Glossaire

Termes relatifs à la sécurité des systèmes d'information

- A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - Q - R - S - T - U - V - W - X - Y - Z -

-A-

Agent de sécurité: Il a pour mission d'appliquer les mesures de sécurité aux documents classifiés TRÈS SECRET et d'en assurer la gestion. Il est désigné par le chef de l'organisme où est implantée l'antenne (cf. art. 24); ses missions ne doivent pas être confondues avec celles qui sont dévolues à l'agent de sécurité dans une entreprise titulaire d'un marché classé de Défense qui est désigné par le responsable de l'entreprise après agrément de l'Administration ayant contracté le marché. [IGI 1300]

Agrément : Reconnaissance formelle que le produit ou système évalué peut protéger des informations jusqu'à un niveau spécifié dans les conditions d'emploi définies. [900/DISSI/DCSSI]

Agrément d'un laboratoire : Reconnaissance formelle qu'un laboratoire possède la compétence pour effectuer des évaluations d'un produit ou d'un système par rapport à des critères d'évaluation définis. [900/DISSI/DCSSI]

Analyse cryptologique : Étude des moyens de chiffrement pour en déceler et mettre en évidence les faiblesses de conception ou les fautes éventuelles d'utilisation. [IGI 500]

Architecture fonctionnelle : L'architecture fonctionnelle décrit les objets du système essentiel : traitements, données, contrôles. L'architecture fonctionnelle constitue le premier niveau - niveau conceptuel - dans le cycle d'abstraction de la conception. [ROSCOF]

Architecture technique : L'architecture technique décrit les ressources nécessaires au système de traitement de l'information : transformation, mémorisation / acquisition / visualisation, communication. L'architecture technique constitue le deuxième niveau - niveau logique - dans le cycle d'abstraction de la conception. [ROSCOF]

Archivage : "Dès qu'ils ne font plus l'objet d'une utilisation habituelle, les documents classifiés présentant un intérêt administratif et historique doivent être verses aux dépôts d'archives suivants : soit les services historique des armées pour le département ministériel de la Défense et les services rattaches, soit les archives du ministère des Relations extérieures, pour ce qui les concerne, soit la direction des Archives de France - Archives Nationales - pour toutes les administrations et organismes civils gérant des archives publiques, ces services étant seuls équipés, en effet, pour recevoir des documents classifiés, jusqu'au niveau Secret Défense inclus..." [IGI nç1300, Article 46][(IGI 1310]

Assurance : Propriété d'une cible d'évaluation permettant de s'assurer que ses fonctions de sécurité respectent la politique de sécurité de l'évaluation. [ECF 11]

Attributs de sécurité : informations (telles que l'identité, le niveau d'habilitation, le besoin d'en connaître, etc.) relatives à un utilisateur autorisé, permettant d'établir ses droits et privilèges.

Attestation de reconnaissance de responsabilité : Elle a pour objet de faire prendre conscience au titulaire d'une décision d'admission ou d'agrément des responsabilités particulières qui viennent s'ajouter à ses responsabilités administratives du fait de l'autorisation d'accès aux informations classifiées (cf. art. 16). Il est nécessaire, en raison de la gravité des infractions en matière de protection des informations classifiées, sanctionnées par les dispositions du Code pénal, que le titulaire de la décision d'admission en soit informé au préalable . [IGI 1300]

Audit : Examen méthodique d'une situation relative à un produit, un processus, une organisation, réalisé en coopération avec les intéressés en vue de vérifier la conformité de cette situation aux dispositions préétablies, et l'adéquation de ces dernières à l'objectif recherché [définition ISO, d'après la norme AFNOR Z61-102]

Audit d'agrément : Examen méthodique et indépendant en vue de déterminer si les activités et résultats relatif à l'agrément satisfont aux dispositions préétablies, si ces dispositions sont mises en œuvre de façon efficace et si elles sont aptes à atteindre les objectifs. [ECF02]

Auditabilité : Garantir une maîtrise complète et permanente sur le système et en particulier pouvoir retracer tous les événements au cours d'une certaine période.

Audité : Il s'agit d'une personne physique ou d'un groupe de personnes ayant en charge le système soumis à audit. Il assure les deux fonctions suivantes : - responsable du système, - responsable de la sécurité du système. Il est l'interlocuteur privilégié de l'auditeur. [MASSIA]

Auditeur : C'est l'intervenant (personne seule ou groupe d'individus) responsable de la mission d'audit. [MASSIA]

Authenticité : Fait de ne pas permettre, par la voie de modifications autorisées, une perte du caractère complet et juste de l'information [CEC DG -XIII]

Authentification / identification : L'authentification a pour but de vérifier l'identité dont une entité se réclame. Généralement l'authentification est précédée d'une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l'a doté. En résumé, s'identifier c'est communiquer son identité, s'authentifier c'est apporter la preuve de son identité. [D 530]

Autorité de certification (AC) : tierce partie de confiance pour la génération, la signature et la publication des certificats de clés publiques.

Autorité fonctionnelle : Autorité responsable du point ou du réseau sensible habilitée à traiter sur le plan territorial avec les pouvoirs publics, de tous les problèmes concernant la préparation et la mise en œuvre des mesures de sécurité. [IGI 4600]

Autorité de sécurité (AS) : entité responsable de la définition, de l'implémentation et de la mise en œuvre d'une politique de sécurité.

 

-B-

Besoin de sécurité : Expression à priori des niveaux requis de disponibilité, d'intégrité et de confidentialité associés aux informations, fonctions ou sous-fonctions étudiées.

Besoins de sécurité : Définition précise et non ambigüe des niveaux de confidentialité, d'intégrité et de disponibilité qu'il convient d'assurer à une information. [G 150]

Biens sensibles : Eléments du système qu'il est indispensable de protéger pour satisfaire les objectifs de sécurité. Ils sont identifiés par une analyse propre à chaque système, qui prend en compte en particulier les conditions d'environnement et les menaces auxquelles celui-ci est soumis. Les résultats de cette analyse sont consignés dans le dossier de sécurité et doivent préciser si les biens sensibles font l'objet d'une classification. Dans le cas présent, les biens sensibles incluent au minimum les données d'enregistrement. [IGI 1310]

Bi-clé : couple clé publique, clé privée (utilisées dans des algorithmes de cryptographie asymétriques).

 

-C-

Certificat : Déclaration formelle confirmant les résultats d'une évaluation, et le fait que les critères d'évaluation ont été correctement utilisés. [ITSEC]

Chiffrement : transformation cryptographique de données produisant un cryptogramme. [ISO 7498-2]

Chiffrement de bout en bout : chiffrement de données à l'intérieur ou au niveau du système extrémité source, le déchiffrement correspondant ne se produisant qu'à l'intérieur, ou au niveau du système extrémité de destination. [ISO 7498-2]

Chiffrement de liaison : application particulière du chiffrement à chaque liaison du système. Le chiffrement de liaison implique que les données soient du texte en clair dans les entités relais. [ISO 7498-2]

Cible d'étude : Système d'information ou partie de celui-ci qui est soumis à l'étude de sécurité EBIOS.

Cible de sécurité : Spécification de la sécurité qui est exigée d'une cible d'évaluation et qui sert de base pour l'évaluation. La cible de sécurité doit spécifier les fonctions dédiées à la sécurité de la cible d'évaluation. Elle spécifiera aussi les objectifs de sécurité, les menaces qui pèsent sur ces objectifs ainsi que les mécanismes de sécurité particuliers qui seront employés. [IGI 1310]

Cible de sécurité : Spécification de sécurité d'un produit ou d'un système qui contient la description des fonctions dédiées à la sécurité, les objectifs de sécurité, les menaces qui pèsent sur ces objectifs ainsi que les mécanismes particuliers qui sont employés. [ITSEC]

Cible d'évaluation : Système d'information ou produit qui est soumis à une évaluation de la sécurité. [ITSEC]

Clé de base : Clé utilisée pour chiffrer/déchiffrer les clés de trafic transmises sur le réseau ou mémorisées dans les moyens de cryptophonie. [D 530]

Clé de chiffrement : série de symboles commandant les opérations de chiffrement et de déchiffrement. [ISO 7498-2]

Clé de session : clé dont la validité dure le temps d'une session.

Clé publique : clé librement publiable et nécessaire à la mise en œuvre d'un moyen ou d'une prestation de cryptologie pour des opérations de chiffrement ou de vérification de signature.

Clé publique : Un système à clé publique (ou asymétrique) utilise deux clés, une clé secrète et une clé publique ayant la propriété suivante : la clé publique étant dévoilée, il est impossible de retrouver par calcul la clé secrète. [D 530]

Clé privée : une clé privée est associée à une clé publique pour former un bi-clé.

Clé secrète : clé volontairement non publiée nécessaire à la mise en œuvre d'un moyen ou d'une prestation de cryptologie pour des opérations de chiffrement ou de déchiffrement.

Clé secrète : Dans un système à clés secrètes (ou symétriques), les clés de chiffrement et de déchiffrement sont identiques. [D 530]

Client : entité demandant un service.

Client-Serveur: communication mettant en relation un client et un serveur.

Client Sécurisé ou Serveur Sécurisé : client ou serveur ayant besoin des services de sécurité.

Condensat : chaîne de caractères produite par une fonction de hachage [ISO 10118-1].

Confidentialité : propriété d'une information qui n'est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés. [ISO 7498-2]

Confidentiel Défense : cette mention est réservée aux informations qui ne présentent pas en elles-mêmes un caractère secret mais dont la connaissance, la réunion ou l'exploitation peuvent conduire à la divulgation d'un secret intéressant la Défense nationale et la sûreté de l'Etat. [Article 5 du décret nç 81-514 du 12 mai 1981 relatif à l'organisation de la protection des secrets et des informations concernant la Défense Nationale et la sûreté de l'Etat].

Contexte de sécurité: ensemble des éléments nécessaires pour assurer les services de sécurité.

Cryptogramme : données obtenues par l'utilisation du chiffrement. Le contenu sémantique des données résultantes n'est pas compréhensible. [ISO 7498-2]

Cryptographie : discipline incluant les principes, moyens et méthodes de transformation des données, dans le but de cacher leur contenu, d'empêcher que leur contenu ne passe inaperçu et/ou d'empêcher leur utilisation non autorisée.[ISO 7498-2]

Cryptopériode : Période de temps pendant laquelle les clés d'un système restent inchangées. [D 530]

 

-D-

Déchiffrement : opération inverse d'un chiffrement réversible. [ISO 7498-2]

Décryptement : Vise à rétablir, en utilisant les résultats de l'analyse cryptologique, le libellé clair des informations chiffrées, sans en posséder la clé. [IGI 500]

Distribution : délivrance par une autorité de distribution aux parties communicantes des clés à mettre en œuvre pour chiffrer ou déchiffrer des informations, y compris, le cas échéant, des éléments propres à d'autres abonnés.

Domaine : ensemble des ressources et entités sur lesquelles s'applique une même politique de sécurité, cet ensemble étant administré par une autorité unique.

Donnée : Représentation d'une information sous une forme conventionnelle destinée à faciliter son traitement. [901/DISSI/DCSSI]

 

-E-

Entité : individu utilisateur, processus ou serveur sécurisé.

Entité sujet : élément du modèle fonctionnel d'un service de sécurité qui désigne l'acteur ou le bénéficiaire principal de ce service (par exemple un individu vis-à-vis du service d'authentification ou de contrôle d'accès).

Entité objet : élément du modèle fonctionnel d'un service de sécurité qui désigne la cible ou le bénéficiaire de ce service (par exemple une ressource ou une information vis-à-vis du service de contrôle d'accès).

Entité fonctionnelle : élément du modèle fonctionnel d'un service de sécurité qui désigne une entité considérée du point de vue de son comportement, indépendamment de sa réalité physique ou technique.

Évaluation : Estimation de la sécurité d'un produit ou d'un système par rapport à des critères d'évaluation définis. [901/DISSI/DCSSI]

 

-F-

Fonction de hachage : fonction qui transforme une chaîne de caractères en une chaîne de caractères de taille inférieure et fixe. Cette fonction satisfait deux propriétés. Il est difficile pour une image de la fonction de calculer l'antécédentassocié. Il est difficile pour un antécedent de la fonction de calculer un antécédent différent ayant la même image.

Fonction de sécurité : mesure technique, susceptible de satisfaire un objectif de sécurité. [ROSCOF]

Fonction de service : action attendue d'un produit (ou réalisée par lui) pour répondre à un élément du besoin d'un utilisateur donné (source NF X 50-150). Le terme utilisateur désigne ici des personnes ou des entités fonctionnelles du système.

-H-

Homologation : Autorisation d'utiliser, dans un but précis ou dans des conditions prévues, un produit ou un système (en anglais : accreditation). C'est l'autorité responsable de la mise en œuvre du produit ou du système qui délivre cette autorisation, conformément à la réglementation en vigueur. [900]

 

-I-

Identification : procédé permettant de reconnaître un utilisateur de manière sûre par la récupération de données qui lui sont propres.

Information : élément de connaissance susceptible d'être représenté à l'aide de conventions pour être conservé, traité ou communiqué [FEROS]. Renseignement ou élement de connaissance susceptible d'être représenté sous une forme adaptée à une communication, un enregistrement ou un traitement [900]

Intégrité : propriété assurant que des données n'ont pas été modifiées ou détruites de façon non autorisée. [ISO 7498-2]

Intégrité : garantie que le système et l'information traitée ne sont modifiés que par une action volontaire et légitime. [IGI 500]

Intégrité : l'intégrité du système et de l'information traitée garantit que ceux-ci ne sont modifiés que par une action volontaire et légitime. Lorsque l'information est échangée, l'intégrité s'étend à l'authentification du message, c'est à dire à la garantie de son origine et de sa destination. [IGI nç900]

-M-

Mécanisme de sécurité : logique ou algorithme qui implémente par matériel ou logiciel une fonction particulière dédiée à la sécurité ou contribuant à la sécurité. [ITSEC]

 

-P-

Politique de sécurité : ensemble des critères permettant de fournir des services de sécurité. [ISO 7498-2]

Politique de sécurité technique : ensemble des lois, règles et pratiques qui régissent le traitement des informations sensibles et l'utilisation des ressources par le matériel et le logiciel d'un système d'information ou d'un produit. [ITSEC]

-R-

Répudiation : fait de nier avoir participé à des échanges, totalement ou en partie.

Révocation : annonce qu'une clé privée a perdu son intégrité. Le certificat de la clé publique correspondante ne doit plus être utilisé.

-S-

 

Service : regroupement cohérent de fonctions de service visant à répondre à un élément du besoin d'un utilisateur ou d'entités fonctionnelles du système. Sauf précision contraire, dans le présent document, le terme service désigne un regroupement de fonctions de sécurité ou de fonctions assurant le support de celles-ci.

Session : une session représente l'intervalle de temps entre le début d'un échange ou d'une communication et sa fin.

Système d'information : Tout moyen dont le fonctionnement fait appel à l'électricité et qui est destiné à élaborer, traiter, stocker, acheminer, présenter ou détruire l'information (c.f. article 2). [901/DISSI/DCSSI]

Système informatique : Ensemble formé par un ordinateur et les différents éléments qui lui sont rattachés. Ceci concerne les matériels et les logiciels. [901/DISSI/DCSSI]