Glossaire Security+ SY0-701
Plus de 150 termes clés. Utilisez la recherche ou les filtres alphabétiques.
A
AAAAuthentication, Authorization, AccountingTriple processus d'accès : authentifier l'identité, autoriser les ressources, journaliser les actions.
AESAdvanced Encryption StandardStandard de chiffrement symétrique (blocs 128 bits, clés 128/192/256 bits). Remplace DES. Utilisé dans TLS, Wi-Fi, disque.
ALEAnnualized Loss ExpectancyPerte financière annuelle attendue = SLE × ARO. Base de l'analyse quantitative des risques.
APTAdvanced Persistent ThreatAttaquant sophistiqué (souvent étatique) qui infiltre un réseau et y reste longtemps discrètement pour exfiltrer des données.
AROAnnualized Rate of OccurrenceFréquence annuelle estimée d'un incident. 0.1 = une fois tous les 10 ans. Composante du calcul ALE.
Authentification multifacteurMulti-Factor Authentication (MFA)Utilisation de 2+ facteurs différents : quelque chose que vous savez (PIN), possédez (token), êtes (biométrie).
Autorité de certificationCertificate Authority (CA)Tiers de confiance qui émet et signe les certificats numériques X.509. Ex: DigiCert, Let's Encrypt.
B
BCPBusiness Continuity PlanPlan pour maintenir les opérations essentielles en cas de perturbation majeure (catastrophe, panne, incident).
BIABusiness Impact AnalysisAnalyse identifiant les fonctions critiques et l'impact financier de leur interruption. Première étape du BCP.
BitLockerBitLocker Drive EncryptionFonctionnalité Windows de chiffrement intégral du disque. Utilise AES, s'intègre avec TPM. Récupération via clé sur 48 chiffres.
BluesnarfingBluesnarfingAccès non autorisé aux données d'un appareil via Bluetooth (contacts, calendrier). Différent de Bluejacking (envoi de messages seulement).
BotnetBotnet (robot network)Réseau de machines infectées (zombies) contrôlées par un C2 (Command and Control). Utilisées pour DDoS, spam, fraude au clic.
Buffer OverflowBuffer OverflowVulnérabilité causée par l'écriture de données au-delà des limites d'un buffer mémoire. Peut permettre l'exécution de code arbitraire.
BYODBring Your Own DevicePolitique permettant aux employés d'utiliser leurs appareils personnels pour le travail. Risques : perte de contrôle, fuite de données.
C
CASBCloud Access Security BrokerProxy entre les utilisateurs et les services cloud pour appliquer les politiques de sécurité, DLP, authentification.
Certificate PinningCertificate PinningMécanisme où une app n'accepte qu'un certificat ou clé publique spécifique, résistant aux CAs compromises.
CIAConfidentiality, Integrity, AvailabilityLa triade fondamentale de la sécurité informatique. Confidentialité, Intégrité, Disponibilité.
CMDBConfiguration Management DatabaseBase de données des actifs IT et de leurs relations/configurations. Outil central pour le change management.
CRLCertificate Revocation ListListe publiée par une CA des certificats révoqués avant expiration. Alternative plus lente qu'OCSP.
CSRCertificate Signing RequestFichier contenant la clé publique et informations du demandeur, soumis à la CA pour obtenir un certificat.
CVECommon Vulnerabilities and ExposuresIdentifiant unique standardisé pour chaque vulnérabilité connue. Format CVE-ANNÉE-NUMÉRO (ex: CVE-2021-44228).
CVSSCommon Vulnerability Scoring SystemScore de sévérité 0-10 : 0=None, 0.1-3.9=Low, 4-6.9=Medium, 7-8.9=High, 9-10=Critical.
D
DACDiscretionary Access ControlModèle d'accès où le propriétaire du fichier décide qui peut y accéder (NTFS, chmod Linux).
DDoSDistributed Denial of ServiceAttaque de déni de service distribué utilisant un botnet. Saturerait les ressources d'une cible par le volume.
DLPData Loss PreventionOutils qui détectent et empêchent la fuite de données sensibles (email, USB, cloud upload).
DMZDemilitarized ZoneZone réseau intermédiaire entre internet et le réseau interne, pour les serveurs accessibles publiquement.
DKIMDomainKeys Identified MailSignature cryptographique des emails avec la clé privée du domaine. Permet de vérifier l'authenticité de l'expéditeur.
DMARCDomain-based Message AuthenticationPolitique qui combine SPF et DKIM pour gérer les emails qui échouent la vérification (rejeter, mettre en quarantaine).
E
ECCElliptic Curve CryptographyCryptographie asymétrique sur courbes elliptiques. 256 bits ECC ≈ 3072 bits RSA. Idéal pour mobile/IoT.
EDREndpoint Detection and ResponseSolution de sécurité des endpoints qui détecte, investigue et répond aux menaces avancées. Télémétrie continue.
Evil TwinEvil Twin APPoint d'accès Wi-Fi malveillant imitant un AP légitime. Permet des attaques man-in-the-middle sur les connexions Wi-Fi.
F
Facteur d'expositionExposure Factor (EF)Pourcentage de la valeur d'un actif qui sera perdu lors d'un incident. EF 100% = perte totale.
FIMFile Integrity MonitoringSurveillance des fichiers système via comparaison de hashes. Détecte rootkits et modifications non autorisées (Tripwire, AIDE).
Forward SecrecyPerfect Forward Secrecy (PFS)Utilisation de clés de session éphémères (DHE/ECDHE). Compromission future de la clé privée ne compromet pas les sessions passées.
G
GDPRGeneral Data Protection RegulationRéglementation UE sur la protection des données personnelles. 72h notification, droit à l'effacement, amendes jusqu'à 4% du CA.
H
HachageHashingFonction unidirectionnelle transformant des données en empreinte de taille fixe. MD5 (cassé), SHA-256 (recommandé), SHA-3.
HIPAAHealth Insurance Portability and Accountability ActLoi US protégeant les données de santé (PHI). Amendes jusqu'à 1,9M$/an par catégorie de violation.
HMACHash-based Message Authentication CodeHash + clé secrète partagée. Assure intégrité ET authenticité (pas confidentialité). Utilisé dans JWT, TLS, IPsec.
HoneypotHoneypotSystème leurre pour attirer et détecter les attaquants. Low/High interaction. Honeynet = réseau de honeypots.
HSMHardware Security ModuleDispositif physique résistant aux altérations pour stocker et gérer les clés cryptographiques. FIPS 140-2/3.
I
IDSIntrusion Detection SystemDétecte les intrusions mais ne bloque pas (passif, out-of-band). NIDS (réseau) ou HIDS (hôte).
IPSIntrusion Prevention SystemDétecte ET bloque les intrusions (actif, inline). Peut causer des faux positifs bloquant le trafic légitime.
IOCIndicator of CompromisePreuve d'une compromission : hash malware, IP C2, domaine malveillant, clé registre. Partagés via STIX/TAXII.
IPsecInternet Protocol SecuritySuite de protocoles pour sécuriser IP. Modes : Transport (payload seul) et Tunnel (paquet entier). Protocoles AH (intégrité) et ESP (chiffrement).
J
JITJust-In-Time accessAccès accordé temporairement quand nécessaire puis révoqué. Fonctionnalité PAM clé pour les comptes privilégiés.
K
KerberosKerberosProtocole d'authentification SSO utilisant des tickets. Port 88/UDP. KDC émet TGT, TGT échangé contre TGS pour chaque service.
L
LDAPLightweight Directory Access ProtocolProtocole d'accès aux annuaires (Active Directory). Port 389 (non chiffré), 636 (LDAPS/TLS).
Log SyslogSyslogStandard de journalisation. Niveaux 0 (Emergency) à 7 (Debug). 0-3 = critiques. Port UDP 514, TCP/TLS 6514.
M
MACMandatory Access ControlContrôle d'accès basé sur des labels de sécurité imposés par le système. Bell-LaPadula : no read up, no write down. SELinux.
MDMMobile Device ManagementGestion centralisée des appareils mobiles : politique, chiffrement, remote wipe, geofencing.
MTBFMean Time Between FailuresTemps moyen entre deux pannes d'un équipement. Indicateur de fiabilité. Ex: disque MTBF 500 000h.
MTTRMean Time To RepairTemps moyen de réparation d'un équipement défaillant. Indicateur opérationnel.
N
NACNetwork Access ControlContrôle d'accès réseau basé sur la conformité des appareils (antivirus à jour, patches, MDM). Remédiation VLAN pour les non-conformes.
NGFWNext Generation FirewallPare-feu avec inspection applicative couche 7, identification des utilisateurs, IPS intégré, inspection TLS.
NIST CSFNIST Cybersecurity FrameworkFramework en 5 fonctions : Identifier, Protéger, Détecter, Répondre, Récupérer. CSF 2.0 ajoute Gouverner.
NDANon-Disclosure AgreementAccord de confidentialité légalement contraignant. Protège les informations partagées avec des tiers.
O
OAuth 2.0Open AuthorizationFramework d'autorisation (pas authentification). Permet à une app d'accéder à des ressources au nom d'un utilisateur. Tokens d'accès.
OCSPOnline Certificate Status ProtocolVérification en temps réel du statut d'un certificat. Plus efficace que CRL. OCSP Stapling = serveur inclut la réponse dans TLS.
OpenID ConnectOpenID Connect (OIDC)Couche d'authentification sur OAuth 2.0. Fournit un ID Token (JWT) qui contient l'identité de l'utilisateur.
P
PAMPrivileged Access ManagementGestion des accès privilégiés : vaulting, JIT, enregistrement de sessions, dual control pour les comptes admin.
PCI-DSSPayment Card Industry Data Security StandardStandard de sécurité pour les données de cartes de paiement. 12 exigences. Applicable à toute organisation traitant des cartes.
PFSPerfect Forward SecrecyClés de session éphémères (ECDHE) qui garantissent que la compromission future d'une clé à long terme ne déchiffre pas les sessions passées.
PHIProtected Health InformationInformations de santé protégées par HIPAA. Dossiers médicaux, diagnostics, prescriptions liés à une identité.
PIIPersonally Identifiable InformationDonnées permettant d'identifier une personne : nom, SSN, email, adresse IP (parfois). Protégées par GDPR, CCPA, etc.
PKIPublic Key InfrastructureInfrastructure de confiance : CA Root → CA Intermédiaires → Certificats finaux. Gère le cycle de vie des certificats X.509.
R
RADIUSRemote Authentication Dial-In User ServiceProtocole AAA pour l'authentification réseau (VPN, Wi-Fi 802.1X). UDP 1812/1813. Chiffre uniquement le mot de passe.
RAIDRedundant Array of Independent DisksRAID 0=performance, RAID 1=miroir, RAID 5=parité (1 disque perdu), RAID 6=double parité, RAID 10=miroir+stripe.
RansomwareRansomwareMalware qui chiffre les données et exige une rançon. Double extorsion = chiffrement + menace de publication.
RBACRole-Based Access ControlAccès basé sur les rôles (groupes AD). Les permissions sont attribuées aux rôles, les utilisateurs assignés aux rôles.
RPORecovery Point ObjectivePerte de données maximale acceptable exprimée en temps. RPO 4h = sauvegardes toutes les 4h minimum.
RTORecovery Time ObjectiveTemps maximum pour remettre un service opérationnel après une panne. Détermine le type de site DR (hot/warm/cold).
S
SAMLSecurity Assertion Markup LanguageStandard XML pour le SSO entre IdP et SP. Utilisé dans les applications cloud d'entreprise (Salesforce, Office 365).
SASESecure Access Service EdgeArchitecture cloud qui combine SD-WAN, ZTNA, CASB, SWG, FWaaS. Sécurité fournie en tant que service cloud.
SIEMSecurity Information and Event ManagementCentralise et corrèle les logs de sécurité. Fonctions : agrégation, normalisation, corrélation, alertes, rapports.
SLAService Level AgreementEngagement contractuel sur les niveaux de service (uptime, temps de réponse). Avec pénalités si non-respecté.
SLESingle Loss ExpectancyPerte financière si l'incident se produit UNE fois = AV × EF. Composante du calcul ALE.
SOARSecurity Orchestration, Automation and ResponseAutomatise la réponse aux incidents via des playbooks. Réduit le MTTR de minutes à secondes.
SOCSecurity Operations CenterCentre opérationnel de sécurité. Équipe qui surveille, détecte et répond aux incidents de sécurité 24/7.
SPFSender Policy FrameworkEnregistrement DNS qui liste les serveurs autorisés à envoyer des emails pour un domaine. Protège contre l'usurpation d'expéditeur.
Split Tunnel VPNSplit Tunnel VPNSeul le trafic destiné au réseau d'entreprise passe par le VPN. Le reste utilise la connexion locale. Économise la bande passante VPN.
SSOSingle Sign-OnAuthentification unique donnant accès à plusieurs services. Implémenté via SAML, Kerberos, OpenID Connect.
T
TACACS+Terminal Access Controller Access Control System PlusProtocole AAA Cisco. TCP 49, chiffrement total, sépare Authentication/Authorization/Accounting. Pour équipements réseau.
TailgatingTailgating / PiggybackingSuivre physiquement un employé autorisé pour entrer dans une zone sécurisée sans badge. Contre-mesure : mantrap, éducation.
TLSTransport Layer SecurityProtocole de sécurisation des communications réseau. HTTPS = HTTP + TLS. TLS 1.3 = actuel, impose PFS (ECDHE).
TPMTrusted Platform ModulePuce cryptographique sur la carte mère. Stocke les clés de chiffrement, mesure l'intégrité du démarrage (PCR registers). Requis pour BitLocker.
U
UEBAUser and Entity Behavior AnalyticsDétection d'anomalies comportementales des utilisateurs et entités par machine learning. Détecte les comptes compromis et insiders malveillants.
V
VLANVirtual Local Area NetworkSegmentation logique du réseau. Isole le trafic au niveau couche 2. Réduit le domaine de broadcast et limite la propagation des attaques.
VPNVirtual Private NetworkTunnel chiffré entre deux points. Site-to-site (LAN to LAN) ou Remote Access (utilisateur to réseau). Protocoles IPsec, SSL/TLS.
VulnérabilitéVulnerabilityFaiblesse dans un système pouvant être exploitée par une menace. Différent d'un risque (probabilité × impact) ou d'une menace (acteur/action).
W
WAFWeb Application FirewallPare-feu applicatif qui filtre le trafic HTTP/HTTPS. Protège contre SQLi, XSS, CSRF. Peut être en mode proxy.
WPA3Wi-Fi Protected Access 3Dernière norme Wi-Fi. Utilise SAE (Dragonfly) remplaçant PSK. Résistant aux attaques par dictionnaire offline. Forward secrecy.
X
XDRExtended Detection and ResponsePlateforme de détection unifiée corrélant endpoint (EDR), réseau (NDR), cloud et email. Vision 360° des menaces.
XSSCross-Site ScriptingInjection de script malveillant dans une page web. Stored (persistant), Reflected (dans URL), DOM. Contre-mesure : CSP, HttpOnly, validation.
Z
Zero DayZero-Day VulnerabilityVulnérabilité inconnue du fabricant, sans patch disponible. Exploitée "zéro jour" après découverte. Très dangereux.
Zero TrustZero Trust Architecture"Never trust, always verify". Aucune confiance implicite basée sur la localisation réseau. Vérification continue identité + device + contexte.