Glossaire cybersécurité

L'authentification à deux facteurs (2FA) est une méthode d'authentification électronique qui ajoute une couche de sécurité supplémentaire aux comptes en ligne, en vérifiant l'identité de l'utilisateur à l'aide de deux éléments distincts.

L'analyse de malware est la pratique consistant à examiner un logiciel malveillant pour comprendre ce qu'il fait, comment il fonctionne et comment il peut être détecté et neutralisé, par des méthodes d'analyse statique et dynamique.

Anonymous Sudan est un groupe hacktiviste apparu début 2023, connu pour ses nombreuses attaques DDoS contre des cibles telles que des établissements de santé, des aéroports et des sites d'information, dont l'activité semble alignée sur les intérêts stratégiques russes.

Une Advanced Persistent Threat est une cyberattaque prolongée et ciblée dans laquelle un intrus accède à un réseau et y reste non détecté pendant une longue période, généralement menée par des acteurs sophistiqués, dotés de moyens importants et souvent parrainés par un État, dont l'objectif est de voler des informations sensibles.

APT27, également connu sous le nom de LuckyMouse ou Emissary Panda, est un groupe chinois de menace persistante avancée actif depuis au moins 2010, connu pour ses campagnes d'espionnage de longue durée visant les secteurs gouvernemental, de la défense, financier et de l'énergie.

APT28, largement désigné sous le nom de Fancy Bear, est un acteur de cybermenace sophistiqué étroitement lié au GRU russe, également connu sous les noms de Sofacy, Sednit ou Pawn Storm, avec un long historique d'opérations de cyberespionnage.

APT29, également connu sous le nom de Nobelium ou Cozy Bear, est un groupe russe de menace persistante avancée associé au service de renseignement extérieur russe (SVR), actif depuis au moins 2008 et connu pour ses campagnes de cyberespionnage sophistiquées visant les secteurs gouvernemental, de la recherche, de l'énergie et financier.

APT31, également connu sous le nom de Zirconium ou Judgment Panda, est un groupe de menace persistante avancée parrainé par l'État chinois et lié au Ministère de la Sécurité de l'État, actif depuis au moins 2010 et connu pour ses campagnes de phishing ciblées exploitant des vulnérabilités zero-day et des malwares sur mesure.

L'architecture Open XDR est une approche de détection et de réponse étendues qui privilégie l'interopérabilité avec un large éventail d'outils de sécurité existants, par opposition aux solutions XDR monolithiques et fermées.

AridViper, également connu sous les noms d'APT-C-23 ou Desert Falcon, est un acteur de la menace dont l'affiliation présumée est le Hamas, et qui cible principalement des organisations israéliennes à des fins d'espionnage.

Le ransomware BlackCat, également connu sous le nom d'ALPHV, est un groupe de rançongiciel sophistiqué apparu fin 2021, doté de capacités multiplateformes avancées lui permettant de cibler Windows, Linux et VMware ESXi.

Bluenoroff est un groupe APT nord-coréen parrainé par l'État, considéré comme un sous-groupe de Lazarus, et principalement motivé par le gain financier plutôt que par l'espionnage.

Constituer une équipe SOC efficace consiste à définir des rôles clairs, des responsabilités et des flux de communication afin que les opérations de détection et de réponse se déroulent de manière fluide, un Security Operations Center ne valant que par les personnes qui le composent.

Construire un Security Operations Center est un investissement stratégique qui nécessite une planification soigneuse couvrant les personnes, les processus et la technologie, avec des points de décision clés qui déterminent si le SOC apportera de la valeur sur le long terme.

Le ransomware Cactus est un rançongiciel qui chiffre les fichiers de ses victimes et exige le paiement d'une rançon en échange de la restauration des données volées et chiffrées.

Calisto, également connu sous le nom de COLDRIVER, est un acteur de la menace proche de la Russie, observé menant des campagnes de phishing contre des cibles militaires et de recherche stratégique telles que des entités de l'OTAN, des sous-traitants de la défense, des ONG et des think tanks.

Le callback phishing est une méthode de spearphishing, utilisée notamment par les acteurs rançongiciels comme vecteur d'accès initial, qui consiste à usurper l'identité de plateformes ou d'entreprises légitimes pour inciter la victime à rappeler un numéro contrôlé par l'attaquant.

Une équipe d'intervention d'urgence en cybersécurité (CERT), également appelée CSIRT, regroupe les premiers intervenants en cas de cyberattaque, chargés de répondre aux incidents de sécurité informatique et d'en limiter l'impact.

ClearFake est un framework JavaScript malveillant utilisé sur des sites web compromis pour distribuer des malwares par drive-by download, en s'appuyant sur l'ingénierie sociale et de fausses invites de mise à jour.

Le Command and Control (C2) désigne l'ensemble des techniques et infrastructures utilisées par les attaquants pour contrôler à distance les systèmes compromis et coordonner leurs activités malveillantes au sein d'un réseau infecté.

La compromission de messagerie d'entreprise (BEC) est une menace cyber qui exploite les systèmes de messagerie d'une organisation, généralement par usurpation d'identité, pour tromper les employés et les inciter à transférer des fonds ou à divulguer des informations sensibles.

Les crypters sont des logiciels capables de chiffrer, d'obfusquer et de manipuler un malware pour contourner les mécanismes de détection, tout en préservant ses fonctionnalités intactes.

Le Computer Security Incident Response Team est une équipe opérationnelle de sécurité qui intervient auprès des organisations dès qu'un incident de sécurité est signalé, afin de l'analyser et de déployer les actions nécessaires pour le contenir et le résoudre, tout en jouant un rôle préventif par une veille régulière sur les menaces.

La Cyber Threat Intelligence est la recherche, l'analyse et la modélisation des cybermenaces, fournissant une connaissance contextualisée des attaquants pour anticiper et détecter les attaques.

CustomerLoader est un malware de type loader qui distribue une grande variété de charges utiles, notamment des infostealers, des chevaux de Troie d'accès à distance et des rançongiciels.

La cybersécurité vise à protéger les réseaux, les systèmes et les données sensibles des organisations contre les attaques numériques, en s'appuyant sur un ensemble d'outils, de processus et de bonnes pratiques.

DarkGate est un loader doté de capacités de cheval de Troie d'accès à distance, développé en Delphi, connu pour sa furtivité et son agilité à échapper à la détection des antivirus.

DDoSia est une boîte à outils d'attaque par déni de service distribué, développée et utilisée par le groupe hacktiviste pro-russe NoName057(16) contre les pays critiques de l'invasion russe de l'Ukraine.

La Data Loss Prevention est un processus d'identification des données critiques au sein d'une organisation et de mise en place de contrôles pour empêcher l'accès non autorisé, l'exfiltration ou la suppression de ces données.

Doenerium est un infostealer qui collecte et exfiltre discrètement des informations confidentielles depuis les ordinateurs des victimes, telles que des identifiants, des données de navigateur et des portefeuilles de cryptomonnaie.

L'Endpoint Detection and Response est une solution de sécurité qui détecte, analyse et neutralise les menaces sur les endpoints grâce à l'analyse comportementale plutôt qu'à la détection par signatures.

Une Endpoint Protection Platform (EPP) est une solution de cybersécurité qui aide les organisations à protéger leurs appareils, tels que les ordinateurs portables, postes de travail, serveurs et terminaux mobiles, contre les cybermenaces.

Les outils de protection des endpoints (EPT) sont des solutions de sécurité conçues pour protéger les terminaux d'une organisation contre les cybermenaces, regroupant notamment antivirus, pare-feux et systèmes de prévention d'intrusion.

FakeBat est un malware de type loader au format MSI, vendu en tant que Malware-as-a-Service et connu pour ses fonctionnalités anti-détection, largement distribué via le malvertising et de fausses mises à jour de navigateur selon la technique du drive-by download.

La fatigue d'alerte est l'état de désensibilisation que vivent les professionnels de la cybersécurité lorsqu'ils sont submergés par un volume élevé d'alertes, au risque de manquer ou d'ignorer des menaces réelles.

Un pare-feu est un système de sécurité réseau qui surveille et contrôle le trafic entrant et sortant sur la base d'un ensemble de règles préétablies, afin de protéger un ordinateur ou un réseau contre les accès non autorisés.

Hatvibe est un loader personnalisé écrit en VBScript, identifié pour la première fois en 2023 et utilisé par l'acteur de la menace UAC-0063, soupçonné d'être lié à APT28 sur la base d'un recoupement de victimologie.

L'IA dans la cybersécurité désigne l'utilisation du machine learning, du deep learning et d'autres techniques d'intelligence artificielle pour améliorer la détection, la prévention et la réponse aux cybermenaces.

L'IA générative est un type d'intelligence artificielle qui crée de nouveaux contenus, qu'il s'agisse de texte, de code, d'images, d'audio ou de vidéo, en apprenant des motifs à partir de données existantes pour générer de nouvelles données similaires.

L'Identity and Access Management désigne l'ensemble des politiques, technologies et processus qu'une organisation utilise pour gérer les identités numériques et contrôler l'accès des utilisateurs à ses ressources.

Un Intrusion Detection System est un outil de cybersécurité qui surveille le trafic réseau à la recherche d'activités suspectes et de menaces connues, et génère des alertes lorsqu'il détecte une activité susceptible d'indiquer une intrusion.

Un Indicateur de Compromission (IoC) est un artefact observable, tel qu'un hash de fichier, une adresse IP ou un nom de domaine, qui suggère qu'un système ou un réseau a potentiellement été compromis.

Un Information Sharing and Analysis Center est une organisation sectorielle qui fournit un point central de partage d'informations de cybersécurité entre ses membres, afin de renforcer la défense collective face aux menaces.

Kinsing est un malware écrit en Go qui cible principalement les systèmes Linux, connu pour ses capacités de cryptominage et sa persistance sur les systèmes infectés.

La différence entre le XDR et le SIEM tient à leur approche : le SIEM collecte et corrèle les logs de l'environnement informatique principalement à des fins de surveillance et de conformité, tandis que le XDR intègre plusieurs produits de sécurité dans un système unifié axé sur la détection et la réponse aux menaces.

Le Magic Quadrant de Gartner est une méthodologie de recherche propriétaire et un outil de représentation visuelle développé par Gartner, qui évalue les forces et les faiblesses des fournisseurs de technologies dans un secteur donné.

Mallox, également connu sous les noms de Fargo et TargetCompany, est une famille de rançongiciel active depuis mi-2021 qui cible les serveurs MS-SQL non sécurisés et recourt à la double extorsion en menaçant de publier les données volées si la rançon n'est pas payée.

Le Managed Detection and Response est un service de cybersécurité qui fournit aux organisations une détection proactive des menaces, une réponse aux incidents et une surveillance continue, assurées par des analystes externes alliant technologie et expertise humaine.

MITRE ATT&CK est une base de connaissances mondiale et accessible des tactiques et techniques des adversaires, fondée sur l'observation de cyberattaques réelles, qui fournit une taxonomie commune pour décrire et comprendre les comportements des attaquants.

Microsoft Defender Antivirus (MDAV) est le composant antivirus intégré au système d'exploitation Windows, conçu pour protéger contre les virus, les malwares et d'autres menaces de sécurité.

L'authentification multi-facteurs (MFA) est un système de sécurité qui exige des utilisateurs au moins deux formes d'authentification distinctes pour vérifier leur identité, combinant généralement quelque chose que l'on connaît, que l'on possède et que l'on est.

Le Machine Learning est un sous-ensemble de l'intelligence artificielle qui donne aux systèmes la capacité d'apprendre automatiquement et de s'améliorer à partir de l'expérience sans être explicitement programmés, largement utilisé en cybersécurité pour la détection des menaces.

Un Managed Security Service Provider est une entreprise qui fournit des services de cybersécurité aux organisations, généralement sur abonnement, en assurant notamment la surveillance et la gestion de leurs systèmes de sécurité.

Le Mean Time to Detect est le temps moyen nécessaire à une organisation pour identifier une cybermenace ou un incident de sécurité, depuis le moment où il se produit jusqu'à sa détection, et constitue une métrique essentielle pour évaluer l'efficacité de la détection.

Le Mean Time to Respond (ou Mean Time to Recover) est un indicateur clé de performance en cybersécurité qui mesure le temps moyen nécessaire à une organisation pour répondre à un incident de sécurité et amorcer le processus de rétablissement.

MuddyWater, également connu sous les noms de MERCURY, Seedworm ou Static Kitten, est un acteur de la menace iranien soupçonné de liens avec le ministère iranien du renseignement et de la sécurité, actif depuis au moins 2017 et ciblant principalement des entités au Moyen-Orient.

Le Network Detection and Response est une catégorie de solution de cybersécurité axée sur la surveillance et l'analyse du trafic réseau pour détecter, investiguer et répondre aux menaces susceptibles de contourner les contrôles de sécurité traditionnels.

Le Privileged Access Management est une stratégie de cybersécurité et un ensemble de technologies visant à contrôler, surveiller et auditer l'accès aux ressources critiques par les utilisateurs privilégiés, selon le principe du moindre privilège.

La norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) est une norme de sécurité de l'information destinée aux organisations qui gèrent des données de cartes de crédit.

Pikabot est un malware de type backdoor apparu début 2023, dont le mode opératoire rappelle celui de QBot, et qui sert de point d'entrée pour déployer d'autres charges malveillantes sur les systèmes infectés.

PlugX est un cheval de Troie d'accès à distance (RAT) modulaire et sophistiqué, utilisé depuis plus d'une décennie dans des attaques ciblées, principalement par des groupes APT liés à la Chine, et qui permet aux attaquants de prendre le contrôle total d'un système infecté tout en échappant à la détection.

Le ver PlugX est une variante du cheval de Troie d'accès à distance PlugX dotée de capacités d'auto-propagation, lui permettant de se diffuser automatiquement entre les systèmes, notamment via des périphériques USB, dans des campagnes d'espionnage informatique.

Predator est un logiciel espion commercial développé par la société Intellexa, capable de cibler les appareils iOS et Android pour en exfiltrer des données et en surveiller l'activité.

Les proxies résidentiels sont des adresses IP attribuées à de vrais appareils résidentiels par des fournisseurs d'accès à Internet, ce qui les rend difficiles à distinguer du trafic légitime et intéressants pour des usages malveillants.

Le Ransomware as a Service (RaaS) est un modèle de cybercriminalité dans lequel les développeurs de rançongiciels mettent leur malware à la disposition d'autres cybercriminels affiliés, qui l'utilisent pour mener des attaques en échange d'un partage des gains.

Le Radar Frost & Sullivan est un outil de veille concurrentielle qui positionne les fournisseurs selon deux dimensions, l'indice d'innovation et de croissance et l'indice d'empreinte industrielle, afin d'évaluer et comparer les entreprises d'un marché.

Le Ransom Distributed Denial of Service (RDDoS) est un type de cyberattaque dans lequel des criminels menaçent de mener une attaque par déni de service distribué, ou en lancent une, à moins qu'une rançon ne soit payée.

Reaper, également connu sous les noms d'APT37 ou ScarCruft, est un groupe de cyberespionnage nord-coréen actif depuis au moins 2012, qui recourt à une grande variété d'outils, dont des malwares personnalisés, pour mener ses opérations.

YARA est un framework créé par Victor Manuel Alvarez permettant d'identifier et de classer les malwares en familles partageant des caractéristiques communes, grâce à des règles décrivant des motifs textuels ou binaires.

Roaming Mantis, également connu sous le nom de Shaoye, est un groupe cybercriminel qui cible principalement les appareils mobiles en recourant au détournement DNS pour rediriger les victimes vers des sites malveillants ou leur distribuer des malwares.

Un SaaS SIEM est une version du Security Information and Event Management hébergée dans le cloud et livrée en mode Software-as-a-Service, gérée par le fournisseur plutôt que déployée sur l'infrastructure de l'entreprise.

Scattered Spider, également connu sous les noms d'UNC3944 ou Muddled Libra, est un groupe cybercriminel actif depuis 2022, réputé pour ses tactiques sophistiquées d'ingénierie sociale visant à obtenir un accès initial aux organisations ciblées.

Le SEO poisoning est une technique cybercriminelle qui manipule le classement des moteurs de recherche afin de promouvoir des sites web malveillants pour certains mots-clés, et d'attirer les victimes vers des contenus dangereux.

Le Shadow IT désigne l'utilisation de systèmes, d'appareils, de logiciels, d'applications et de services informatiques au sein d'une organisation sans l'approbation explicite du département informatique, ce qui introduit des risques de sécurité importants en contournant les mesures de sécurité de l'organisation.

Le Security Information and Event Management est un logiciel qui collecte, agrège et corrèle les données de logs et d'événements de l'ensemble de l'infrastructure informatique afin de fournir une analyse en temps réel des alertes de sécurité.

Le Security Orchestration, Automation and Response désigne des outils qui collectent des données sur les menaces de sécurité provenant de multiples sources et automatisent la réponse aux événements de faible niveau sans intervention humaine.

Le Security Operations Center est une unité centralisée chargée de détecter, analyser et répondre en continu aux incidents de sécurité d'une organisation.

Le SOC as a Service (SOCaaS) est un service de sécurité géré et basé sur le cloud qui offre aux organisations les capacités d'un Security Operations Center traditionnel sur une base d'abonnement, sans avoir à bâtir une infrastructure interne.

Les bonnes pratiques d'un SOC sont les processus rigoureux, les habitudes d'amélioration continue et la culture de vigilance qu'un Security Operations Center efficace doit adopter pour renforcer la posture de cybersécurité d'une organisation.

Une Plateforme de Délivrance de Services de Sécurité (SSDP) est une infrastructure de cybersécurité intégrée qui permet aux MSSP et aux équipes de sécurité de livrer, gérer et orchestrer un large éventail de services de sécurité depuis un point central.

Le Single Sign-On (SSO) est une méthode d'authentification qui permet aux utilisateurs d'accéder à plusieurs applications avec un seul jeu d'identifiants, en s'appuyant sur une relation de confiance entre un fournisseur d'identité et un fournisseur de services.

Le Structured Threat Information eXpression est un langage standardisé et un format de sérialisation conçu pour échanger et partager de la cyber threat intelligence de manière structurée entre organisations.

Le Trusted Automated eXchange of Intelligence Information est une norme ouverte conçue pour faciliter l'échange de renseignements sur les menaces via HTTPS, servant de mécanisme de transport pour les objets au format STIX.

Un SOC managé est une alternative externalisée au SOC interne, dans laquelle un prestataire externe assure une surveillance et une réponse de sécurité en continu, de plus en plus adoptée à mesure que les menaces se sophistiquent et que la pénurie de talents s'accentue.

Un SOC moderne s'appuie sur un ensemble d'outils essentiels, dont le SIEM, l'EDR, le XDR, le SOAR et le NDR, qui fonctionnent ensemble pour détecter, investiguer et répondre efficacement aux menaces.

Les traffers sont des groupes clandestins qui distribuent des infostealers sur des ordinateurs compromis et sont rémunérés par commissions par les cybercriminels en échange des identifiants volés.

Les Tactiques, Techniques et Procédures (TTP) décrivent les comportements et les méthodes employés par les acteurs de la menace pour planifier et exécuter leurs attaques, et fournissent un cadre structuré pour anticiper leurs mouvements et renforcer les défenses.

Turla est un groupe historique de cyberespionnage russophone soupçonné d'être exploité par le FSB russe, actif depuis au moins 2008 et ciblant principalement les ministères, la défense, les télécoms et les ambassades.

Tycoon 2FA est un kit de Phishing-as-a-Service conçu pour mener des attaques de type adversary-in-the-middle, capable de contourner l'authentification multifacteur, en particulier les mots de passe à usage unique basés sur le temps.

Vice Society est un groupe de rançongiciel pratiquant la double extorsion, qui chiffre et exfiltre les données de ses victimes en menaçant de les divulguer, et cible notamment les secteurs de l'éducation et de la santé.

Un réseau privé virtuel (VPN) est une technologie qui crée une connexion sécurisée et chiffrée sur un réseau moins sécurisé tel qu'Internet, en masquant l'adresse IP de l'utilisateur pour protéger ses échanges de données.

Une vulnérabilité zero-day est une faille logicielle inconnue du fournisseur et donc non corrigée, laissant aux développeurs « zéro jour » pour la corriger avant qu'elle ne soit exploitée par des cybercriminels.

Le Web Distributed Authoring and Versioning est une extension du protocole HTTP qui permet aux utilisateurs de gérer et d'éditer des fichiers à distance et de manière collaborative sur un serveur Web.

L'Extended Detection and Response est une technologie de cybersécurité qui collecte et corrèle automatiquement les données issues de plusieurs couches (e-mail, endpoint, serveur, cloud et réseau) au sein d'une plateforme unifiée de détection et de réponse.

L'intégration du XDR avec les solutions existantes consiste à connecter une plateforme Extended Detection and Response aux outils de sécurité déjà en place dans l'entreprise, tels que les pare-feux, le SIEM et l'EDR, afin de renforcer la cybersécurité sans repartir de zéro.

XDR, EDR et MDR sont trois approches de détection et de réponse souvent comparées : l'EDR se concentre sur les endpoints, le XDR étend la détection à plusieurs couches au sein d'une plateforme unifiée, et le MDR est un service managé combinant technologie et expertise humaine.

Le Zero Trust est un modèle de sécurité qui remet en question la notion traditionnelle de confiance implicite au sein d'un réseau, en appliquant le principe « ne jamais faire confiance, toujours vérifier » qui impose une vérification continue de chaque utilisateur et de chaque appareil.