maîtriser les accès vers l'extérieur.
G
H
Habilitation
Procédure au cours de laquelle sont déterminées, pour une personne les capacités à avoir accès à des informations ou
ressources dans le cadre d'une activité bien définie.
Hacker
Désigne un pirate informatique "Hacker" est un mot d'origine anglo-américaine, qui signifie littéralement "bidouilleur.
Appliqué à l'informatique, un hacker sait où comment bidouiller un programme pour en faire ce qu'il veut.
Hameçonnage (phishing en anglais)
Apparentés au spam, le spoofing et le phishing sont des pratiques malveillantes destinées à collecter des codes d’accès
à des sites bancaires ou de commerce en ligne :
Avec le spoofing (ou usurpation d’identité), les fraudeurs se font passer pour une entreprise ou une banque (dans
certains cas votre propre banque !), ou encore pour l’une de vos connaissances. Ils vous envoient un e-mail vous
conduisant vers un faux site Internet afin de vous induire en erreur.
Le faux site Internet vous invite alors à saisir vos codes d’accès : c’est le phishing, une pratique émergente qui permet
aux fraudeurs de collecter vos codes pour une utilisation frauduleuse ultérieure de vos comptes.
Hoax (canular)
Les hoax (mot anglais signifiant canular) sont des messages électroniques émis dans l’intention de saturer les systèmes
de messagerie, en incitant leurs destinataires à les rediffuser.
I
Ingénierie sociale (social engineering)
Le terme d'« ingénierie sociale » (en anglais « social engineering ») désigne l'art de manipuler des personnes afin de
contourner des dispositifs de sécurité. Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des
utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct.
L'ingénierie sociale est basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs en se
faisant passer pour une personne de la maison, un technicien, un administrateur, etc
Intégrité
Propriété assurant qu’une information – ou un processus automatisé de traitement de cette information – n'a pas été
modifié, altéré ou détruit de façon accidentelle ou non autorisée ;
Intrusion
Action de s'introduire frauduleusement au sein d'un système ou d'un réseau informatique privatif. Les techniques utilisées
peuvent être très variées, allant du simple vol de code confidentiel à l'exploitation de failles critiques de sécurité. Toutes
les intrusions ne causent pas de préjudices, mais toutes sont potentiellement très dangereuses.
J
K
Keylogger
Dispositif logiciel ou physique (dongle ou câble installé entre le clavier et l’ordinateur) chargé d’enregistrer les touches
frappées au clavier, à l’insu de l’utilisateur. Un keylogger peut ainsi enregistrer un identifiant, un code confidentiel, etc.
L
Logiciel espion (spyware)
Logiciel espion (espiogiciel ou spyware) est un logiciel malveillant qui infecte un ordinateur dans le but de collecter et de
transmettre à des tiers (généralement des annonceurs publicitaires ou des entreprises) des informations sur l’utilisateur et
ses habitudes, sans qu’il en ait conscience ou l’ait autorisé.
M
Mail-bombing (bombardement de courriels électroniques)
Technique d’attaque consistant à envoyer (à l’aide d’un programme automatisé) une avalanche de courriers
électroniques sur le compte d'un utilisateur ou sur un serveur pour le saturer, et le rendre ainsi indisponible.
Malware (logiciel malveillant)
Le terme« Malware » est issu de l’anglais « malicious software », c’est-à-dire « logiciel malicieux ».
Le terme « virus » est souvent employé abusivement car les virus ont été historiquement les premiers logiciels
malveillants.»
Marquage
Opération consistant à préciser le niveau de classification d’une information sur son support.
Mot de passe (password)
Suite de caractères utilisés comme information d’authentification d’un utilisateur afin de lui permettre de se connecter à
un système d’information ou à l’une de ses ressources. Le code confidentiel est valide pour une période définie et
respecte les consignes de sécurité exigées.
Un mot de passe est qualifié de « fort », lorsqu’il est constitué d’une suite d’au moins 8 caractères contenant 3 des 4
types (majuscules, minuscules, chiffres, caractères spéciaux).
N
O
P
Password (Code confidentiel - Mot de passe)
Suite de caractères utilisés comme information d’authentification d’un utilisateur afin de lui permettre de se connecter à
un système d’information ou à l’une de ses ressources. Le code confidentiel est valide pour une période définie et
respecte les consignes de sécurité exigées.
Un mot de passe est qualifié de « fort », lorsqu’il est constitué d’une suite d’au moins 8 caractères contenant 3 des 4
types (majuscules, minuscules, chiffres, caractères spéciaux).
Pare-feu (firewall)
Dispositif informatique qui filtre les flux d'informations entre un réseau interne et un réseau externe (Internet) en vue de
neutraliser les tentatives d'intrusion en provenance de l'extérieur et de maîtriser les accès vers l'extérieur.
Phishing (hameçonnage en français (Extrait du site externe socgen)
Apparentés au spam, le spoofing et le phishing sont des pratiques malveillantes destinées à collecter des codes d’accès
à des sites bancaires ou de commerce en ligne :
Avec le spoofing (ou usurpation d’identité), les fraudeurs se font passer pour une entreprise ou une banque (dans
certains cas votre propre banque !), ou encore pour l’une de vos connaissances. Ils vous envoient un e-mail vous
conduisant vers un faux site Internet afin de vous induire en erreur.
Le faux site Internet vous invite alors à saisir vos codes d’accès : c’est le phishing, une pratique émergente qui permet
aux fraudeurs de collecter vos codes pour une utilisation frauduleuse ultérieure de vos comptes.
Politique Groupe de Sécurité des Systèmes d''information (PGSSI) (Extrait de la PGSSI)
La Sécurité des Systèmes d’Information vise à protéger l’information du Groupe Société Générale et de ses clients, de
façon cohérente et de bout en bout sur tous ses supports et vecteurs de transmission, contre tous les risques de perte,
de modification non habilitée, d’altération ou de divulgation.
Sont ainsi concernés par ce sujet :
- les systèmes informatiques qui traitent, exploitent et stockent les informations, ce qui constitue l’essentiel du périmètre,
- les documents et archives papier (exemples de la protection des documents C2 et C3 papier dans les armoires fortes,
ou encore de la politique « bureau propre »),
- les informations échangées oralement (exemple de la confidentialité dans les transports, ou encore des conversations
téléphoniques).
La PGSSI [Politique Groupe de Sécurité des Systèmes d’Information] décline les orientations du Groupe afin de limiter
son exposition aux menaces (erreurs, accidents et malveillances) susceptibles de remettre en cause la disponibilité des
informations et systèmes, l’intégrité des données et traitements, la confidentialité des informations et la traçabilité des
opérations. Elle décrit la gouvernance relative à la Sécurité des Systèmes d’Information dans le Groupe.
La PGSSI s’applique à l’ensemble du Groupe Société Générale.
Ses principes doivent être mis en œuvre par chaque personnel (permanent et occasionnel) dans chaque entité détenue
totalement ou majoritairement par le Groupe Société Générale. La conformité à ces principes doit être vérifiée dans tous
les cas de Joint-Venture auxquelles participent la Société Générale ou l’une de ses filiales
Pourriel (Spam)
Le terme de spam (ou spamming) désigne tout courrier électronique non sollicité.
Le spam est une manœuvre rentable pour les « spammeurs », qui y voient une façon peu coûteuse de prospecter
massivement de nouveaux clients.
Les spams proposent souvent des arnaques en tous genres : remèdes miracles, moyens de gagner facilement de
l’argent, ou encore l’achat de biens de luxe à prix cassés (ex. voitures, montres).
Le fait de répondre à ces messages donnerait confirmation de votre adresse e-mail aux spammeurs, ce qui aurait pour
effet quasi-instantané de vous envoyer d’autres propositions du même ordre, et de faire éventuellement saturer votre
boîte aux lettres électronique.
Programme malveillant (malware)
Le terme« Malware » est issu de l’anglais « malicious software », c’est-à-dire « logiciel malicieux ».
Le terme « virus » est souvent employé abusivement car les virus ont été historiquement les premiers logiciels
malveillants.»
Publiciel (adware)
Petit logiciel qui est le plus souvent installé à l’insu de l’internaute lorsque celui-ci installe un autre logiciel. Ce logiciel
provoque ensuite l’affichage de liens publicitaires contextuels lorsque certains mots sont présents dans le contenu des
sites visités.
Preuve
propriété d’être en mesure de prouver qu’une action ou un événement relatif à l’information a eu lieu. Elle est
caractérisée par un niveau de qualité de mémorisation des différentes actions liées à l’utilisation des informations
manipulées (par exemple, à travers l’existence et l’archivage de « pistes d’audit »).
Propriétaire
Le propriétaire d’information est une personne ou une entité ayant des responsabilités de création, d’entretien, de mise à
jour, de suivi et / ou d’évolution sur tout ou partie d’une information. Il s’agit, plus généralement, soit de l’auteur à l’origine
des données, soit de l’entité métier ayant la charge de leur création dans le cadre de l’organisation Groupe.
Q
R
S
SI (Système d'information)
Ensemble des ressources (personnels, moyens et processus) permettant de recueillir, traiter, conserver et communiquer
les informations nécessaires aux finalités et au bon fonctionnement d'une entreprise ou d'un périmètre fonctionnel
déterminé.
Social engineering (ingénierie sociale)
Le terme d'« ingénierie sociale » (en anglais « social engineering ») désigne l'art de manipuler des personnes afin de
contourner des dispositifs de sécurité. Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des
utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct.
L'ingénierie sociale est basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs en se
faisant passer pour une personne de la maison, un technicien, un administrateur, etc
Spam (pourriel)
Le terme de spam (ou spamming) désigne tout courrier électronique non sollicité.
Le spam est une manœuvre rentable pour les « spammeurs », qui y voient une façon peu coûteuse de prospecter
massivement de nouveaux clients.
Les spams proposent souvent des arnaques en tous genres : remèdes miracles, moyens de gagner facilement de
l’argent, ou encore l’achat de biens de luxe à prix cassés (ex. voitures, montres).
Le fait de répondre à ces messages donnerait confirmation de votre adresse e-mail aux spammeurs, ce qui aurait pour
effet quasi-instantané de vous envoyer d’autres propositions du même ordre, et de faire éventuellement saturer votre
boîte aux lettres électronique.
Spyware (espiogiciel)
Un logiciel espion (aussi appelé mouchard ou espiogiciel ; en anglais spyware) est un logiciel malveillant qui s'installe
dans un ordinateur dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé,
très souvent sans que l'utilisateur en ait connaissance. L'essor de ce type de logiciel est associé à celui d'Internet qui lui
sert de moyen de transmission de données.
T
Trojan horse (ou cheval de Troie)
Le cheval de Troie (Trojan Horse), est un programme qui, une fois dans votre ordinateur, peut s'introduire dans des
fichiers pour les consulter, les modifier, ou les détruire. Il peut demeurer inoffensif, par exemple à l'intérieur d'un jeu,
d’une vidéo, d’un fichier audio ou d'un utilitaire, et cela jusqu'à la date programmée de son entrée en action.
U
Usurpation d'identité
L'usurpation d'identité (improprement qualifiée de vol d’identité) est le fait de prendre délibérément l'identité d'une autre
personne vivante, généralement dans le but de réaliser des actions frauduleuses commerciales, civiles ou pénales,
comme régulariser sa situation au regard de l'émigration, accéder aux finances de la personne usurpée, ou de commettre
en son nom un délit ou un crime, ou d'accéder à des droits de façon indue.
Il existe aujourd'hui des usurpations d'identité de personnes morales, c'est-à-dire d'individus qui créent de fausses filiales
de sociétés existantes, dans le but de réaliser des escroqueries.
Utilisateur
Personne physique qui accède de manière logique aux ressources
V
Ver (worm)
Programme autonome et parasite, capable de se reproduire par lui-même et dont le but est d'infecter le plus grand
nombre de machines et donc de se propager sur les réseaux (en particulier via les messageries). Quelques exemples de
vers sont : Bagle, Code Red, I love you, Nimda, Sasser, NetSky… Un ver est un code malveillant
Verrouiller une session
Verrouiller une session consiste, lorsque l'on s'absente de son poste de travail, à empêcher qu'une autre personne
puisse y travailler : presser simultanément sur les touches [ctrl] [alt] [suppr].
Virus informatique
Un virus informatique détruit certains fichiers indispensables ou crée une surcharge de l’ordinateur. De nouveaux types
de virus, les vers (ou worms) sont capables de se répliquer à travers les terminaux connectés à un réseau.
W
Worm (Ver)
Programme autonome et parasite, capable de se reproduire par lui-même et dont le but est d'infecter le plus grand
nombre de machines et donc de se propager sur les réseaux (en particulier via les messageries). Quelques exemples de
vers sont : Bagle, Code Red, I love you, Nimda, Sasser, NetSky… Un ver est un code malveillant
X
Y
Z