Glossaire


Incidents de sécurité

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.


Information classifiée

L’article 413-9 du Code pénal indique que « les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation ou auxquels l’accès est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d’un secret de la défense nationale » font l’objet de mesures de classification destinées à restreindre leur diffusion ou leur accès.


Infrastructure de clés publiques (ICP)

Outil cryptographique permettant de garantir l’authenticité des clés publiques par la signature électronique d’autorités de certification organisées de façon hiérarchique. Une ICP est l’un des outils fondamentaux d’une IGC.


Infrastructure de gestion de clés (IGC) (Public Key Infrastructure : PKI)

Ensemble organisé de composantes fournissant des services de gestion des clés cryptographiques et des certificats de clés publiques au profit d’une communauté d’utilisateurs.


Ingénierie sociale (Social Engineering)

Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes.

Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information.


Injection de code indirecte (Cross Site Scripting, CSS, XSS)

Activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l’utilisateur vers d’autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc.) ou des droits.

Remarques : Les données arbitraires sont souvent écrites en JavaScript, en HTML ou en vbscript. La personne malveillante introduit ainsi du code dans le serveur vulnérable qui héberge le site. Ce serveur est rarement affecté par ce code (porteur sain). Les visiteurs du site, potentiellement victimes, consultent la page contenant le code injecté. L’exécution du code ne se fait pas au niveau du serveur, mais par le client de navigation de l’utilisateur. La notation XSS a été introduite pour remplacer CSS, acronyme déjà utilisé pour signifier Cascading Style Sheet.


Voir aussi:

Intégrité

Garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime.


Intrusion

L’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.


IPsec – IPv4 – IPv6

Voir aussi: