Sélection de la langue

Recherche

Glossaire

A

Agent de sécurité du ministère

La personne responsable de la gestion du programme de sécurité d’un ministère ou d’un organisme.

Application non corrigée

Application prise en charge qui n’a pas reçu les plus récentes mises à jour de sécurité ou les plus récents correctifs.

Article cryptographique contrôlé

Système sécurisé, mais non classifié, d’information/de télécommunications ou composante cryptographique connexe, qui est régi par un ensemble particulier d’exigences en matière de contrôle au sein du Système national de contrôle du matériel COMSEC (SNCMC). Le type d'article est étiqueté dans le SNCMC en tant qu'article cryptographique contrôlé (CCI pour Controlled Cryptographic Item).

Attaque par déni de service

L’attaque par déni de service (DoS pour Denial of Service) consiste d'une activité visant à rendre un service inutilisable ou à ralentir l’exploitation et les fonctions d’un système donné.

Attaque par déni de service distribué

Attaque par laquelle une multitude de systèmes compromis visent une même cible. Le flux de messages envoyés est tel qu’il provoque une panne du système ciblée et l’interruption des services offerts aux utilisateurs légitimes.

Authentification

Processus ou mesure permettant de vérifier l’identité d’un utilisateur.

Authentification multifactorielle

Un moyen d’ajouter un deuxième niveau de sécurité pour accéder à vos appareils et à vos comptes. L’authentification multifactorielle consiste à utiliser un facteur additionnel pour vérifier l’identité (dont un NIP ou les empreintes digitales) pour accéder à vos appareils ou vos comptes. L’authentification à deux facteurs est une sorte d’authentification multifactorielle.

Authentification à deux facteurs

Mode d'authentification multifactorielle. L'authentification est validée par la conjugaison de deux facteurs parmi les suivants : une information connue (p. ex. un mot de passe); une possession (p. ex. un jeton physique); un attribut personnel (p. ex. la biométrie). Parfois appelée « authentification à deux étapes ».

Authentification à deux étape

Processus nécessitant deux étapes d'authentification, lesquelles s'appliquent successivement avant de permettre l'accès à un dispositif ou à un system. Contrairement à l'authentification à deux facteurs, l'authentification à deux étapes peut faire appel à un seul mode employé, mais deux fois (p. ex. deux mots de passe; deux clés physiques; ou deux facteurs biométriques). Parfois appelée « vérification en deux étapes ».

Autorisation

Droits d'accès accordés à un utilisateur, programme ou processus.

B

Balisage

Technique utilisée couramment suivant laquelle un auteur malveillant utilise un maliciel pour relier une infrastructure à un autre système ou réseau, contournant, du même coup,  les contraintes imposées par le coupe-feu sur le trafic entrant.

Bien de TI

Composante d'un système d'information, ce qui comprend notamment les applications opérationnelles, les données, le matériel et les logiciels.

C

Chaîne de blocs

Base de données en écriture seule répartie sur un réseau d'ordinateurs et faisant appel à la cryptographie pour créer un registre public de transactions inviolable. La technologie de la chaîne de blocs est transparente, sûre et décentralisée. Par conséquent, aucun intervenant n'est en mesure de modifier ledit registre public.

Cheval de Troie

Un programme malveillant déguisé en un logiciel légitime ou qui y est intégré.

Chiffrement

Procédure par laquelle une information est convertie d’une forme à une autre afin d’en dissimuler le contenu et d'en interdire l’accès aux entités non autorisées.

Chiffrement de bout en bout

Service de protection de la confidentialité consistant à chiffrer les données au niveau du système d’extrémité source pour ne permettre le déchiffrement corolaire qu’à la destination.

Clé asymétrique

Deux clés qui se correspondent mutuellement, à savoir une clé publique et une clé privée, lesquelles servent à exécuter des tâches complémentaires, notamment le chiffrement et le déchiffrement ou encore la génération de signatures.

Clé cryptographique

Valeur numérique employée dans des processus cryptographiques, notamment le chiffrement et le déchiffrement, la génération des signatures ou encore la vérification des signatures.

Clé symétrique

Clé cryptographique employée pour effectuer des opérations cryptographiques complémentaires (p. ex. chiffrement et déchiffrement, création et vérification d'un code d’authentification de message).

Compromission

Divulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information.

COMSEC

Ensemble des mesures visant à prévenir tout accès non autorisé à l’information de télécommunications sous forme lisible et à garantir la transmission de l’information aux destinataires prévus. La sécurité des communications (COMSEC pour Communication security) se divise en divers domaines de spécialité, notamment la sécurité cryptographique, la sécurité des émissions (EMSEC pour Emission security) et la sécurité des transmissions (TRANSEC pour Transmission security) et la sécurité physique.

Confidentialité

Caractéristique de l'information sensible protégée contre tout accès non autorisé.

Contrôle de l’accès

Contrôle permettant de garantir que seules les entités autorisées ont accès aux actifs (physiques et électroniques). Pour ce qui concerne les actifs physiques, le contrôle de l'accès peut s'appliquer aux installations ou aux zones d'accès limité (p. ex. filtrage des visiteurs et du matériel aux points d'entrée, escorte accompagnant les visiteurs). Pour ce qui concerne les actifs de TI, le contrôle de l'accès peut s'appliquer aux réseaux, aux systèmes ou à l'information (p. ex. restreindre le nombre des utilisateurs de certains systèmes ou limiter les autorisations d'accès attribuées à certains comptes).

Contrôle de sécurité

Exigence technique, opérationnelle ou gestionnelle de haut niveau relative à la sécurité, qu’il convient d’appliquer à un système d’information afin de protéger la confidentialité, l’intégrité et la disponibilité des actifs TI connexes. Ces contrôles peuvent être appliqués au moyen de diverses solutions de sécurité, notamment des produits, des politiques, des pratiques et des procédures de sécurité.

Contrôle de sécurité de gestion

Processus en vertu duquel les organisations gèrent les risques liés à la sécurité des TI.

Contrôle de sécurité opérationnel

Contrôle de sécurité principalement mis en œuvre et exécuté par des personnes, mais habituellement fondé sur l’utilisation de la technologie, par exemple un logiciel de soutien.

Contrôles de sécurité de base

Mécanismes de protection qui sont définis dans les instruments de politique du Secrétariat du Conseil du Trésor (SCT) et qui constituent la norme minimale que les ministères doivent appliquer à leurs fonctions de sécurité des TI et à leurs systèmes d’information.

Coupe-feu

Barrière de sécurité placée entre deux réseaux qui contrôle le volume et les types de trafic autorisés à passer d’un réseau à l’autre. Les ressources du système local sont ainsi protégées contre un accès de l’extérieur. (Synonyme : pare-feu)

Cryptographie

Étude des techniques permettant de chiffrer l’information pour la rendre inintelligible ou de rendre lisible une information chiffrée.

Cyberattaque

Recours à des techniques électroniques visant à perturber, à manipuler, à détruire ou à scruter clandestinement un système informatique, un réseau ou un dispositif.

Cyberincident

Toute tentative non autorisée, réussie ou non, d'avoir accès à une ressource informatique ou à un réseau, de le modifier, de le détruire, de le supprimer ou de le rendre inutilisable.

Cybermenace

Entité malveillante qui utilise Internet pour profiter d’une vulnérabilité connue en vue d’exploiter un réseau et l’information qu’il contient.

Cybersécurité

Protection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.

D

Destruction sécurisée

Destruction de fonds de renseignements au moyen d'une ou de plusieurs des méthodes approuvées. Cette destruction peut également être précédée d'une suppression de manière à garantir que l'information ne pourra pas être récupérée.

Disponibilité

Caractéristique de l'information ou des systèmes qui sont accessibles aux personnes autorisées au moment où celles-ci en ont besoin. La disponibilité est un attribut des actifs informationnels, logiciels, et matériels (l'infrastructure et ses composantes). Il est également entendu que la disponibilité comprend la protection des actifs contre les accès non autorisés ou les compromissions.

Droit d’accès minimal

Principe selon lequel il convient de n'accorder aux utilisateurs que les autorisations d'accès dont ils ont besoin pour accomplir les tâches qui leur ont été dûment attribuées. Ce principe permet de limiter les dommages pouvant résulter d'une utilisation non autorisée – abusive ou accidentelle – d'un système d'information.

Déclassifier

Processus administratif par lequel on retire la mention de classification, la désignation de sécurité et les conditions de manutention une fois que l'information n'est plus considérée comme étant sensible.

Défense en profondeur

Mesure de sécurité des TI consistant à établir de multiples couches de protection pour assurer l’intégrité de l’information. Ces couches de protection sont généralement constituées de logiciels antivirus, d’anti-logiciels espions, de coupe-feu, de mots de passe hiérarchiques, de mesures de détection des intrusions et de données biométriques.

Détection

Surveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système.

Détection des intrusions

Service de sécurité qui surveille et analyse les événements réseau ou système et qui émet, en temps réel ou quasi réel, des alertes suivant toute tentative d’accès non autorisé.

E

Effacement sécurisé

Processus numérique de nettoyage qui fait appel à des commandes et des outils de l’industrie (notamment ATA security erase [SE]) pour effacer adéquatement tous les emplacements accessibles de la mémoire d’un dispositif de stockage de données.

Enregistreur de frappe

Logiciel ou dispositif qui enregistre les frappes d’un utilisateur sur le clavier d’un ordinateur compromis. Les frappes sont enregistrées ou transmises dans le but d’obtenir des informations de valeur.

Exfiltration

Retrait non autorisé de données ou de fichiers d’un système par un intrus.

Exigence de sécurité ministérielle

Toute exigence de sécurité prescrite par les cadres supérieurs d’un ministère, qui concerne généralement les systèmes d’information dudit ministère.

Exploitation sur navigateur

Usage abusif des composants d'un navigateur Web légitime aux fins d'exécution de code malveillant. La simple visite d'un site Web contenant du code malveillant caché peut donner lieu à une exploitation.

Exploitation à distance

Exploitation d’une machine suivant la transmission, depuis un réseau distant, de commandes spécialement conçues pour tromper l'un des services de la machine ciblée, de façon à obtenir un accès non autorisé ou à extraire de l'information.

Émission compromettante

Signal émis involontairement par un système de traitement de l’information, dont l’interception et l’analyse pourraient mener à la divulgation des informations véhiculées par le signal en question.

Émission d’équipement

Rayonnement d’un champ électrique provenant d’équipement en cours de traitement ou de production d’information.

Évaluation des menaces et des risques

Processus consistant à identifier les actifs système ainsi que la façon dont ces actifs pourraient être compromis; à évaluer le niveau de risque que les menaces posent pour ces actifs; à recommander des mesures de sécurité visant à atténuer l'effet de ces menaces.

Évaluation des risques résiduels

Évaluation réalisée à la fin du cycle de développement d'un système, ayant pour objet de calculer le degré de probabilité et les répercussions potentielles d'une menace.

Évaluation des risques résiduels

Le niveau attribué aux risques résiduels (c.-à-d. élevé, moyen, faible).

Évaluation des vulnérabilités

Processus visant à définir les lacunes ou les écarts dans les mesures de protection des systèmes d'information.

F

G

Gardien

Passerelle interposée entre des réseaux, des ordinateurs ou d’autres systèmes d’information dont les niveaux de sécurité sont différents. Le gardien assure la médiation de tous les transferts d’information entre ces deux niveaux pour veiller à ce qu’aucun renseignement sensible d’un niveau supérieur ne soit divulgué à un niveau inférieur. Il garantit également l’intégrité des données du niveau de sécurité le plus élevé.

Gardien de compte COMSEC

La personne responsable de la réception, de l’entreposage, de la distribution, de la comptabilité, de l'élimination et de la destruction de tout le matériel COMSEC confié au compte COMSEC. Le gardien est nommé par l'autorité COMSEC de l'organisme.

Gestion des clés

Procédures et mécanismes de génération, de distribution, de remplacement, de stockage, d'archivage et de destruction des clés cryptographiques.

H

Hameçonnage

Procédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux.

Harponnage

Utilisation de courriels trompeurs dans le but de persuader des membres d’une organisation de révéler leurs noms d’utilisateurs et leurs mots de passe. Contrairement à l'hameçonnage, qui nécessite l'envoi massif de courriels, le harponnage se fait à petite échelle et est bien ciblé. (Synonyme : hameçonnage ciblé)

I

Incident

Incident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur.

Incident COMSEC

Toute occurrence mettant en péril ou pouvant mettre en péril la sécurité de renseignements classifiés ou protégés du gouvernement du Canada pendant que ceux-ci sont en stockage, en traitement ou en cours de transmission sécurisée.

Infonuagique

Recours à des serveurs distants hébergés dans Internet. L'infonuagique permet à des utilisateurs d'accéder à un ensemble de ressources informatiques (réseaux, serveurs, applications, services) sur demande pour peu qu'ils disposent d'un accès à Internet. Les utilisateurs parviennent à ces ressources par l'intermédiaire d'un réseau informatique plutôt que d'avoir à les stocker toutes sur leur propre ordinateur. 

Informatique quantique

Un ordinateur quantique peut traiter un grand nombre de calculs simultanément. Tandis qu'un ordinateur classique travaille avec des « 1 » et des « 0 », un ordinateur quantique a l'avantage d'utiliser le « 1 », le « 0 » et des superpositions de « 1 » et de « 0 ». Certaines tâches complexes que les ordinateurs classiques ne pouvaient pas effectuer peuvent désormais être effectuées rapidement et efficacement par un ordinateur quantique.

Infrastructure essentielle

Processus, systèmes, installations, technologies, réseaux, actifs et services qui sont essentiels pour assurer la santé, la sécurité et le bien être économique des Canadiens ainsi que le fonctionnement efficace du gouvernement. Les infrastructures essentielles peuvent être autonomes ou interconnectées et interdépendantes dans les administrations provinciales, territoriales ou nationales ou entre celles ci. La perturbation des infrastructures essentielles pourrait donner lieu à des pertes de vie et à des répercussions économiques néfastes de même que considérablement ébranler la confiance du public.

Injection de code

Insertion de code malveillant dans un programme informatique suivant l’exploitation d’une faille dans un programme ou dans la façon dont ce programme interprète les données saisies par les utilisateurs.

Intelligence artificielle

Sous-domaine de l'informatique ayant trait au développement de programmes informatiques aptes à résoudre des problèmes, à apprendre, à comprendre des langages, à interpréter des scènes visuelles, bref, à se comporter de façon à reproduire les facultés cognitives de l'intelligence humaine.

Interface

Frontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels.

Interface de bordure

Point d’interface de service de la couche réseau par l’intermédiaire duquel un système d’extrémité, un système de frontière interne ou un point d'interface interzone se connecte à l’interréseau d’une zone.

Interface de frontière

Interface de la couche réseau située entre deux points d’interface entre les zones (ZIP pour Zone Interface Points).

Internet des objets

Réseau formé par les dispositifs Web utilisés couramment, qui peuvent se connecter les uns aux autres et qui peuvent se transmettre de l'information.

Intégrité

Aptitude à protéger l'information contre les modifications ou les suppressions non intentionnelles ou inopportunes. L'intégrité permet de savoir si l'information est conforme à ce qu'elle est censée être. L'intégrité s'applique également aux processus opérationnels, à la logique des applications logicielles, au matériel ainsi qu'au personnel.

J

Jour zéro

Vulnérabilité logicielle dont l’existence n’est pas encore connue du fournisseur et qui n’est donc pas atténuée. Un exploit de jour zéro désigne une attaque qui exploite une vulnérabilité de jour zéro.

K

L

Liste autorisée

Liste de contrôle d’accès identifiant les personnes ou les programmes autorisés dans le but de prévenir les dommages.

Liste interdite

Liste de contrôle des accès employée pour bloquer certains éléments (p. ex. applications, adresses électroniques, noms de domaines, adresses IP) réputés préjudiciables.

Logiciel antivirus

Logiciel qui protège contre les virus, les chevaux de Troie, les vers et les logiciels espions. Le logiciel anti-virus procède à l'analyse des fichiers afin d'identifier des programmes qui sont ou pourraient être malveillants. L'analyse permet d'identifier : les virus connus, les virus auparavant inconnus et les fichiers suspects.

M

Maliciel

Logiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires.

Matériel COMSEC

Article ayant pour vocation de sécuriser ou d'authentifier l’information de télécommunications (p. ex. les clés cryptographiques, l’équipement, les modules, les dispositifs, les documents, le matériel informatique et les micrologiciels ou logiciels qui comportent ou décrivent une logique cryptographique, de même que d’autres articles qui exécutent des fonctions COMSEC).

Matériel COMSEC comptable

Matériel COMSEC disposant obligatoirement d'un code de comptabilité (CC) grâce auquel il peut être contrôlé et comptabilisé par le Système national de contrôle du matériel COMSEC (SNCMC). Les mesures de contrôle et de comptabilisation sont nécessaires dans la mesure où le transfert ou la divulgation de ce type de matériel pourrait causer préjudice aux intérêts nationaux du Canada.

Matériel cryptographique

Tout matériel, y compris les documents, les dispositifs et l’équipement, qui contient de l’information cryptographique et qui est indispensable au chiffrement, au déchiffrement ou à l’authentification des communications.

Matériel cryptographique

Tout le matériel, y compris les documents, les dispositifs et l’équipement, qui contient de l’information cryptographique et qui est indispensable au chiffrement, au déchiffrement ou à l’authentification des communications.

Menace liée à la sécurité des TI

Événement ou acte délibéré, accidentel ou naturel pouvant éventuellement porter préjudice aux actifs de TI.

N

Nettoyage

Processus par lequel les données sont retirées d’un support de manière définitive. Le support d’enregistrement peut être réutilisé conformément aux politiques de sécurité des TI, mais il est impossible de récupérer les données qui s’y trouvaient ou d’y accéder.

Nettoyage sélectif

Type de nettoyage qui ne vise que certains fichiers ou certains éléments de données (à ne pas confondre avec le « nettoyage de support » qui consiste à effacer l’intégralité des données enregistrées dans un support).

Niveau de préjudice

Niveau de sévérité d'un préjudice. On compte cinq de ces niveaux : très faible, faible, moyen, élevé, très élevé.

Niveau de risque

Le niveau attribué à un risque (c.-à-d. élevé, moyen, faible).

Nœud

Point de connexion pouvant recevoir, créer, stocker ou envoyer des données en passant par les chemins réseau. Chaque nœud réseau, qu’il s’agisse d’un point terminal pour la transmission de données ou d’un point de redistribution, est programmé ou conçu pour reconnaître et traiter des transmissions, puis les envoyer à d’autres nœuds réseau.

O

P

Passerelle

Système intermédiaire servant d’interface entre deux réseaux informatiques. Il peut s’agir d’un serveur, d’un coupe-feu, d’un routeur ou d’un autre dispositif qui permet aux données de passer dans un réseau.

Piratage psychologique

Pratique qui a pour but d'extorquer des informations confidentielles en manipulant les utilisateurs. Un pirate psychologique utilise souvent le téléphone ou l'Internet pour tromper les individus et parvenir à obtenir leurs renseignements personnels. L'hameçonnage est une forme de piratage psychologique.

Pirate informatique

Personne qui utilise des ordinateurs et Internet pour accéder à d’autres ordinateurs et serveurs, sans en avoir la permission.

Point de présence

Point d’accès, emplacement ou installation où au moins deux réseaux ou dispositifs de communication se connectent l’un à l’autre ainsi qu’à Internet. (POP pour Point of presence)

Porte dérobée

Moyen non recensé qui permet, discrètement ou anonymement, d'accéder à distance à un ordinateur après avoir contourné les mécanismes d'authentification et s'être donné accès au texte en clair.

Privilège d'administration

Type d'autorisation permettant à un utilisateur d'exécuter certaines fonctions système ou réseau, notamment l'installation de logiciels et la modification des paramètres de configuration.

Profil de contrôle de sécurité ministériel

Série de contrôles de sécurité servant à établir les exigences minimales d'une organisation en matière de sécurité des TI.

Propriété intellectuelle

S'entend des droits qui découlent de l'activité intellectuelle dans les domaines industriel, scientifique, littéraire et artistique. Des exemples incluent : les droits d'auteur, les marques de commerce et les brevets.

Préjudice

Dommage causé aux intérêts nationaux ou non nationaux suivant une attaque visant à compromettre des biens de TI.

Périmètre

Frontière entre deux zones de sécurité réseau à travers laquelle le trafic est acheminé.

Q

R

Rançongiciel

Type de maliciel qui empêche tout utilisateur légitime d'accéder à des ressources (système ou données), et ce, jusqu'à ce que les responsables desdites ressources aient payé une rançon.

Reconnaissance

Activité menée par un auteur de menace dans le but d’obtenir de l’information et de déceler les vulnérabilités qui permettront d’éventuelles compromissions.

Renseignement classifié

Désignation du gouvernement du Canada s’appliquant aux renseignements sensibles dont la divulgation pourrait porter préjudice aux intérêts nationaux (notamment sur le plan de la défense nationale, des relations étrangères et des intérêts économiques).

Risque résiduel

Le degré de probabilité et les répercussions potentielles d'une menace qui subsistent après la mise en application des contrôles de sécurité.

Réseau privé virtuel

Réseau de communication privé habituellement utilisé au sein d’une entreprise ou par plusieurs entreprises pour communiquer au moyen d’un réseau plus vaste. Les communications par RPV sont habituellement chiffrées ou encodées pour en protéger le trafic contre les utilisateurs du réseau public qui sert de support au RPV en question.

Réécriture

Processus consistant à écrire ou copier de nouvelles données sur des données existantes. Il est impossible de récupérer les données ainsi écrasées.

S

Signature numérique

Mécanisme cryptographique employé pour vérifier l'authenticité et l'intégrité d'un article (p. ex. un document, un logiciel).

Système d’extrémité

Ordinateur branché à un réseau qui, pour une instance de communication particulière, constitue la source ou la destination finale des communications.

Système utilisateur

Système d'extrémité pour utilisation humaine, notamment un ordinateur de bureau (moniteur, clavier, souris et système d'exploitation).

Sécurité des émissions

Mesures prises dans le but d'atténuer les risques d'interception non autorisées d'émissions non intentionnelles provenant d'équipements de technologie de l'information qui traite des données classifiées.

Séparation des tâches

Principe de sécurité selon lequel il convient de répartir les responsabilités de nature sensible ou essentielle entre plusieurs entités (comme le personnel ou les processus) plutôt que les attribuer à une seule, afin de prévenir les infractions à la sécurité.

T

TEMPEST

Appellation du département de la Défense des États-Unis désignant des spécifications et des normes visant à réduire la force des émissions électromagnétiques provenant d’appareils électriques et électroniques de façon à atténuer la vulnérabilité à l’écoute clandestine.

Texte chiffré

Terme de cryptographie désignant l’information chiffrée.

Texte en clair

Information non chiffrée.

U

V

Ver

Programme malveillant capable de se reproduire et de s’exécuter de manière autonome, généralement transmis au moyen de connexions au réseau, dans le but de causer des dommages (p. ex. supprimer des fichiers, envoyer des documents par courriel, ralentir le système en saturant la bande passante).

Vidage

Application de techniques logiques dans le but de nettoyer les données de tous les emplacements de stockage adressables aux fins de protection contre les techniques simples de récupération des données. Ce nettoyage résulte du remplacement des données par de nouvelles valeurs (réécriture) ou, lorsque la réécriture n’est pas autorisée, de la sélection d’une option de menu qui déclenche la réinitialisation des paramètres par défaut du dispositif en question.

Virus

Programme informatique qui se propage en se copiant par lui-même. Les virus informatiques se propagent d’un ordinateur à l’autre, souvent à l’insu de l’utilisateur, et causent des dommages de toutes sortes. Ils peuvent faire afficher des messages irritants, voler des données ou même permettre à d’autres utilisateurs de prendre le contrôle de l’ordinateur infecté.

Vulnérabilité

Défectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation.

W

X

Y

Z

Zone de sécurité de réseau

Environnement de réseau clairement délimité relevant d’une autorité de zone de sécurité de réseau et caractérisé par un niveau standard de vulnérabilité aux menaces. On distingue les types de zones d’après les exigences de sécurité s’appliquant aux interfaces, au contrôle du trafic, à la protection des données, au contrôle de la configuration d’hôte et au contrôle de la configuration de réseau.

Zone démilitarisée

Également appelée « réseau périmétrique », la zone démilitarisée (DMZ pour Demilitarized Zone) est un secteur moins sécurisé d'un réseau, qui est situé entre deux composantes servant à l'application des politiques d'un réseau (p. ex. entre Internet et les réseaux internes). Une organisation a recours à une zone démilitarisée pour y héberger ses propres services Internet tout en éliminant les risques d'accès non autorisé à son réseau privé.