Loading ...
Site piraté ?

Glossaire de la Cybersécurité et du Web

Découvrez la liste des notions clés du web et de la cybersécurité. Avec son classement par ordre alphabétique, retrouvez aisément un terme avec sa signification. N’hésitez pas à sauvegarder cette page dans vos favoris pour y revenir facilement dès que vous le souhaitez.

Adresse IP
L’adresse IP est une suite de nombres séparés par des points qui identifient chaque périphérique connecté à internet.
ANSSI
Agence nationale de la sécurité des systèmes d’information assurant la mission d’autorité nationale en matière de sécurité des systèmes d’information. À ce titre, elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’Etat et de vérifier l’application des mesures adoptées.

Dans le domaine de la défense des systèmes d'information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l'État.
API
API signifie « application programming interface », soit Interface de programmation. C’est un dispositif qui permet à un logiciel donné de mettre à disposition ses services à d’autres logiciels.
Arborescence d’un Site
L’arborescence d’un site site et application web est le schéma visuel qui résulte d’une cartographie permettant de voir hiérarchiquement la structure et le lien entre les différentes pages composant un site ou une application web.
Attaque man in the middle
Une attaque « Man in the Middle », ou l’attaque de « l’homme du milieu », est un type d’attaque par lequel un attaquant arrive à intercepter les données d’un échange sécurisé en s’interposant entre les deux protagonistes, chacun pensant avoir à faire au bon interlocuteur.
Audit avancé
Audit de sécurité dans lequel l’utilisateur contrôle manuellement tous les paramètres relatifs à l’audit afin d’avoir un audit performant et personnalisé.
Audit débutant
Premier audit rapide permettant d’obtenir une vision d’ensemble sans avoir à effectuer des paramétrages complexes. Ce type d’audit est déconseillé pour les experts.
Audit de sécurité
Acte permettant d’établir l’état de sécurité d’un site internet ou d’une application site et application web par rapport à des normes et conventions données. (CVE, OWASP, ISO)
Audit post mortem
Un Audit Post Mortem, ou « forensic », est un Audit de sécurité effectué dans un court laps de temps après une attaque ou une intrusion. Son but est de déceler les failles de sécurité, d’effectuer les correctifs adéquats et d’adopter des bonnes pratiques pour limiter les conséquences de l’attaque passée et celles à venir.
Authentification / Authentification multi facteurs
L’authentification est le processus permettant à un tiers de se connecter auprès d’un système dans le but d’accéder à des données ou services protégés.

La plupart des authentifications reposent sur un système de « Login + mot de passe », mais on assiste à l’émergence d’authentifications multi-facteurs, qui sont plus sécurisées. Par exemple, une authentification au moyen d’un code unique est beaucoup plus sécurisée que la traditionnelle combinaison identifiant-mot de passe.
Autorité de certification
Une Autorité de certification est un tiers de confiance qui permet d’authentifier deux correspondants.
Black box
Un audit en Black Box correspond à un Audit de sécurité dans lequel l’auditeur (humain ou robot), dispose des mêmes accès qu’un visiteur sur une application web ou un site internet, sans accès à un espace authentifié ou administrateur.
Black Hat hacker
Les Black Hat, en opposition aux White Hat, sont des hackers non éthiques qui s’en prennent de manière illégale à des entreprises, structures et individus dans un but purement financier.
Big data
Le big data, ou mégadonnées, regroupe toutes les données numériques découlant de l’utilisation des nouvelles technologies autant dans un usage professionnel que personnel. À cause de son volume gigantesque (2,5 trillions d’octets/jour), le Big data ne peut être réellement analysé en tant que tel.
BYOD (bring your own device)
Méthode de travail d’origine américaine qui consiste à utiliser son matériel informatique personnel pour le travail. Si elle est avantageuse pour le travailleur, elle représente néanmoins un risque élevé dans la sécurité des données d’entreprise.
Carte interactive HTTPCS
La carte interactive HTTPCS https://map.httpcs.com est un atout majeur qui permet à ses visiteurs de voir en temps réel les attaques détectées par Cyber Vigilance à travers le monde entier.
Cartographie à 100%
La cartographie à 100 % d’une application web ou d’un site internet est le fait d’indexer l’intégralité d’une application pour un robot, même les pages les moins accessibles.
Certificat SSL
Un certificat Secure Sockets Layer est un protocole de sécurisation des échanges sur internet qui permet d’assurer l’inviolabilité d’un échange entre deux parties à l’aide d’une troisième partie : l’autorité de certification.
Cloud Act
Le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act est une loi fédérale américaine censée faciliter l’obtention des données personnelles stockées par les fournisseurs de service américains, qu’elles soient stockées aux Etats-Unis ou non, voir article dédié.
CMS (Wordpress / Drupal / Magento / Joomla / Prestashop)
Un Content Management System ou CMS est un type de logiciel permettant de créer et alimenter un site web ou une application web, du blog au site vitrine.
Codes 200 / 300 / 400 / 500 / etc
Les différents codes http correspondent aux différents résultats d’une requête. Par exemple, le code 200 indique le succès de la requête, les codes 3XX sont les redirections ou encore les codes 4XX regroupent toutes les erreurs. L’erreur 404 étant la plus connue, elle désigne l’absence d’une page.
Console utilisateur
La Console Utilisateur est l’interface SaaS qui permet aux utilisateurs des solutions HTTPCS de gérer tous les aspects de leur cybersécurité.
Contenus dynamiques
Dans le cadre d’une app web ou d’un site internet, le contenu dynamique est un contenu qui s’affiche différemment pour chaque utilisateur. Ce type de contenu est généralement codé en JavaScript, bien que d’autres langages de programmation permettent l’élaboration d’un contenu dynamique.
Contenu Corrompu
Un contenu corrompu implique une violation volontaire ou accidentelle de son intégrité, modifiant ainsi sa nature et son fonctionnement.
Contenu malveillant
Un contenu malveillant est un fichier ou une application ayant pour but de nuire à un système ou des données en y accédant ou en les endommageant.
Correction de faille
Le « patch » ou la « correction de faille » consiste à effectuer des modifications dans la structure du site internet ou de l’application web afin de rendre une vulnérabilité inexploitable.
CSR
La Certificate Signing Request ou « demande de signature de certificat » est le fait d’adresser une demande à une autorité de certification.
Crawling / crawler
Voir Robots / agents virtuels
CVE
Common Vulnerabilities and Exposures est un dictionnaire des informations publiques relatives aux failles de sécurité.
CWE
Le Common Weaknesses Enumeration est un dictionnaire rédigé par le MITRE qui rassemble et répertorie les vulnérabilités et failles qui affectent des logiciels.
Cyber Malveillance
Cyber Malveillance est un dispositif gouvernemental français qui a pour but premier d’aider les victimes de piratage (dépôt de plainte) et leur donner des coordonnées de prestataires pour sécuriser leurs données. La plateforme diffuse aussi des bonnes pratiques en matière de cyber sécurité.

HTTPCS fait partie des organismes référencés par Cyber Malveillance.
Cyber Vigilance
Cyber Vigilance est la solution de Threat Intelligence de la suite HTTPCS. Elle permet aux utilisateurs d’être alertés en temps réel si leurs données sensibles apparaissent sur le Deep Web et le Dark Web.
Dark Net
Le dark Net est la partie internet qui est inaccessible par les moteurs de recherche classiques. Ce réseau s’appuie sur des protocoles spécifiques pour garantir un anonymat renforcé aux utilisateurs naviguant sur ces pages web.
Dark Web
Le dark web est une partie des pages web qui n’est pas indexée par les moteurs de recherches. Elle peut parfois abriter du contenu illégal, car l’accès à ces pages se fait souvent de manière anonyme et quasiment intraçable.
Deep Web
Tout comme le Dark Web, le Deep Web représente une partie non indexée par les moteurs de recherche. Cependant, ces pages concernent du contenu légal mais protégé, comme la page de votre compte en banque accessible avec vos identifiants par exemple.
Défacement
Un défacement, (du mot anglais « defacing ») est un anglicisme désignant la modification non sollicitée de la présentation d'un site web, à la suite d’un piratage. Il s'agit donc d'une forme de détournement de site Web par un hacker
Défense proactive
En cybersécurité, la défense proactive revient à anticiper les attaques informatiques plutôt que d’attendre leur survenue pour réagir. Ce comportement permet de limiter les faiblesses, failles et vulnérabilités du système informatique, aussi bien techniquement qu’humainement.
DNS monitoring
Le Domain Name System monitoring est un dispositif qui permet de s’assurer que votre nom de domaine redirige bien vers votre site web ou votre application.
Données sensibles
Une donnée sensible est une donnée à caractère personnel, c’est à dire qu’elle révèle des informations sensibles sur un individu, origine, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, orientation sexuelle ou même des données génétiques ou biométriques.
DSSI ou RSSI
Le Directeur ou Responsable de la Sécurité des Systèmes Informatiques est la personne chargée de veiller à la mise en conformité et à la planification des mesures à appliquer afin d’avoir une bonne politique de protection des ressources et technologies de l’information.
Faille de sécurité exploitable
Une faille de sécurité exploitable est une faille qui peut réellement compromettre l’intégrité d’un site ou d’une application web.
Faux positif
En cybersécurité, le faux positif est assimilé à une erreur de détection. Le scanner de vulnérabilités déclare une faille de sécurité exploitable par un pirate alors qu’elle est inoffensive, et envoie ainsi une fausse alerte à l’utilisateur. Elle a pour conséquence une perte d’argent et de temps pour l’entreprise concernée.
Fréquence de surveillance
La fréquence de surveillance est le temps qui s’écoule entre deux contrôles d’un serveur, site ou app web.
Fuites de données
Une fuite de données est un évènement accidentel ou volontaire (acte de pirate informatique) ayant pour conséquence la mise à disposition illégale d’informations sensibles ou bien d’une base de données.
Faille ou Vulnérabilité de sécurité
Une faille ou vulnérabilité de sécurité est une erreur de conception ou bien une spécificité d’un système informatique qui peut permettre à un individu de porter atteinte à ce système en exploitant ladite faille.

L’OWASP et le CVE sont deux organismes qui catégorisent, classent et répertorient les failles et vulnérabilités rencontrées par les entreprises et les particuliers.
Forums pirates / réseau de hackers
Les forums pirates sont des espaces de discussion bien souvent hébergés dans le Dark Web, dans lesquels les pirates informatiques échangent des informations à propos de failles découvertes, ou bien pour se vanter de leurs exploits.
GET
Le GET est une requête d'une page web avec des variables et leurs valeurs spécifiées à la fin de l'url (après un '?'). Cette méthode permet à l'utilisateur d'avoir un lien qu'il peut sauvegarder et qui mène vers cette page spécifique.

(Exemple : /test/demo_form.asp?name1=value1&name2=value2 (variables: name1 et name2, valeurs: value1 et value2)
Grey box
Un audit en Grey Box correspond à un audit de sécurité dans lequel l’auditeur (humain ou robot), dispose des mêmes accès qu’un internaute ayant accès à un espace authentifié ou administrateur.
Hacker
Un hacker est un individu qui utilise ses connaissances poussées en informatique afin de chercher des failles ou exploitation dans des actifs informatiques. Qu’il soit éthique ou non, le hacker cherche à contourner et dépasser les éléments de sécurité instaurés par les marques et fabricants de matériel informatique.
Headless
Le terme Headless est un adjectif désignant un navigateur fonctionnant sans interface graphique. Cette technologie permet à un scanner de vulnérabilité de parcourir l’intégralité de toutes les applications web et site internet, en incluant les contenus dynamiques (comme du javascript).
Historique des données
L’historique des données dans une solution représente la durée pendant laquelle un organisme ou une structure conserve les données relatives à l’utilisation de cette solution.
HTTP
http signifie Hyper Text Transfer Protocol. Il s’agit d’un protocole de communication entre un serveur et un client qui se fait par un système de requête développé pour le World Wide Web.
HTTPS
Le HTTPS signifie Hyper Text Transfer Protocol Secure. Il désigne un protocole HTTP protégé par un Chiffrement SSL.
Incident response
L’incident response (littéralement « réponse à incident ») regroupe l’ensemble des protocoles et méthodologies destinées à réagir de la meilleure manière à la suite d’un incident de cybersécurité.
Indisponibilité
L’indisponibilité d’un site internet, d’une application web ou d’un serveur désigne la période durant laquelle le service n’est pas accessible à ses utilisateurs. Ces périodes peuvent être détectées avec un système de Monitoring
Intégrité web
L’intégrité Web désigne le fait de veiller à ce qu’un site internet ou une app web ne subisse aucune altération, destruction volontaire ou accidentelle.
Integrity by HTTPCS
Integrity est le contrôleur d’intégrité de HTTPCS. Il vous permet d’être notifié au moindre changement subi par une application web ou un site internet, estimé frauduleux ou non.
Internet of Things (IOT)
Internet of Things (IoT) ou Internet des Objets en français (IdO) est un terme récent qui désigne l’ensemble des objets du quotidien connectés à internet.
ISO 27001, 27002 etc.. SMSI
Le SMSI (Système de Management de la Sécurité de l’Information) regroupe un ensemble de politiques et de normes destinées à assurer la bonne gestion de la sécurité de l’information.
Lien hypertexte
Un lien hypertexte (ou lien externe) est un lien contenu dans un site internet ou une application web qui redirige vers un autre site ou une application.
Logiciel local et SaaS
Le logiciel en tant que service ou « software as a service » (SaaS) est une application mise à disposition par un fournisseur qui est accessible via un navigateur internet et qui ne nécessite aucune installation de la part de l’utilisateur.
Machine Learning
Le Machine Learning est un champ d’étude de l’intelligence artificielle dans lequel il est question de créer des algorithmes qui peuvent apprendre et s’améliorer continuellement en travaillant avec de grandes quantités de données.
Malware
Un malware, contraction de « Malicious » (malicieux) et « software » (logiciel) désigne un logiciel créé afin de nuire à autrui, de quelque façon qu’il soit.
MITRE
Le MITRE est une organisation américaine à but non lucrative dont le but est d’agir pour l’intérêt public dans des domaines comme la sécurité informatique.
Monitoring
Un service de Monitoring est une solution qui permet de mesurer la disponibilité d’un site internet, d’une application web ou d’un serveur.
Multi domaine (SAN)
Les certificats SAN (Subject Alternative Names) sont des certificats SSL qui permettent de sécuriser plusieurs noms de domaines.
Niveaux de criticité
Le niveau de criticité désigne l’attribution automatique d’un niveau de dangerosité à une faille. Selon son exploitabilité et le potentiel de nuisance, la faille se voit attribuer un niveau allant de « Low » (faible risque) à « High » (risque dangereux)
Nom de domaine
Le nom de domaine ou « Domain Name System » est l’adresse internet d’une application ou d’un site internet. C’est grâce au nom de domaine que les internautes peuvent trouver votre entreprise en entrant cette adresse dans un moteur de recherche.
OWASP 10
L’Open Web Application Security Projet est un organisme qui publie un classement des 10 vulnérabilités les plus critiques pour les sites et applications web.

Voici un récapitulatif des failles du Owasp 10 :

  • Injections : risque d’injection de commande (Système, SQL, Shellcode, ...)
  • Broken Authentification and Session Management : risque de casser ou de contourner la gestion de l’authentification et de la session (vol de session, récupération de mots de passe)
  • Cross-Site Scripting (XSS) : injection de code HTML dans une page, provoquant des actions non désirées sur une page Web. Les failles XSS sont particulièrement répandues parmi les failles de sécurités Web.
  • Broken Access Control : failles de sécurité sur les droits des utilisateurs authentifiés. Les attaquants peuvent exploiter ces défauts pour accéder à d'autres utilisateurs.
  • Security Misconfiguration : failles liées à une mauvaise configuration des serveurs Web, applications, base de données ou framework.
  • Sensitive Data Exposure : failles de sécurité exposant des données sensibles comme les mots de passe, les numéros de carte de paiement ou encore les données personnelles
  • Insufficient Attack Protection : manque de respect des bonnes pratiques de sécurité.
  • Cross-Site Request Forgery (CSRF) : failles liées à l’exécution de requêtes à l’insu de l’utilisateur.
  • Using Components with Known Vulnerabilities : failles liées à l’utilisation de composants tiers vulnérables.
  • Underprotected APIs : manque de sécurité des applications utilisant des API
PCI DSS
La PCI DSS (Payment Card Industry Data Security Standards) est une norme de sécurité relative aux cartes de paiement.
Phishing
Un Phishing (ou hameçonnage) est une tentative d’extorquer des informations personnelles ou bancaires à un individu en se faisant passer pour un tiers de confiance.
Ping
En informatique, le ping est une requête envoyée à un système afin de vérifier son accessibilité et sa latence (temps de chargement).
Points de contrôle
Dans le cadre d’un système de monitoring, le ping est un serveur situé à un endroit précis du globe qui pourra tester la disponibilité de votre site internet ou application web.
POST
La méthode http POST envoie des variables de manière cachée par le navigateur. Cette méthode est généralement privilégiée pour l'envoi d'un formulaire contenant des données sensibles
Preuve d’accessibilité / empreinte
Dans le cadre d’une solution de monitoring, la preuve d’accessibilité ou empreinte se traduit par une phrase ou une ligne de code. Son affichage normal au sein du site constitue la preuve de disponibilité.
Ransomware
Un ransomware (ou « rançongiciel ») est un logiciel malicieux dont l’objectif est de chiffrer les données de l’ordinateur infiltré puis de réclamer une rançon (bien souvent en crypto-monnaie) contre leur déchiffrement.

Il n’est pas recommandé de céder à l’appel à la rançon, bien souvent les malfaiteurs n’ont aucun moyen de déchiffrer un système corrompu.
Rapports détaillés
Un rapport est disponible à la fin de chaque audit de sécurité. Il présente les failles, les correctifs à effectuer, les bonnes pratiques et toutes les informations nécessaires à l’amélioration de la sécurité informatique de l’entreprise.
Red Team, Blue Team et Purple team
En Penstesting, la Red Team est une équipe offensive chargée de simuler une attaque. La Blue Team est quant à elle une équipe défensive chargée de simuler une défense.

La Purple Team regroupe ces deux équipes qui travaillent en chœur dans le but d’adopter des bonnes mesures après des tests de pénétration 
Référencement naturel
Le référencement naturel ou SEO (Search Engine Optimization) est une discipline qui consiste à travailler les contenus d’un site internet et leurs structures pour atteindre la meilleure position possible dans les résultats des moteurs de recherche (les SERP).
RGPD
Le règlement général sur la protection des données est un texte européen relatif à l’encadrement de la collecte de données personnelles appartenant à des individus (nom, prénom, date de naissance, adresse IP, coordonnées bancaires, etc…). Les entreprises sont soumises à des obligations lourdes concernant la conservation, le traitement et la sécurisation de ces données, afin d’éviter leur fuite sur internet.
Robot virtuels / Agents virtuels
Un robot ou un agent virtuel est un programme informatique chargé d’indexer et de cartographier une cible donnée sur internet. Il désigne aussi bien un robot agissant pour un moteur de recherche comme Google qu’un robot chargé d’indexer le dark web et deep web comme le robot de Cyber Vigilance.
Sceau de certification
Le Sceau de Certification est un badge à afficher sur son site internet ou son app web. HTTPCS permet à ses utilisateurs qui adoptent les bonnes pratiques de cybersécurité et qui réalisent des audit réguliers d’apposer sur leur site un sceau de confiance inédit.

Ce sceau de confiance dynamique augmente la confiance et l’implication des visiteurs envers votre entreprise.
Script kiddie
Un script Kiddie (parfois appelé « lamer ») est un pirate informatique possédant peu de compétences techniques. Il essaie d’exploiter des failles connues ou utilise des scripts ou Toolkits dans le but de nuire purement et simplement sans chercher à faire du profit.
Security by HTTPCS
Security est la solution phare de HTTPCS. Il s’agit d’un scanner de vulnérabilités performant qui permet de découvrir et de corriger les failles d’une application web ou d’un site internet.
Seuils d’alertes
Le seuil d’alerte est une fonctionnalité d’une solution de monitoring web qui permet de déclencher une alerte d’indisponibilité, seulement si un seuil est atteint.

Ce seuil de ping mesuré en millisecondes permet de différencier un ralentissement anodin d’une perte de performance préjudiciable pour l’entreprise.
Simulateur de failles
Le simulateur de failles est une technologie exclusive de HTTPCS lui permettant de vérifier l’exploitabilité d’une faille avant de la remonter. Non seulement ce simulateur garantit une absence de faux positif, mais il améliore aussi la correction et la compréhension d’une faille.
Site et application web
Un site et une application web sont des infrastructures accessibles via un navigateur web, dont le but est de transmettre du contenu, de vendre un produit ou de proposer un service à des visiteurs sans qu’une installation soit requise.
Test d’intrusion/ pentest
Un test d’intrusion (ou pentest) est une tentative volontaire de rechercher des failles de sécurité et des vulnérabilités au sein d’un système à des fins de cybersécurité.
Trojan
Le Trojan est un fichier qui se présente comme un fichier inoffensif, mais qui cache en réalité un logiciel malveillant ou malicieux dans son code qui se déclenchera après son exécution.
TrustSign
Trustsign est la première autorité de certification SSL française. Elle est possédée par la société Ziwit.
Up/down
Up (état de bon fonctionnement) et Down (état de dysfonctionnement) sont les deux états possibles d’un serveur, site ou application web à monitorer.
URL
URL signifie Uniform Resource Locator, est couramment appelée « adresse web ». L’url permet de nommer une ressource présente sur internet.
USA Patriot Act
Le USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) se traduit par « Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme ». Adoptée le 25 octobre 2001, cette législation a pour objectif de renforcer la défense antiterroriste.
Validation de domaine (DV)
La DV est le certificat SSL permettant d’obtenir l’adresse « https » et le cadenas vert.
Validation d’organisation (OV)
La OV est le certificat SSL destiné aux entreprises. Renouvelé tous les deux ans minimum, il offre les plus grandes garanties de protection contre le piratage.
Virus
Un virus informatique est un logiciel contenant du code malveillant capable de se propager vers un autre ordinateur en s’infiltrant dans des logiciels « hôtes ».
Vulnérabilité
Une vulnérabilité dans le domaine de la sécurité informatique est une faille ou faiblesse permettant de nuire à l’intégrité d’un système par son exploitation par des attaquants.
White box
Un audit en White box correspond à un audit de sécurité dans lequel l’auditeur (humain ou robot) dispose d’un accès à la totalité des informations concernant le système.
White hat hacker
Les White Hat sont les pirates informatiques éthiques qui utilisent leurs compétences afin d’améliorer les systèmes de sécurité des infrastructures informatiques.

Leur travail est souvent récompensé par les structures par le biais de primes (bug bounty)
Whitelist
La fonctionnalité de Whitelist permet de qualifier une faille non exploitable (ou très peu) comme « non nocive ». Elle n’apparaitra plus dans les failles à corriger et permet aux équipes techniques d’économiser du temps.
Wild Card
Le certificat Wild Card sécurise un nombre illimité de sous-domaines sur un serveur ou un nombre illimité de serveurs.
Zéro day
Le Zéro day est une vulnérabilité informatique qui n’a encore jamais été découverte ou qui n’a aucun correctif à appliquer.
Ziwit Academy
La Ziwit Academy est un organisme de formation agréé fondé par Ziwit et composé d’experts en sécurité informatique et en hacking éthique. Sa mission est de transmettre les bonnes pratiques relatives à la cybersécurité.