C-

Centre Opérationnel de la Sécurité des Systèmes d’Information (COSSI)

  • Assure la mise en œuvre de la fonction d’autorité de défense des systèmes d’information dévolue à l’ANSSI. Son action s’exerce en priorité au profit des administrations de l’État et des opérateurs d’importance vitale.

 


Certificate

  • voir certificat électronique

 


Certificat électronique
(ou Certificate)

  • Ensemble de données permettant de vérifier et d’attester l’identité d’une personne ou d’une entité. Le certificat électronique est délivré par une autorité de certification (voir autorité de certification).

 


Certificate Authority (CA)

  • voir autorité de certification

 


Certification de Sécurité de Premier Niveau (CSPN)

  • Certification délivrée par l’ANSSI qui permet d’attester qu’un produit a subi avec succès une évaluation de sécurité par un centre d’évaluation (CESTI – Centre d’Évaluation de la Sécurité des Technologies de l’Information) agréé. La CSPN est une alternative moins onéreuse et moins longue aux évaluations Critères Communs (voir définition), lorsque le niveau de confiance visé est moins élevé.

 


Certificate revocation list

  • voir liste de révocation de certificat

 


CERT (Computer Emergency Response Team) (ou Centre d’alerte et de réaction aux attaques informatiques)

  • Organisme national ou indépendant chargé de veiller, d’alerter et d’assister les entreprises ou les administrations en cas d’attaques informatiques. Les CERT peuvent également être appelés CSIRT (Computer Security Incident Response Team). Dans le cas de la France, les CSIRT homologués sont répertoriés sur le site www.cert. ssi.gouv.fr

 


CESTI (Centre d’Évaluation de la Sécurité des Technologies de l’Information)

Prestataire de service, indépendant, agréé par l’ANSSI. Il doit respecter les règles du schéma de certification français qui permet deux types d’évaluation :

  • Conformité d’un produit aux Critères Communs (CC)
  • Certification de Sécurité de Premier Niveau (CSPN)

 


Chief Information Security Officer (CISO)

  • voir responsable de la securité des systèmes d’information (rssi)

 


Chief Security Officer (CSO)

  • Personne en responsabilité de l’élaboration et de la surveillance des politiques et des programmes de gestion des risques de sécurité, reliés aux personnes, aux actifs de l’entreprise et aux biens physiques.

 


Chief Technology Officer (CTO)

  • voir directeur de la technologie

 


Chiffrement (ou Cipher)

  • Procédé visant à rendre incompréhensibles des informations aux personnes qui n’ont pas la clé de décodage.

 


Chiffrement asymétrique

  • Système de chiffrement utilisant une clé de déchiffrement privée différente de la clé ayant servi au codage des informations.

 


Chiffrement symétrique

  • Système de chiffrement utilisant la même clé pour chiffrer et déchiffrer les informations.

 


Cible de sécurité́ (ou Security Target)

  • Document qui spécifie les caractéristiques de sécurité d’un produit conçu pour fournir de la sécurité, en vue de l’évaluation Critères Communs de ces caractéristiques par un organisme de certification. La cible de sécurité sert à la fois de spécification des fonctions dédiées à la sécurité, par rapport à laquelle le produit sera évalué, et de description des liens entre le produit et l’environnement dans lequel celui-ci sera exploité. (Source : ANSSI)

 


Cipher

  • voir chiffrement

 


Clé privée (ou Private key)

  • Encodage non divulgué permettant le déchiffrement d’un message dans le cadre d’un échange d’informations utilisant le principe de la cryptographie asymétrique.

 


Clé publique (ou Public key)

  • Encodage rendu public permettant le chiffrement d’un message selon le principe de la cryptographie asymétrique.

 


Club de la Sécurité de l’Information Français (CLUSIF)

  • Association à but non lucratif qui a pour mission d’élaborer puis de transmettre (aux professionnels comme aux particuliers) un ensemble de bonnes pratiques en matière de sécurité de l’information.

 


Common Criteria (CC)

  • voir critères communs

 


Compte à privilèges

  • Compte bénéficiant de droits d’accès étendus permettant à des utilisateurs malveillants de porter plus facilement ou plus gravement atteinte à la sécurité ou au fonctionnement d’un système d’information. (Ex. compte d’administrateur système). (Source : ANSSI)

 


Confidentialité́

  • La confidentialité a été définie par l’Organisation internationale de normalisation (ISO) comme « le fait de s’assurer que l’information n’est accessible qu’à ceux dont l’accès est autorisé ».

 


Contrôle d’accès à base de rôles

  • voir role based access control (rbac)

 


Correctif de sécurité́

  • Section de code ajouté à un programme pour y apporter des modifications, dans le but de corriger des failles de sécurité et/ou de diminuer la criticité des risques d’attaques sur ce programme.

 


Critères Communs (ou Common Criteria)

  • Ensemble de normes (ISO 15408) internationalement reconnu dont l’objectif est d’évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques.

 


Cryptographie

  • Discipline s’attachant à protéger des messages (assurant confidentialité, authenticité et intégrité) en s’aidant de secrets ou de clés de chiffrement.

 


Cryptolocker

  • Acte malveillant visant à bloquer l’accès aux fichiers d’un système jusqu’au paiement d’une rançon.

 


Cryptologie

  • Domaine de la science du secret, constitué de la cryptographie et de la cryptanalyse.

 


Cyber Incident Response Team (CIRT)

  • Groupe de personnes chargées de répondre aux incidents de sécurité, aux attaques et autres actes malveillants survenant sur le système d’information des entreprises à risque ou sensibles. (Source : GARTNER)

 


Cyber Information Sharing and Collaboration Program (CISCP)

  • Programme mis en place par le Department of Homeland Security (DHS) américain pour améliorer la remontée et le partage de l’information en matière de cybersécurité, entre les opérateurs d’importance vitale et les instances gouvernementales américaines.

 


Cyber Threat Intelligence (CTI)

  • Discipline dont l’objectif est la collecte et l’organisation de toutes les informations liées aux menaces du cyberespace, afin de mieux se préparer à les affronter ou d’identifier les premiers signes d’une attaque d’envergure.

 


Cybercriminalité́

  • Ensemble des infractions pénales commises sur ou au moyen d’un système informatique, généralement connecté à un réseau.

 


Cyberdéfense

  • Ensemble des activités conduites par un pays (cybersûreté, cyber-sécurité, cyberrésilience et cyberagression) dans le but de défendre militairement ou non les systèmes d’information en lien avec la sécurité nationale.

 


Cyberrésilience

  • Approche visant à impliquer davantage les individus dans la protection des systèmes d’informations de leur entreprise. La cyber-résilience se définit donc comme une méthode de gestion active de la sécurité basée sur une implication croisée des individus, des processus et de la technologie.

 


Cybersécurité

  • Ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des états et des organisations (avec un objectif de disponibilité, intégrité & authenticité, confidentialité, preuve & non-répudiation).