a
b
c
d
e
f
g
h
i
j
k
l
m
n
o
p
q
r
s
t
u
v
w
x
y
z
A

ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) 

L’ANSSI est là pour construire et organiser la protection de la Nation face aux cyberattaques. Elle contribue ainsi à renforcer le niveau de cybersécurité global et la stabilité du cyberespace. 

L’Agence Nationale de la Sécurité des Systèmes d’Information a été créé par décret en juillet 2009. 

Elle est placée sous l’autorité du Secrétariat général de la Défense et de la Sécurité nationale (SGDSN), qui assiste le Premier ministre dans ses responsabilités liées à la défense et à la sécurité nationale.  

L’ANSSI succède à la Direction centrale de la sécurité des systèmes d’information, créée par décret en juillet 2001. 

En 2022, son budget hors masse salariale s’élève à 23 millions d’euros, et ses effectifs, passés de 350 personnes en 2013 à 500 en 2015, se stabilisent autour de 600 agents depuis le début des années 2020. 

Le 4 janvier 2023, Vincent Strubel, ingénieur général des mines, a été nommé directeur général de l’ANSSI, succédant à Guillaume Poupard

APT (Advanced Persistant Threat) 

Une APT (Menace Persistante Avancée) désigne, comme son nom l’indique, un groupe de cyberattaquants représentant une menace sophistiquée et persistante.

  • Sophistiquée : les attaquants ont des compétences techniques « avancées » 
  • Persistante : les attaquants sont généralement des groupes professionnels dont les attaques durent plusieurs mois à plusieurs années. Le même groupe effectue plusieurs attaques 

Dans l’absolu, comme nous ne savons quasiment jamais qui est l’attaquant, il pourrait s’agir d’un individu mais cela est très peu probable en raison des moyens déployés.

Les groupes APT sont de 3 types :

  • Groupe clandestin intégré à un État : service de renseignement par exemple
  • Groupe indépendant avec de forts liens avec un État
  • Groupe indépendant 

Les APT attaquent en général pour des raisons politique, technologique, géopolitique mais rarement pour des raisons pécuniaires.  

B

Brute force (attaque par force brute) 

L’attaque par force brute (« brute force attack » en anglais) consiste à tester une à une des combinaisons de mot de passe ou de clé possibles afin d’en découvrir une valide.

C’est la méthode de cassage de mot de passe la plus simple en cryptanalyse. C’est pourquoi l’attaque par force brute est ancienne et particulièrement répandue.  

Le cassage du mot de passe ou de la clé dépend de :  

  • Du nombre de possibilités, dépendant elles-mêmes de la longueur du mot de passe principalement et des caractères utilisés 
  • De la vitesse que met le hacker à tester chaque combinaison 
  • Des défenses mises en place comme le blocage de l’accès suite à un certain nombre d’échecs d’authentification 

Le temps mis pour cracker le mot de passe augmente de façon exponentielle avec la longueur de celui-ci. 

Cela étant dit, en complément d’une optimisation heuristique ou d’attaque par dictionnaire, le temps de cassage du mot de passe ou de la clé peut se réduire considérablement.  

C

CERT (Computer Emergency Response Team) 

Le CERT ou CSIRT est une équipe qui intervient en réponse à un incident et participe potentiellement à y remédier.

Étant donné que les incidents ne sont pas quotidiens, il arrive fréquemment que le CERT ai une activité de veille, de collaboration ou de recherche selon les cas.

Mais c’est le SOC qui est en charge de la surveillance et de la détection. Si le SOC détecte un incident, c’est alors que le CERT intervient.

Cryptographie 

La cryptographie est une discipline scientifique dont le but est de protéger des messages. 

Le chiffrement s’opère via une clé de chiffrement ou un code secret et a pour but d’assurer la confidentialité, l’authenticité et l’intégrité du message. La cryptographie est à ne pas confondre avec la sténographie qui cache un message. 

On distingue 2 types d’algorithme cryptographique majeures : la cryptographie symétrique et la cryptographie asymétrique.

Cryptographie symétrique  

Les utilisateurs utilisent la même clé pour chiffrer et déchiffrer les messages. 

Son principal inconvénient est la nécessité de partager de manière sécurisé la clé entre les différents utilisateurs.

Cryptographie asymétrique 

Chaque utilisateur possède 2 clés : 

  • Une publique, voyez-la comme le verrou, tout le monde peut le voir
  • Une privée, voyez-la comme la clé du verrou, seul l’utilisateur la possède

Ainsi, la clé publique sert à chiffrer les messages et la clé privée à les déchiffrer. 

Aujourd’hui, on utilise généralement les 2 types de cryptographie de façon combinée. Il arrive aussi que le chiffrement symétrique soit utilisé seul. Ce n’est en revanche presque jamais le cas d’un chiffrement asymétrique.

CVE (Common Vulnerabilities and Exposure)

Les Common Vulnerabilities and Exposure, plus souvent appelées CVE sont une nomenclature publique consultable qui référence les failles de sécurité informatique.  

Chaque vulnérabilité listée a : 

  • Une définition ainsi que des liens pour aider les utilisateurs intéressés 
  • Un identifiant sous la forme CVE-AAAA-NNNNN (A pour année, N pour numéro). Par exemple CVE-2015-0204 est l’identifiant de la faille FREAK.

La nomenclature des CVE aide les professionnels de la cybersécurité à communiquer et à hiérarchiser les vulnérabilités informatiques connues.  

Les Common Vulnerabilites and Exposure sont maintenues par le MITRE (organisation à but non lucratif) et le Département de la Sécurité Intérieure des États-Unis. 

Vous pouvez télécharger la liste des CVE sur le site cve.org

Une CVE n’est pas un CVSS qui permet d’évaluer la gravité d’une vulnérabilité.

CVSS (Common Vulnerability Scoring System) 

Le CVSS est un score standardisé d’évaluation de la gravité des vulnérabilités permettant de les prioriser.  

Il définit un score compris entre 0 et 10 (10 pour les vulnérabilités les plus critiques) et est calculé à l’aide de 3 métriques :  

  • La métrique de base qui utilise les qualités intrinsèques de la vulnérabilité 
  • La métrique temporelle qui peut évoluer au cours du temps 
  • La métrique environnementale qui évolue selon l’environnement 

Pour calculer le CVSS, on utilise en premier lieu la métrique de base qu’on pondère ensuite avec la métrique temporelle et la métrique environnementale.  

Le Common Vulnerability Scoring System, bien qu’étant le standard, est dans la pratique un système très critiqué.

Un CVSS n’est pas un CVE qui sert à identifier les vulnérabilités et les communiquer.  

Cybersécurité

La cybersécurité est un ensemble de pratiques, mesures, outils et technologies visant à protéger les personnes, les données, les applications, les systèmes et le matériel informatique des organisations et des États contre les attaques informatiques (cyberattaques). 

Les cyberattaques visent en général à accéder à des systèmes et informations sensibles pour les modifier, récupérer, détruire ou bloquer.  

Les attaques numériques portent atteinte à un ou plusieurs de ces éléments :  

  • Disponibilité  
  • Intégrité 
  • Authenticité 
  • Confidentialité 
  • Preuve 
  • Non-répudiation 
D

DDoS (attaque par déni de service distribuée) 

La DDoS (ou Distributed Denial of Service) est une cyberattaque qui bloque un service (site web, serveur, etc.) en le submergeant massivement de trafic via de multiples appareils (d’où l’attribut de “distribuée”). 

Une DDoS, aujourd’hui variante majoritaire de la DoS (attaque par déni de service) se déroule de manière générale en 2 étapes :  

1) Création du botnet

Le botnet est un réseau d’appareils infectés par un malware dont le pirate prend possession afin d’effectuer l’attaque DDoS. C’est la solution la plus répandue.

L’autre solution pour le cyberattaquant est de collaborer avec d’autres cyberattaquants pour envoyer du trafic important à l’aide de leurs appareils.

2) Attaque DDoS 

Le hacker demande à son réseau de machines, son botnet (ou aux autres hackers avec lesquels il travaille) d’envoyer des requêtes au service visé. Par le nombre important de requêtes, le service est submergé de trafic et ne peut plus y faire face.  

Le service bloqué peut empêcher les utilisateurs d’acheter un produit, de se renseigner, d’utiliser un service en ligne, etc.  

Deepfake 

Un deepfake ou hypertrucage, est un faux fichier image, vidéo ou audio créé par l’intelligence artificielle et particulièrement crédible. 

C’est la contraction de Deep Learning et Fake, une sorte de “fausse profondeur” qui rend la tromperie si réaliste.  

Pour preuve de ce réalisme, de nombreuses personnes se font avoir, comme cet employé hongkongais qui a versé 25 millions de dollars sur la demande de ce qu’il croyait être son supérieur lors d’une visioconférence.  

Les possibilités sont vastes et l’imagination des pirates informatiques bien développée (arnaque, manipulation de l’opinion, etc.). 

E

EDR (Endpoint Detection and Response)

Un EDR (Endpoint Detection and Response) est une technologie de cybersécurité qui détecte les menaces informatiques au niveau du terminal : ordinateur, mobile, serveur d’entreprise, etc.  

L’EDR est utilisé pour lutter notamment contre les APT (Advanced Persistant Threat), malware, virus et failles Zero Day.  

Avec le NDR (Network Detection and Response), ils forment le XDR (eXtended Detection and Response).  

F

Firewall (pare-feu) 

Un firewall est un logiciel et/ou un matériel qui filtre les paquets de données entrants selon certains critères pour bloquer le trafic. 

Des critères de filtrage typiques comprennent :  

  • Origine ou destination des paquets 
  • Options contenues dans les données 
  • Données (taille, etc.) 
  • Utilisateurs 

La plupart du temps, un pare-feu surveille le trafic entrant au niveau du port, où les informations sont échangées avec l’extérieur. 

Ainsi, “l’adresse source 172.18.1.1 est autorisée à atteindre la destination 172.18.2.1 par le port 22”. 

I

IAM (Identity and Access Management) 

L’IAM ou Identity and Access Management (Gestion des Accès et des Identités) permet au service informatique d’une organisation de contrôler de manière centralisée l’accès aux réseaux, systèmes et ressources en fonction de l’identité des utilisateurs.  

Gestion des identités 

La fonction de la gestion des identités est de confirmer qu’une entité est bien ce qu’elle prétend être.  

Gestion des accès 

La gestion des accès utilise des informations d’identité validés pour déterminer quelles ressources l’entité peut utiliser et de quelle façon. 

Injection SQL (SQLi) 

Un injection SQL a lieu quand un cyberattaquant communique une entrée dans un champ de saisie (email, mot de passe, etc.) qui modifie la requête SQL envoyée à la base de données ce qui lui permet d’exécuter d’autres requêtes SQL non souhaitées. 

Par exemple, au lieu d’entrer un nom d’utilisateur, le hacker va entrer un guillemet qui permet d’échapper aux limites de la saisie.  

La SQLi est à ne pas confondre avec l’XSS qui s’attaque au côté client et à l’utilisateur.

M

Malware

Terme anglophone désignant tout logiciel malveillant (“malicious software”) qui permet à l’attaquant de faire ce qu’il veut. Il peut donc s’agir d’un ransomware, d’un cheval de Troie, d’un spyware, etc. Ainsi, il peut viser à voler, modifier ou supprimer des données, espionner, détourner des fonctions de l’ordinateur ou du serveur hacké par exemple. Les malwares sont utilisés par des pirates mais aussi des gouvernements.

On télécharge par inadvertance un malware en cliquant sur une publicité alléchante, en téléchargeant une pièce jointe d’un email ou par le biais du phishing.

MFA (authentification multi-facteur) 

La MFA pour Multi-Factor Authentification est une méthode d’authentification qui ajoute une ou plusieurs vérifications supplémentaires pour authentifier l’utilisateur en plus de son identifiant et mot de passe.  

Le plus souvent, l’utilisateur va recevoir via sms, email ou une app telle que Google Authenticator, un mot de passe à usage unique (OTP pour One-Time Password) qu’il doit entrer pour s’authentifier. Ce mot de passe est généré pour quelques secondes ou minutes à chaque nouvelle demande d’authentification. 

La MFA est essentielle à toute politique de gestion des accès et des identités (IAM, Identity and Access Management) car les mots de passe statiques sont vulnérables aux attaques par force brute et peuvent être volés par des tiers. 

N

NDR (Network Detection and Response) 

Le NDR utilise l’IA, le machine learning et l’analyse comportementale pour détecter et répondre aux menaces sur un réseau.  

Les outils NDR établissent des modèles de comportement normal en analysant en continu le trafic nord-sud traversant le périmètre de l’entreprise, ainsi que le trafic latéral est-ouest. Ils s’appuient ensuite sur ces modèles pour détecter des schémas de trafic inhabituels ou potentiellement suspects. 

NIS 2 

NIS2 (Network and Information Security) est une directive européenne qui fait suite à NIS1 dont le but est de renforcer et uniformiser la sécurité numérique dans l’Union Européenne pour faire face aux cyberattaques plus nombreuses et en perpétuelle évolution.  

La directive NIS2 s’applique tout spécialement aux secteurs fortement dépendants des technologies de l’information et de la communication. 

Elle étend le champ d’application de NIS1 en : 

  • Touchant plus de secteurs 
  • S’appliquant à plus d’entités 
  • Intégrant une proportionnalité selon le degré de criticité  

NIS2 touche plus de secteurs  

NIS1 touchait déjà notamment les établissements de santé, les banques, les transports. NIS2 va plus loin en s’étendant aux administrations publiques, aux télécommunications, aux réseaux sociaux, aux services postaux ou encore au secteur spatial. 

NIS2 s’étend au privé 

Ainsi, plusieurs milliers d’entreprises, des PME aux grands groupes du CAC40 devront aussi se conformer à la nouvelle directive. 

2 niveaux de criticité 

Les entités ne se verront pas appliquer les mêmes exigences selon leur niveau de criticité. On distingue les entités essentielles et les entités importantes. 

La directive NIS2 doit être transposées par les états membres de l’UE d’ici octobre 2024. L’ANSSI s’assurera ensuite du respect de la loi par les entités concernées.  

O

OIV (Opérateur d’Importance Vitale) 

Un OIV est une organisation identifiée par l’État qui a des activités indispensables à la survie de la nation ou dangereuses pour la population dans le but d’être protégée contre les actes malveillants (cyberattaque, terrorisme, sabotage) et les risques sanitaires, naturels, technologiques, etc. 

Les OIV font partie du dispositif SAIV (Secteur d’Activité d’Importance Vitale) et leur liste a été publiée dans un arrêté.  

Les Opérateurs d’Importance Vitale ont 3 obligations :  

  • Former leurs responsables et directeurs de la sécurité 
  • Établir un Plan de Sécurité Opérateur
  • Identifier un Plan Particulier de Protection (PPP) et un Plan de Protection Externe (PPE) 

OSINT (Open Source INTelligence)

L’OSINT (Open Source INTelligence) est le renseignement utilisant des sources d’information publiques (Renseignement d’Origine Source Ouverte en français ou ROSO).

Les sources d’information ouvertes (sous-entendu, ouvertes au public) sont : les blogs et médias (en ligne, print, télévision, etc.), les réseaux sociaux et les forums en ligne, la littérature grise (publications gouvernementales, académiques, industrielles, d’ONG, etc.) 

L’OSINT est utilisé par les professionnels de la cybersécurité, les militaires, les journalistes ou encore le monde judiciaire. 

Professionnels de la cybersécurité 

Il leur sert à améliorer la cybersécurité de l’entreprise (surveillance des menaces, identification et analyser des vulnérabilités). 

Militaires 

Il a justement une origine militaire, il est donc toujours utilisé dans ce cadre pour par exemple localiser des troupes ennemies. 

Journalistes et chercheurs 

L’OSINT permet aux journalistes et chercheurs d’enquêter et de vérifier des informations.  

Monde judiciaire

Il permet de récolter et analyser des preuves et arguments.  

OWASP (Open Worldwide Application Security Project)

L’OWASP (Open Worldwide Application Security Project) est une organisation internationale à but non lucratif de référence qui offre de façon libre, ouverte et gratuite ses ressources et recommandations de sécurisation des applications web. 

L’OWASP offre en effet sur son site documentation, outils, vidéos et forum pour aider chaque personne ou entreprise à contrôler et améliorer le niveau de sécurisation de ses applications web. 

Sa ressource la plus connue et utilisée est le OWASP Top 10.  

Qu’est-ce que le top 10 de l’OWASP ? 

Le top 10 de l’OWASP est une liste des 10 menaces les plus importantes qui pèsent sur les applications web.  

Il est rédigé par une équipe d’experts en sécurité informatique du monde entier et est régulièrement mis à jour.  

P

Pentesting 

Appelé aussi test d’intrusion (pour Penetration testing), c’est une cyberattaque simulée pour évaluer la sécurité d’un système d’information en pénétrant le réseau, le site internet, l’application ou l’objet connecté testé. 

Ainsi, lors d’un pentest, le pentester devient un faux cybercriminel qui cherche des vulnérabilités à exploiter en vue de proposer des recommandations à l’organisation afin qu’elle améliore sa cybersécurité.  

2 standards méthodologiques existent :  

  • Celui de l’OWASP (Open Worldwide Application Security Project) 
  • Le PTES (Penetration Testing Execution Standard) 

Ils ne sont pas réellement utilisés mais les étapes de pentesting restent globalement similaires. 

Il existe 3 niveaux de pentesting :  

  1. Boîte noire (black box) : le pentester n’a aucune information
  2. Boîte grise (grey box) : le pentester a des informations partielles 
  3. Boîte blanche (white box) : le pentester a des informations complètes 

Pentest vs audit de sécurité 

Le pentest est une des façons de faire un audit de sécurité. Il existe d’autres manières de faire des tests. 

Phishing

Le phishing (hameçonnage) consiste à se faire passer par un organisme public ou une entreprise privée comme votre banque ou la sécurité sociale à l’aide d’un email imitant leur charte graphique (logo, typographie, etc.) et vous tromper.

Ces emails ont pour but de :

  • Vous soutirer des données personnelles comme votre numéro de sécurité sociale, votre numéro de carte bancaire ou un mot de passe en vous incitant à les donner (puisque vous avez confiance). Ces données sont ensuite utilisées par exemple pour usurper votre identité sur une plateforme ou vous voler de l’argent
  • Vous faire cliquer sur un lien qui provoquera l’installation d’un virus ou malware sur votre appareil (ordinateur, mobile, etc.)

Les variantes sont :

  • Le smishing qui est une technique de phishing par sms. Typiquement on peut vous demander de payer des frais pour débloquer un colis prétendument bloqué.
  • Le quishing qui est une technique de phishing par code QR. Cela peut être une offre (trop) alléchante du type “Sacs Gucci à -70%”.
R

Ransomware  

Un ranswomware (ou rançongiciel) est un malware qui prend en otage des données contre rançon. Pour cette “prise d’otage”, le cyberattaquant chiffre et bloque les fichiers ou appareils visés et indique donner la clé de déchiffrement lorsque la rançon sera payée. 

Comme toute demande de rançon cependant, rien ne garantit que la clé pour accéder aux fichiers ou ordinateurs sera bien donnée une fois la rançon payée.  

Pour les particuliers, le ransomware s’infiltre sur l’appareil visé souvent grâce à la technique du phishing ou lors d’un téléchargement sur internet. 

Red Team  

Une Red Team (équipe rouge) est une équipe offensive, souvent une équipe de pentest, qui émule un attaquant visant une entreprise pour tester puis améliorer sa cybersécurité.   

Ce n’est donc pas une équipe dédiée la plupart du temps mais plus une offre commerciale. 

La Red Team travaille de façon parfaitement légale en respectant une SOP (Standard Operating Procedure ou Procédure Opérationnelle Standard) qui a pour but d’atténuer ou de supprimer les conséquences réelles de l’attaque.  

Lors de la simulation d’attaque, la Red Team peut faire face à la Blue Team, en charge de la défense du système d’information. Le reste du temps, la Red Team et Blue Team travaillent ensemble à l’amélioration du SI.  

S

Shadow IT 

Le Shadow IT désigne les applications et processus utilisés sans l’aval de la DSI (Direction des Systèmes d’Information).  

Le Shadow IT est controversé :  

  • Il est considéré comme source d’innovation et d’amélioration de la productivité  
  • Il représente un risque de sécurité pour l’organisation car il ne respecte pas forcément les bonnes pratiques et est utilisé souvent sans que la DSI ne le sache 

SIEM (Security Information and Event Management) 

Le SIEM surveille différents éléments du système d’informations (applications, serveurs, équipements réseau). 

En corrélant les évènements issus de plusieurs sources il est capable d’identifier les comportements suspects et d’y réagir. 

SOC (Security Operations Center)

Le SOC (Security Operations Center) est une équipe d’analystes qui surveille et analyse l’infrastructure informatique d’une entreprise en permanence afin de détecter en temps réel les menaces de sécurité et d’y remédier.  

À l’aide d’un SIEM (Security Information Event Management), le SOC recherche en temps réel des signes faibles ou des comportements anormaux qui pourraient indiquer un incident ou un problème de sécurité. Il travaille main dans la main avec l’équipe d’intervention pour faire face aux menaces détectées.  

Une entreprise qui a un SOC est aussi en mesure de rassurer ses clients et d’améliorer sa conformité aux réglementations. 

Social engineering 

Le social engineering ou ingénierie sociale exploite les erreurs humaines plutôt que les failles techniques en s’appuyant sur la manipulation psychologique pour s’attaquer aux systèmes informatiques. 

Le social engineering vise souvent à obtenir des informations personnelles ou financières afin d’usurper l’identité ou extorquer la victime. Il peut aussi être la première étape d’une attaque de plus grande ampleur. 

On dit parfois que l’attaque par ingénierie sociale est un piratage humain, par opposition au piratage technique habituel.  

Il en existe différents types d’attaques par social engineering :  

Phishing 

Le phishing consiste à se faire passer par un organisme public ou une entreprise privée comme votre banque ou la sécurité sociale à l’aide d’un email imitant leur charte graphique (logo, typographie, etc.) et vous tromper. 

Baiting 

Le baiting (ou technique de l’appât) consiste à appâter la victime avec une offre alléchante ou un objet de valeur afin qu’elle fournisse d’elle-même des informations sensibles ou qu’elle télécharge un logiciel malveillant (malware).  

Tailgating 

Le tailgating (ou « talonnage ») est le fait pour le cyberattaquant d’entrer dans une zone non autorisée en suivant une personne autorisée pour y dérober des informations sensibles ou actifs de valeur. 

Pretexting 

Le pretexting consiste pour le hacker à créer un problème pour sa victime puis à se placer comme la meilleure personne pour l’aider.  

Quid pro quo 

Le qui pro quo est une attaque qui fait miroiter à la victime un bien ou un service contre ses informations confidentielles. 

Scareware 

Un scareware est un logiciel qui incite l’utilisateur à la peur pour qu’il partage des informations confidentielles ou télécharge un malware.  

Watering hole 

Une attaque watering hole (point d’eau) consiste justement à “empoisonner le point d’eau”, en l’occurrence, injecter du code malveillant dans une page web fréquentée par la cible. Cela permet par exemple de voler des identifiants ou de télécharger un ransomware furtivement.  

Spyware 

Un spyware ou logiciel espion est un type de malware qui s’installe à l’insu de l’utilisateur sur son ordinateur ou mobile en vue de collecter des informations sur ses activités pour les utiliser ou les revendre.  

Les activités enregistrées sont par exemple ses saisies, identifiants, adresse email, données de formulaires web, historique de navigation, numéro de carte bancaire ou encore captures d’écran.  

Il peut avoir des visées criminelles ou simplement être un outil de surveillance des parents ou de l’employeur. 

SSO (Single Sign-On) 

Le SSO est un service d’authentification centralisé. Une fois authentifiée sur ce service avec ses identifiants, un utilisateur pourra accéder à plusieurs applications sans avoir à s’authentifier auprès de chacune d’elles. 

Le SSO présente plusieurs avantages :  

  • Une meilleure expérience utilisateur 
  • Un seul mot de passe robuste à retenir pour l’utilisateur  
  • Les applications n’ont pas à développer leur propre mécanisme d’authentification. 
  • Possibilité de renforcer la sécurité en mettant en place une authentification multifactorielle (MFA). 
V

Vulnérabilité 

Une vulnérabilité ou faille est une faiblesse dans un système informatique permettant au cyberattaquant d’y porter atteinte. 

Les vulnérabilités ne sont intéressantes pour les cyberattaquants que si elles permettent d’en tirer un bénéfice : ransomware, vol de données, etc. 

Cependant, certaines failles logiciel et de systèmes d’exploitation finissent par être corrigées grâce à une mise à jour. Tant qu’elles ne le sont pas, on dit que ce sont des failles zero day

Il demeure important de mettre à jour systématiquement et rapidement vos OS et logiciels.

X

XDR (eXtended Detection and Response)

XDR (eXtended Detection and Response) est une technologie de cybersécurité proactive qui détecte et répond aux menaces informatiques de façon étendue (EDR + NDR). 

Le XDR supprime les frontières entre l’EDR (Endpoint Detection and Response) et le NDR (Network Detection and Response) en collectant et corrélant les données des terminaux, des serveurs, du cloud, etc. 

Il profite de plus en plus de l’IA pour ses analyses et bien utilisé, il permet une réponse rapide aux menaces informatiques.  

XSS (Cross-Site Scripting) 

Le XSS est une injection de code malveillant (souvent du Javascript) dans un site côté client (navigateur). 

Le XSS permet à un attaquant de :  

  • Rediriger l’utilisateur, souvent pour l’hameçonner 
  • Voler des informations comme les jetons de session ou les cookies  
  • Agir sur le site qui a une faille avec l’identité de l’utilisateur et à son insu 
  • Perturber la lecture d’une page (comme avec une boucle infinie d’alertes) 

Le Cross-Site Scripting est abrégé XSS et non CSS pour ne pas le confondre avec les Cascading Style Sheets. Le X fait référence à la croix, “cross” en anglais.  

Le XSS n’est pas à confondre avec la SQLi qui s’attaque à la base de données côté serveur.

Z

Zero day (faille) 

qui existe toujours au jour J (le fameux “zero day”)  car un patch de correction n’est pas diffusé.    

Tant que la vulnérabilité zero day est inconnue, elle peut être exploitée.   

Ainsi, si par exemple un attaquant trouve une faille de sécurité dans Windows, tant que Microsoft ne la détecte pas et ne publie pas de patch de correction ça reste une faille zero day.   

Suite à la publication du patch, elle devient une faille one day (1-day) ou N-day, car le correctif est publié.   

De nombreuses vulnérabilités zero day ne sont en fait pas tout de suite utilisé, mais parfois monnayées. Le cyberattaquant va vendre sa découverte, qui, à son tour exploitera la faille ou la revendra.   

Une des attaques les plus connues est le ver informatique Stuxnet qui exploitait 4 failles zero day. Stuxnet aurait été conçu par la NSA pour s’attaquer aux centrifugeuses d’enrichissement d’uranium iraniennes.  

Zero Trust 

Le Zero Trust est une architecture qui par défaut ne fait pas confiance à l’utilisateur car la notion de périmètre a évolué avec le cloud, le BYOD (Bring Your Own Device) et le télétravail.  

En effet, face à cette évolution des pratiques professionnelles, les mesures de sécurité habituelles telles que les VPN, les pares-feux et le cloisonnement physique ou logique ne suffisent plus car l’utilisateur, dès lors qu’il a accès au réseau de l’organisation, a accès à de larges ressources par défaut. On lui accorde une confiance implicite. 

Cependant, une architecture de type Zero Trust ne peut pas se substituer à une logique périmétrique mais vient en complément.  

Retour en haut de page