TPCRM :
Le Third-Party Cyber Risk Management (Gestion des Risques Cyber liés aux Tiers) est un processus stratégique visant à identifier, évaluer et atténuer les risques de cybersécurité provenant de l'écosystème externe d'une entreprise (fournisseurs, partenaires, sous-traitants).
TPRM :
Le Third-Party Risk Management est une démarche globale de gestion des risques (financiers, opérationnels, juridiques, réputationnels) associés au recours à des prestataires externes. Le TPCRM en est la composante spécifiquement axée sur la cybersécurité.
Risque fournisseur :
Désigne la menace potentielle qu'un prestataire de services fait peser sur une organisation, qu'il s'agisse d'une interruption de service, d'une défaillance ou d'une faille de sécurité impactant la continuité d'activité.
Audit fournisseur :
Processus de vérification de la conformité d'un prestataire par rapport à des exigences définies. Il peut être réalisé sur pièces, sur site ou via des outils de notation automatisés pour valider le niveau de sécurité réel.
Score cyber :
Indicateur de performance chiffré permettant d'évaluer le niveau de maturité et de sécurité informatique d'une organisation, souvent basé sur l'analyse de son exposition externe.
Vulnérabilité :
Faiblesse ou faille dans un système d'information, un processus ou un contrôle interne qui peut être exploitée par une menace pour porter atteinte à la sécurité des données.
Tenant :
Dans le cadre du Cloud (SaaS), un tenant est une instance isolée d'une application ou d'une infrastructure logicielle dédiée à un client unique, garantissant le cloisonnement de ses données.
Pentest :
Test d'intrusion. Simulation d'attaque informatique réelle menée par des experts pour identifier les vulnérabilités exploitables d'un système avant qu'elles ne soient utilisées par des attaquants.
Due diligence :
Ensemble des vérifications effectuées par une entreprise avant de conclure un contrat avec un tiers, afin de s'assurer de sa conformité réglementaire et de son niveau de sécurité cyber.
Risque humain :
Probabilité qu'une erreur, une négligence ou une action malveillante provenant d'un individu (employé ou prestataire) entraîne un incident de sécurité informatique.
CTI :
Cyber Threat Intelligence (Renseignement sur les menaces). Analyse des informations sur les attaques et les groupes d'attaquants pour anticiper les menaces et adapter les défenses.
NIS2 :
Directive européenne visant à renforcer et harmoniser le niveau de cybersécurité des entités critiques et importantes au sein de l'Union Européenne.
DORA :
Digital Operational Resilience Act. Règlement européen imposant des normes strictes de résilience numérique pour le secteur financier et ses prestataires informatiques critiques.
ISO 27001 :
Norme internationale définissant les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI).
CRA :
Cyber Resilience Act. Règlement européen fixant des exigences de cybersécurité pour la commercialisation de produits comportant des éléments numériques.
NIST :
National Institute of Standards and Technology. Organisme américain publiant des cadres de référence en cybersécurité (NIST CSF) mondialement reconnus.
CIS :
Center for Internet Security. Organisation proposant des bonnes pratiques et des configurations de sécurité (Benchmarks) pour sécuriser les systèmes d'information.
HDS :
Hébergeur de Données de Santé. Certification obligatoire en France pour toute structure hébergeant des données de santé personnelles, garantissant leur protection spécifique.
Shadow IT :
Utilisation par des collaborateurs de services, logiciels ou matériels informatiques sans l'approbation ou le contrôle de la direction des systèmes d'information (DSI).
EASM (External Attack Surface Management) :
Gestion de la surface d'attaque externe. Surveillance continue des actifs d'une entreprise exposés sur Internet afin de détecter et sécuriser les points d'entrée potentiels.
Remediation (MTTR) :
La remédiation est l'action de corriger une vulnérabilité. Le MTTR (Mean Time To Remediate) est l'indicateur mesurant le temps moyen de résolution d'une faille.
GRC :
Gouvernance, Risques et Conformité. Cadre de gestion visant à aligner la stratégie IT avec les objectifs de l'entreprise tout en respectant les contraintes réglementaires.
OIV :
Opérateur d'Importance Vitale. Entité dont l'activité est jugée indispensable pour la survie ou la sécurité de la nation, soumise à des règles de sécurité renforcées.
OSE :
Opérateur de Services Essentiels. Entité fournissant un service indispensable à l'économie ou à la société, soumise aux obligations de la directive NIS.
RSSI :
Responsable de la Sécurité des Systèmes d'Information. Expert chargé de définir et d'animer la politique de sécurité numérique au sein d'une organisation.
SI / SSI :
Le Système d'Information (SI) représente l'ensemble des ressources numériques. La Sécurité des Systèmes d'Information (SSI) regroupe les mesures pour le protéger.
MFA :
Multi-Factor Authentication. Système d'authentification nécessitant au moins deux facteurs différents pour valider l'identité d'un utilisateur.
PAS (Plan d'Assurance Sécurité) :
Document contractuel décrivant les engagements et les mesures de sécurité mis en œuvre par un prestataire pour protéger les données de son client.
PCI-DSS :
Norme de sécurité internationale pour la protection des données des titulaires de cartes de paiement lors du traitement et du stockage.
Certification :
Validation officielle par un tiers indépendant du respect d'un référentiel de sécurité ou d'une norme spécifique par une entreprise.
Supply Chain :
Chaîne d'approvisionnement. En cybersécurité, elle concerne l'ensemble des acteurs logiciels et matériels pouvant être ciblés pour atteindre une organisation finale.
Notation en continu :
Évaluation automatisée et en temps réel de la posture de sécurité d'une entité, par opposition à un audit ponctuel figé dans le temps.
Data breach / Data leak :
Violation ou fuite de données. Incident où des informations confidentielles sont consultées, volées ou exposées de manière non autorisée.
Shadow vendors :
Fournisseurs tiers utilisés par des départements métiers sans que les services Achats ou Sécurité ne soient informés, créant des risques non gérés.
Audit GRC :
Contrôle portant sur l'organisation de la gouvernance, la gestion des risques et le respect des cadres de conformité réglementaires.
Dépôt de preuves :
Mise à disposition de documents justificatifs par un fournisseur pour prouver la mise en œuvre effective de ses contrôles de sécurité.
Test d'intrusion :
Voir Pentest. Évaluation technique consistant à tenter d'exploiter les failles d'un système pour en tester la robustesse.
Questionnaire auto-déclaratif :
Formulaire rempli par un fournisseur pour déclarer son niveau de maturité cyber et les mesures de sécurité qu'il affirme avoir mises en place.
Audit sur pièces :
Vérification de la conformité d'une entité basée sur l'analyse documentaire des preuves et rapports fournis, sans test technique direct.
SOC Type 2 :
Rapport d'audit évaluant les contrôles d'une organisation de services relatifs à la sécurité, la disponibilité et la confidentialité des données traitées.
Risk Manager :
Responsable chargé d'identifier, d'évaluer et de piloter le traitement des risques pouvant impacter les activités de l'organisation.
Ebios RM :
Méthode française d'analyse de risques cyber (ANSSI) permettant de définir des mesures de sécurité basées sur des scénarios de menace concrets.
Modèle FAIR :
Cadre d'analyse quantitative des risques informatiques permettant de traduire les risques cyber en impacts financiers potentiels.
SIG :
Standard Information Gathering. Questionnaire de sécurité standardisé utilisé pour l'évaluation et la gestion des risques liés aux tiers.
