Lexique
Cybersécurité | Protection des données
Comprendre le vocabulaire de la cybersécurité, de la sécurité de l’information et de la protection des données est essentiel pour maîtriser les enjeux de ces sujets. Ce lexique vous propose des définitions simples et précises des termes les plus couramment utilisés.
Table des matières - Lexique de la cybersécurité
1. Normes et certifications
ISO 27001
Norme internationale de référence en matière de sécurité de l’information. Elle définit les bonnes pratiques permettant aux organisations de protéger leurs données, de gérer les risques de confidentialité, intégrité et disponibilité de l’information, et de mettre en place un système de management de la sécurité de l’information (SMSI). La certification ISO 27001 atteste de l’engagement d’une organisation en faveur de la sécurité de l’information et de la sécurité de ses systèmes d’information.
ISO 27701
Norme internationale dédiée à la protection des données personnelles et à la gestion de la vie privée. Complémentaire à la norme ISO 27001, elle aide les organisations à mettre en place des mesures pour sécuriser les données personnelles, renforcer leur conformité à la règlementation sur la protection des données (LPD, RGPD, etc.) et démontrer leur engagement en matière de protection de la vie privée.
ISO 42001
Première norme internationale consacrée à la gouvernance de l’intelligence artificielle. ISO 42001 accompagne les organisations dans la mise en place de règles et de processus visant à encadrer l’utilisation de l’IA, à maîtriser les risques associés et à garantir une utilisation responsable, transparente et conforme aux exigences réglementaires.
Cyber-Safe
Label suisse de cybersécurité qui permet aux organisations d’évaluer et de renforcer la protection de leurs systèmes d’information et de leurs données. Il repose sur un ensemble de critères portant sur les aspects techniques, organisationnels et humains, afin de démontrer un niveau de sécurité adapté aux risques numériques actuels.
Analyse d’écarts
L’analyse d’écarts (Gap Analysis) consiste à comparer les pratiques actuelles d’une organisation avec les exigences d’une norme, d’une réglementation ou d’un référentiel. Elle permet d’identifier les points à améliorer et les actions à mettre en place pour atteindre le niveau de conformité attendu. Cette étape est souvent réalisée au début d’un projet de mise en conformité ou avant un audit de certification.
2. Protection des données
LPD
La Loi fédérale sur la protection des données (LPD) est la réglementation suisse qui encadre l’utilisation et la protection des données personnelles. Elle impose aux organisations de mettre en place des mesures adaptées pour garantir la sécurité des données personnelles et respecter la vie privée des personnes concernées. La LPD s’applique à toute organisation traitant des données personnelles en Suisse et fixe des règles en matière de transparence, de sécurité et de gestion des incidents.
RGPD
Le Règlement général sur la protection des données (RGPD) est la réglementation européenne qui protège les données personnelles des personnes domiciliées au sein de l’Union européenne. Il encadre la manière dont les organisations collectent, utilisent, stockent et partagent ces informations. Le RGPD impose des règles visant à garantir la transparence, le respect de la vie privée et la sécurité des données. Il s’applique également aux organisations situées hors de l’Union européenne dès lors qu’elles traitent les données de résidents européens.
AIPD
L’Analyse d’impact relative à la protection des données (AIPD) est une étude qui permet d’identifier et d’évaluer les risques liés au traitement de données personnelles. Elle aide les organisations à mettre en place les mesures nécessaires pour protéger la vie privée des personnes concernées. Une AIPD est généralement obligatoire lorsqu’un traitement présente un risque élevé ou concerne des données sensibles.
Registre des traitements
Le registre des traitements est un document qui recense toutes les utilisations de données personnelles au sein d’une organisation. Il décrit notamment quelles données sont collectées, dans quel but elles sont utilisées, qui peut y accéder et combien de temps elles sont conservées. Ce registre est un outil essentiel pour démontrer la conformité au RGPD et à la LPD, et facilite les audits ainsi que les contrôles des autorités compétentes.
3. Gouvernance, Risques & Conformité
GRC
La Gouvernance, Risques & Conformité (GRC) est une approche qui aide les organisations à piloter leurs activités de manière efficace, tout en maîtrisant les risques et en respectant les réglementations applicables. Elle permet de mieux organiser les processus, d’anticiper les risques et de prendre des décisions plus éclairées. Une démarche GRC bien mise en œuvre renforce la sécurité, la conformité et la performance globale de l’organisation.
Analyse des risques
L’analyse des risques permet d’identifier les événements susceptibles d’avoir un impact sur une organisation, qu’ils soient liés à la sécurité, aux opérations ou aux systèmes d’information. Elle aide à évaluer leur niveau de risque et à déterminer les mesures à mettre en place pour les prévenir ou en limiter les conséquences. Cette démarche est essentielle pour protéger les actifs de l’organisation et prendre des décisions éclairées en matière de sécurité et de gestion des risques.
Cartographie des risques
La cartographie des risques permet de visualiser l’ensemble des risques identifiés au sein d’une organisation. Les risques sont généralement classés selon leur probabilité de survenance et leur niveau d’impact. Cette vue d’ensemble aide à repérer les risques les plus importants, à définir les priorités d’action et à suivre leur évolution dans le temps.
Référentiels de conformité
Les référentiels de conformité regroupent les normes, réglementations et bonnes pratiques qu’une organisation peut suivre pour répondre à ses obligations et améliorer son niveau de maîtrise des risques. Ils définissent des exigences en matière de sécurité, de protection des données, de gouvernance ou encore de gestion des risques. Parmi les référentiels les plus connus figurent l’ISO 27001, l’ISO 27701, le RGPD et la LPD.
4. Cybersécurité
Hameçonnage (Phishing)
Le phishing (ou hameçonnage) est une technique utilisée par des cybercriminels pour obtenir des informations sensibles, comme des mots de passe, des coordonnées bancaires ou des données professionnelles. Pour y parvenir, ils se font passer pour des organismes de confiance à travers des e-mails, des messages ou des sites web frauduleux. Le phishing est aujourd’hui l’une des menaces les plus courantes en matière de cybersécurité et peut avoir des conséquences importantes pour les organisations comme pour les particuliers.
Tests de phishing
Les tests de phishing sont des simulations d’attaques par e-mail conçues pour évaluer la vigilance des collaborateurs face aux tentatives d’hameçonnage. En reproduisant des situations réalistes, ils permettent d’identifier les comportements à risque et de mesurer l’efficacité des actions de sensibilisation. Ces exercices aident les organisations à renforcer les bonnes pratiques de sécurité et à réduire les risques liés aux erreurs humaines.
Réponse aux incidents
La réponse aux incidents regroupe les actions mises en place pour détecter, gérer et résoudre un incident de cybersécurité, comme une attaque, une fuite de données ou une compromission de système. Son objectif est de limiter les impacts sur l’activité, de rétablir rapidement les services concernés et d’éviter qu’un incident similaire ne se reproduise. Une procédure de réponse aux incidents bien définie permet à l’organisation de réagir efficacement face aux cybermenaces et de renforcer sa résilience.
Audit de cybersécurité
L’audit de cybersécurité est une évaluation qui permet de mesurer le niveau de sécurité d’une organisation, de ses systèmes d’information et de ses pratiques. Il aide à identifier les vulnérabilités, les risques et les éventuels écarts par rapport aux exigences de sécurité ou de conformité. Les résultats de l’audit permettent de définir des actions concrètes pour renforcer la protection des données, des systèmes et des infrastructures numériques.
Pentest
Le pentest (test d’intrusion) est un exercice de sécurité qui consiste à simuler une attaque informatique afin d’identifier les failles pouvant être exploitées par un attaquant. Réalisé dans un cadre contrôlé, il permet d’évaluer la résistance d’un système, d’une application ou d’un réseau face aux cybermenaces. Les résultats obtenus aident à corriger les vulnérabilités et à renforcer le niveau de sécurité de l’organisation.
OSINT
L’OSINT (Open Source Intelligence) consiste à collecter et analyser des informations accessibles publiquement afin d’en tirer des renseignements utiles. En cybersécurité, cette méthode permet d’identifier les informations exposées sur internet, d’évaluer la visibilité d’une organisation et de repérer d’éventuels risques liés à sa présence numérique. L’OSINT aide ainsi à mieux comprendre et réduire les risques d’exposition aux cybermenaces.
SOC
Le SOC (Security Operations Center) est une équipe ou un service dédié à la surveillance de la sécurité des systèmes d’information. Son rôle est de détecter les activités suspectes, d’analyser les alertes et de réagir rapidement en cas d’incident de sécurité. Grâce à une surveillance continue, le SOC permet aux organisations de mieux se protéger contre les cyberattaques et de limiter leur impact.
5. Management de la sécurité de l'information
SMSI
Le SMSI (Système de management de la sécurité de l’information) est un cadre qui permet à une organisation de protéger ses informations de manière organisée et durable. Il regroupe les règles, les processus et les mesures de sécurité nécessaires pour garantir la confidentialité, l’intégrité et la disponibilité des données. Un SMSI aide l’organisation à maîtriser ses risques, à répondre aux exigences réglementaires et à renforcer sa démarche de cybersécurité.
Gestion des actifs informationnels
La gestion des actifs informationnels consiste à identifier, recenser et protéger les ressources essentielles d’une organisation, telles que les données, les documents, les applications, les équipements informatiques ou encore les connaissances métier. Elle permet de savoir quelles informations sont les plus importantes, d’évaluer les risques qui les concernent et de mettre en place les mesures de sécurité adaptées. Une bonne gestion des actifs contribue à renforcer la sécurité et la continuité des activités de l’entreprise.
Audit de surveillance
L’audit de surveillance est un audit réalisé régulièrement après l’obtention d’une certification afin de vérifier que l’organisation continue de respecter les exigences de la norme concernée. Il permet de s’assurer que les processus restent efficaces, que les bonnes pratiques sont appliquées et que les actions d’amélioration sont bien suivies dans le temps. Dans le cadre de l’ISO 27001, cet audit contribue au maintien de la certification et à l’amélioration continue de la sécurité de l’information.
6. Rôles en cybersécurité et protection des données
DPO
Le Délégué à la protection des données (DPO) est la personne chargée de veiller au respect des règles en matière de protection des données personnelles au sein d’une organisation. Il conseille les équipes, accompagne les projets impliquant des données personnelles, sensibilise les collaborateurs et s’assure que les bonnes pratiques sont appliquées. Il peut également servir d’interlocuteur auprès des autorités de contrôle et des personnes concernées par le traitement de leurs données.
CISO
Le CISO (Chief Information Security Officer) est le responsable de la sécurité des systèmes d’information au sein d’une organisation. Il définit la stratégie de cybersécurité, supervise la gestion des risques informatiques et veille à la protection des données et des infrastructures. Son rôle est à la fois stratégique et opérationnel, puisqu’il pilote les politiques de sécurité, coordonne les équipes techniques et s’assure de la conformité aux normes et réglementations en vigueur.
ISMS Manager
L’ISMS Manager (ou responsable du SMSI en français) est chargé de la mise en œuvre, du suivi et de l’amélioration du Système de management de la sécurité de l’information (SMSI). Il veille à l’application des politiques de sécurité, à la gestion des risques et au respect des exigences de la norme ISO 27001. Il joue un rôle central dans la coordination des actions de conformité, la préparation des audits et le maintien de l’efficacité du système de sécurité.
Lead implementer
Le Lead implementer est un expert qui aide les organisations à se conformer à des normes reconnues comme l’ISO 27001, ISO 27701 ou ISO 42001. Il les accompagne à chaque étape, de l’organisation des processus à la préparation de la certification. Cette qualification fait partie des compétences nécessaires pour mener à bien ce type de projet.
Lead auditor
Le Lead auditor est un auditeur certifié chargé de préparer, réaliser et superviser des audits selon des normes reconnues, comme l’ISO 27001, ISO 27701 ou ISO 42001. Son rôle est de vérifier qu’une organisation respecte les exigences de la norme, d’identifier les éventuels écarts et de proposer des pistes d’amélioration. Cette qualification est particulièrement reconnue dans les domaines de la cybersécurité, de la conformité et de la gestion des risques.