Glossaire
A
- Agent de sécurité du ministère
- Personne responsable de la gestion du programme de sécurité d’un ministère ou d’un organisme.
- Application non corrigée
- Application prise en charge qui n’a pas reçu les plus récentes mises à jour de sécurité ou les plus récents correctifs.
- Article cryptographique contrôlé
- Système sécurisé, mais NON CLASSIFIÉ, d’information/de télécommunications ou composante cryptographique connexe, qui est régi par un ensemble particulier d’exigences en matière de contrôle au sein du Système national de contrôle du matériel COMSEC (SNCMC). Le type d'article est étiqueté dans le SNCMC en tant qu'article cryptographique contrôlé (CCI pour Controlled Cryptographic Item).
- Attaque par déni de service
- L’attaque par déni de service (DoS pour Denial of Service) consiste en une activité visant à rendre un service inutilisable ou à ralentir l’exploitation et les fonctions d’un système donné.
- Attaque par déni de service distribué
- Attaque par laquelle une multitude de systèmes compromis visent une même cible. Le flux de messages envoyés est tel qu’il provoque une panne du système ciblé et l’interruption des services offerts aux utilisateurs légitimes.
- Authentification
- Processus ou mesure permettant de vérifier l’identité d’un utilisateur.
- Authentification à deux facteurs
- Mode d'authentification multifactorielle. L'authentification est validée par la conjugaison de deux facteurs parmi les suivants : une information connue (p. ex. un mot de passe); une possession (p. ex. un jeton physique); un attribut personnel (p. ex. la biométrie). Parfois appelée « authentification à deux étapes ».
- Authentification à deux étape
- Processus nécessitant deux étapes d'authentification, lesquelles s'appliquent successivement avant de permettre l'accès à un dispositif ou à un system. Contrairement à l'authentification à deux facteurs, l'authentification à deux étapes peut faire appel à un seul mode employé, mais deux fois (p. ex. deux mots de passe; deux clés physiques; ou deux facteurs biométriques). Parfois appelée « vérification en deux étapes ».
- Autorisation
- Droits d'accès accordés à un utilisateur, programme ou processus.
B
- Balisage
- Technique utilisée couramment suivant laquelle un auteur malveillant utilise un maliciel pour relier une infrastructure à un autre système ou réseau, contournant, du même coup, les contraintes imposées par le coupe-feu sur le trafic entrant.
- Bien de TI
- Composante d'un système d'information, ce qui comprend notamment les applications opérationnelles, les données, le matériel et les logiciels.
C
- Chaîne de blocs
- Base de données en écriture seule répartie sur un réseau d'ordinateur et faisant appel à la cryptographie pour créer un registre public de transactions inviolable. La technologie de la chaîne de blocs est transparente, sûre et décentralisée. Par conséquent, aucun intervenant n'est en mesure de modifier ledit registre public.
- Cheval de Troie
- Un programme malveillant déguisé en un logiciel légitime ou qui y est intégré.
- Chiffrement
- Procédure par laquelle une information est convertie d’une forme à une autre afin d’en dissimuler le contenu et d'en interdire l’accès aux entités non autorisées.
- Chiffrement de bout en bout
- Service de protection de la confidentialité consistant à chiffrer les données au niveau du système d’extrémité source pour ne permettre le déchiffrement corolaire qu’à la destination.
- Clé asymétrique
- Deux clés qui se correspondent mutuellement, à savoir une clé publique et une clé privée, lesquelles servent à exécuter des tâches complémentaires, notamment le chiffrement et le déchiffrement ou encore la génération de signatures.
- Clé cryptographique
- Valeur numérique employée dans des processus cryptographiques, notamment le chiffrement et le déchiffrement, la génération des signatures ou encore la vérification des signatures.
- Clé symétrique
- Clé cryptographique employée pour effectuer des opérations cryptographiques complémentaires (p. ex. chiffrement et déchiffrement, création et vérification d'un code d’authentification de message).
- Compromission
- Divulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information.
- COMSEC
- Ensemble des mesures visant à prévenir tout accès non autorisé à l’information de télécommunications sous forme lisible et à garantir la transmission de l’information aux destinataires prévus. La sécurité des communications (COMSEC pour Communication Security) se divise en divers domaines de spécialité, notamment la sécurité cryptographique, la sécurité des émissions (EMSEC pour Emission Security) et la sécurité des transmissions (TRANSEC pour Transmission Security) et la sécurité physique.
- Confidentialité
- Caractéristique de l'information sensible protégée contre tout accès non autorisé.
- Contrôle de l’accès
- Contrôle permettant de garantir que seules les entités autorisées ont accès aux actifs (physiques et électroniques). Pour ce qui concerne les actifs physiques, le contrôle de l'accès peut s'appliquer aux installations ou aux zones d'accès limité (p. ex. filtrage des visiteurs et du matériel aux points d'entrée, escorte accompagnant les visiteurs). Pour ce qui concerne les actifs de TI, le contrôle de l'accès peut s'appliquer aux réseaux, aux systèmes ou à l'information (p. ex. restreindre le nombre des utilisateurs de certains systèmes ou limiter les autorisations d'accès attribuées à certains comptes).
- Contrôle de sécurité
- Exigence technique, opérationnelle ou gestionnelle de haut niveau relative à la sécurité, qu’il convient d’appliquer à un système d’information afin de protéger la confidentialité, l’intégrité et la disponibilité des actifs TI connexes. Ces contrôles peuvent être appliqués au moyen de diverses solutions de sécurité, notamment des produits, des politiques, des pratiques et des procédures de sécurité.
- Contrôle de sécurité de gestion
- Processus en vertu duquel les organisations gèrent les risques liés à la sécurité des TI.
- Contrôle de sécurité opérationnel
- Contrôle de sécurité principalement mis en œuvre et exécuté par des personnes, mais habituellement fondé sur l’utilisation de la technologie, par exemple, un logiciel de soutien.
- Contrôles de sécurité de base
- Mécanismes de protection qui sont définis dans les instruments de politique du Secrétariat du Conseil du Trésor (SCT) et qui constituent la norme minimale que les ministères doivent appliquer à leurs fonctions de sécurité des TI et à leurs systèmes d’information.
- Coupe-feu
- Barrière de sécurité placée entre deux réseaux qui contrôle le volume et les types de trafic autorisés à passer d’un réseau à l’autre. Les ressources du système local sont ainsi protégées contre un accès de l’extérieur. (Synonyme : pare-feu)
- Cryptographie
- Étude des techniques permettant de chiffrer l’information pour la rendre inintelligible ou de rendre lisible une information chiffrée.
- Cyberattaque
- Recours à des techniques électroniques visant à perturber, à manipuler, à détruire ou à scruter clandestinement un système informatique, un réseau ou un dispositif.
- Cyberincident
- Toute tentative non autorisée, réussie ou non, d'avoir accès à une ressource informatique ou à un réseau, de le modifier, de le détruite, de le supprimer ou de le rendre inutilisable.
- Cybermenace
- Entité malveillante qui utilise Internet pour profiter d’une vulnérabilité connue en vue d’exploiter un réseau et l’information qu’il contient.
D
- DDoS
- Voir Attaque par déni de service distribué .
- Destruction sécurisée
- Destruction de fonds de renseignements au moyen d'une ou de plusieurs des méthodes approuvées. Cette destruction peut également être précédée d'une suppression de manière à garantir que l'information ne pourra pas être récupérée.
- Disponibilité
- Caractéristique de l'information ou des systèmes qui sont accessibles aux personnes autorisées au moment où celles-ci en ont besoin. La disponibilité est un attribut des actifs informationnels, logiciels, et matériels (l'infrastructure et ses composantes). Il est également entendu que la disponibilité comprend la protection des actifs contre les accès non autorisés ou les compromissions.
- DMZ
- Voir Zone démilitarisée .
- DoS
- Voir Attaque par déni de service .
- Droit d’accès minimal
- Principe selon lequel il convient de n'accorder aux utilisateurs que les autorisations d'accès dont ils ont besoin pour accomplir les tâches qui leur ont été dûment attribuées. Ce principe permet de limiter les dommages pouvant résulter d'une utilisation non autorisée – abusive ou accidentelle – d'un système d'information.
- Déclassifier
- Processus administratif par lequel on retire la mention de classification, la désignation de sécurité et les conditions de manutention une fois que l'information n'est plus considérée comme étant sensible.
- Défense en profondeur
- Mesure de sécurité des TI consistant à établir de multiples couches de protection pour assurer l’intégrité de l’information. Ces couches de protection sont généralement constituées de logiciels antivirus, d’anti logiciels espions, de coupe feu, de mots de passe hiérarchiques, de mesures de détection des intrusions et de données biométriques.
- Détection
- Surveillance et analyse des événements système en vue de relever les tentatives d’accès non autorisées aux ressources d’un système.
- Détection des intrusions
- Service de sécurité qui surveille et analyse les événements réseau ou système et qui émet, en temps réel ou quasi réel, des alertes suivant toute tentative d’accès non autorisé.
E
- Effacement sécurisé
- Processus numérique de nettoyage qui fait appel à des commandes et des outils de l’industrie (notamment ATA security erase [SE]) pour effacer adéquatement tous les emplacements accessibles de la mémoire d’un dispositif de stockage de données.
- EMR
- Voir Évaluation des menaces et des risques .
- EMSEC
- Voir Sécurité des émissions .
- Enregistreur de frappe
- Logiciel ou dispositif qui enregistre les frappes d’un utilisateur sur le clavier d’un ordinateur compromis. Les frappes sont enregistrées ou transmises dans le but d’obtenir des informations de valeur.
- Exfiltration
- Retrait non autorisé de données ou de fichiers d’un système par un intrus.
- Exigence de sécurité ministérielle
- Toute exigence de sécurité prescrite par les cadres supérieurs d’un ministère, qui concerne généralement les systèmes d’information dudit ministère.
- Exploitation sur navigateur
- Usage abusif des composants d'un navigateur Web légitime aux fins d'exécution de code malveillant. La simple visite d'un site Web contenant du code malveillant caché peut donner lieu à une exploitation.
- Exploitation à distance
- Exploitation d’une machine suivant la transmission, depuis un réseau distant, de commandes spécialement conçues pour tromper l'un des services de la machine ciblée, de façon à obtenir un accès non autorisé ou à extraire de l'information.
- Émission compromettante
- Signal émis involontairement par un système de traitement de l’information, dont l’interception et l’analyse pourraient mener à la divulgation des informations véhiculées par le signal en question.
- Émission d’équipement
- Rayonnement d’un champ électrique provenant d’équipement en cours de traitement ou de production d’information.
- Évaluation des menaces et des risques
- Processus consistant à identifier les actifs système ainsi que la façon dont ces actifs pourraient être compromis; à évaluer le niveau de risque que les menaces posent pour ces actifs; à recommander des mesures de sécurité visant à atténuer l'effet de ces menaces.
- Évaluation des risques résiduels
- Le niveau attribué aux risques résiduels (c.-à-d. élevé, moyen, faible).
- Évaluation des risques résiduels
- Évaluation réalisée à la fin du cycle de développement d'un système, ayant pour objet de calculer le degré de probabilité et les répercussions potentielles d'une menace.
- Évaluation des vulnérabilités
- Processus visant à définir les lacunes ou les écarts dans les mesures de protection des systèmes d'information.
F
G
- Gardien
- Passerelle interposée entre des réseaux, des ordinateurs ou d’autres systèmes d’information dont les niveaux de sécurité sont différents. Le gardien assure la médiation de tous les transferts d’information entre ces deux niveaux pour veiller à ce qu’aucun renseignement sensible d’un niveau supérieur ne soit divulgué à un niveau inférieur. Il garantit également l’intégrité des données du niveau de sécurité le plus élevé.
- Gardiens de compte COMSEC
- Personne responsable de la réception, de l’entreposage, de la distribution, de la comptabilité, de l'élimination et de la destruction de tout le matériel COMSEC confié au compte COMSEC. Le gardien est nommé par l'autorité COMSEC de l'organisme.
- Gestion des clés
- Procédures et mécanismes de génération, de distribution, de remplacement, de stockage, d'archivage et de destruction des clés cryptographiques.
H
- Hameçonnage
- Procédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux.
- Harponnage
- Utilisation de courriels trompeurs dans le but de persuader des membres d’une organisation de révéler leurs noms d’utilisateurs et leurs mots de passe. Contrairement à l'hameçonnage, qui nécessite l'envoi massif de courriels, le harponnage se fait à petite échelle et est bien ciblé. (Synonyme : hameçonnage ciblé)
I
- Incident
- Incident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur.
- Incident COMSEC
- Toute occurrence mettant en péril ou pouvant mettre en péril la sécurité de renseignements classifiés ou protégés du gouvernement du Canada pendant que ceux-ci sont en stockage, en traitement ou en cours de transmission sécurisée.
- Infonuagique
- Recours à des serveurs distants hébergés dans l'Internet. L'infonuagique permet à des utilisateurs d'accéder à un ensemble de ressources informatiques (réseaux, serveurs, applications, services) sur demande pour peu qu'ils disposent d'un accès à Internet. Les utilisateurs parviennent à ces ressources par l'intermédiaire d'un réseau informatique plutôt que d'avoir à les stocker toutes sur leur propre ordinateur.
- Informatique quantique
- Un ordinateur quantique peut traiter un grand nombre de calculs simultanément. Tandis qu'un ordinateur classique travaille avec des « 1 » et des « 0 », un ordinateur quantique a l'avantage d'utiliser le « 1 », le « 0 » et des superpositions de « 1 » et de « 0 ». Certaines tâches complexes que les ordinateurs classiques ne pouvaient pas effectuer peuvent désormais être effectuées rapidement et efficacement par un ordinateur quantique.
- Infrastructure essentielle
- Processus, systèmes, installations, technologies, réseaux, actifs et services qui sont essentiels pour assurer la santé, la sécurité et le bien être économique des Canadiens ainsi que le fonctionnement efficace du gouvernement. Les infrastructures essentielles peuvent être autonomes ou interconnectées et interdépendantes dans les administrations provinciales, territoriales ou nationales ou entre celles ci. La perturbation des infrastructures essentielles pourrait donner lieu à des pertes de vie et à des répercussions économiques néfastes de même que considérablement ébranler la confiance du public.
- Injection de code
- Insertion de code malveillant dans un programme informatique suivant l’exploitation d’une faille dans un programme ou dans la façon dont ce programme interprète les données saisies par les utilisateurs.
- Intelligence artificielle
- Sous-domaine de l'informatique ayant trait au développement de programmes informatiques aptes à résoudre des problèmes, à apprendre, à comprendre des langages, à interpréter des scènes visuelles, bref, à se comporter de façon à reproduire les facultés cognitives de l'intelligence humaine.
- Interface
- Frontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels.
- Interface de bordure
- Point d’interface de service de la couche réseau par l’intermédiaire duquel un système d’extrémité, un système de frontière interne ou un point d'interface interzone se connecte à l’interréseau d’une zone.
- Interface de frontière
- Interface de la couche réseau située entre deux points d’interface entre les zones (ZIP pour Zone Interface Points).
- Internet des objets
- Réseau formé par les dispositifs Web utilisés couramment, qui peuvent se connecter les uns aux autres et qui peuvent se transmettre de l'information.
- Intégrité
- Aptitude à protéger l'information contre les modifications ou les suppressions non intentionnelles ou inopportunes. L'intégrité permet de savoir si l'information est conforme à ce qu'elle est censée être. L'intégrité s'applique également aux processus opérationnels, à la logique des applications logicielles, au matériel ainsi qu'au personnel.
J
- Jour zéro
- Vulnérabilité logicielle dont l’existence n’est pas encore connue du fournisseur et qui n’est donc pas atténuée. Un exploit de jour zéro désigne une attaque qui exploite une vulnérabilité de jour zéro.
K
L
- Liste autorisée
- Liste de contrôle d’accès identifiant les personnes ou les programmes autorisés dans le but de prévenir les dommages.
- Liste interdite
- Liste de contrôle des accès employée pour bloquer certains éléments (p. ex. applications, adresses électroniques, noms de domaines, adresses IP) réputés préjudiciables.
- Logiciel antivirus
- Logiciel qui protège contre les virus, les chevaux de Troie, les vers et les logiciels espions. Le logiciel anti-virus procède à l'analyse des fichiers afin d'identifier des programmes qui sont ou pourraient être malveillants. L'analyse permet d'identifier : les virus connus, les virus auparavant inconnus et les fichiers suspects.
M
- Maliciel
- Logiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires.
- Matériel COMSEC
- Article ayant pour vocation de sécuriser ou d'authentifier l’information de télécommunications (p. ex. les clés cryptographiques, l’équipement, les modules, les dispositifs, les documents, le matériel informatique et les micrologiciels ou logiciels qui comportent ou décrivent une logique cryptographique, de même que d’autres articles qui exécutent des fonctions COMSEC).
- Matériel COMSEC comptable
- Matériel COMSEC disposant obligatoirement d'un code de comptabilité (CC) grâce auquel il peut être contrôlé et comptabilisé par le Système national de contrôle du matériel COMSEC (SNCMC). Les mesures de contrôle et de comptabilisation sont nécessaires dans la mesure où le transfert ou la divulgation de ce type de matériel pourrait causer préjudice aux intérêts nationaux du Canada.
- Matériel cryptographique
- Tout le matériel, y compris les documents, les dispositifs et l’équipement, qui contient de l’information cryptographique et qui est indispensable au chiffrement, au déchiffrement ou à l’authentification des communications.
- Matériel cryptographique
- Tout le matériel, y compris les documents, les dispositifs et l’équipement, qui contient de l’information cryptographique et qui est indispensable au chiffrement, au déchiffrement ou à l’authentification des communications.
- Menace liée à la sécurité des TI
- Événement ou acte délibéré, accidentel ou naturel pouvant éventuellement porter préjudice aux actifs de TI.
N
- Nettoyage
- Processus par lequel les données sont retirées d’un support de manière définitive. Le support d’enregistrement peut être réutilisé conformément aux politiques de sécurité des TI, mais il est impossible de récupérer les données qui s’y trouvaient ou d’y accéder.
- Nettoyage sélectif
- Type de nettoyage qui ne vise que certains fichiers ou certains éléments de données (à ne pas confondre avec le « nettoyage de support » qui consiste à effacer l’intégralité des données enregistrées dans un support).
- Niveau de préjudice
- Niveau de sévérité d'un préjudice. On compte cinq de ces niveaux : très faible, faible, moyen, élevé, très élevé.
- Niveau de risque
- Le niveau attribué à un risque (c.-à-d. élevé, moyen, faible).
- Nœud
- Point de connexion pouvant recevoir, créer, stocker ou envoyer des données en passant par les chemins réseau. Chaque nœud réseau, qu’il s’agisse d’un point terminal pour la transmission de données ou d’un point de redistribution, est programmé ou conçu pour reconnaître et traiter des transmissions, puis les envoyer à d’autres nœuds réseau.
O
P
- Passerelle
- Système intermédiaire servant d’interface entre deux réseaux informatiques. Il peut s’agir d’un serveur, d’un coupe-feu, d’un routeur ou d’un autre dispositif qui permet aux données de passer dans un réseau.
- Pirate informatique
- Personne qui utilise des ordinateurs et l’Internet pour accéder à d’autres ordinateurs et serveurs, sans en avoir la permission.
- Point de présence
- Point d’accès, emplacement ou installation où au moins deux réseaux ou dispositifs de communication se connectent l’un à l’autre ainsi qu’à l’Internet. (POP pour Point of Presence)
- Porte dérobée
- Moyen non recensé qui permet, discrètement ou anonymement, d'accéder à distance à un ordinateur après avoir contourné les mécanismes d'authentification et s'être donné accès au texte en clair.
- Privilège d'administration
- Type d'autorisation permettant à un utilisateur d'exécuter certaines fonctions système ou réseau, notamment l'installation de logiciels et la modification des paramètres de configuration.
- Profil de contrôle de sécurité ministériel
- Série de contrôles de sécurité servant à établir les exigences minimales d'une organisation en matière de sécurité des TI.
- Propriété intellectuelle
- S'entend des droits qui découlent de l'activité intellectuelle dans les domaines industriel, scientifique, littéraire et artistique. Des exemples incluent : les droits d'auteur, mes marques de commerce et les brevets.
- Préjudice
- Dommage causé aux intérêts nationaux ou non nationaux suivant une attaque visant à compromettre des biens de TI.
- Périmètre
- Frontière entre deux zones de sécurité réseau à travers laquelle le trafic est acheminé.
Q
R
- Rançongiciel
- Type de maliciel qui empêche tout utilisateur légitime d'accéder à des ressources (système ou données), et ce, jusqu'à ce que les responsables desdites ressources aient payé une rançon.
- Reconnaissance
- Activité menée par un auteur de menace dans le but d’obtenir de l’information et de déceler les vulnérabilités qui permettront d’éventuelles compromissions.
- Renseignement classifié
- Désignation du gouvernement du Canada s’appliquant aux renseignements sensibles dont la divulgation pourrait porter préjudice aux intérêts nationaux (notamment sur le plan de la défense nationale, des relations étrangères et des intérêts économiques).
- Risque résiduel
- Le degré de probabilité et les répercussions potentielles d'une menace qui subsistent après la mise en application des contrôles de sécurité.
- RPV
- Voir Réseau privé virtuel .
- Réseau privé virtuel
- Réseau de communication privé habituellement utilisé au sein d’une entreprise ou par plusieurs entreprises pour communiquer au moyen d’un réseau plus vaste. Les communications par RPV sont habituellement chiffrées ou encodées pour en protéger le trafic contre les utilisateurs du réseau public qui sert de support au RPV en question.
- Réécriture
- Processus consistant à écrire ou copier de nouvelles données sur des données existantes. Il est impossible de récupérer les données ainsi écrasées.
S
- Signature numérique
- Mécanisme cryptographique employé pour vérifier l'authenticité et l'intégrité d'un article (p. ex. un document, un logiciel).
- Système d’extrémité
- Ordinateur branché à un réseau qui, pour une instance de communication particulière, constitue la source ou la destination finale des communications.
- Système utilisateur
- Système d'extrémité pour utilisation humaine, notamment un ordinateur de bureau (moniteur, clavier, souris et système d'exploitation).
- Sécurité des émissions
- Mesures prises dans le but d'atténuer les risques d'interception non autorisées d'émissions non intentionnelles provenant d'équipements de technologie de l'information qui traite des données classifiées.
- Séparation des tâches
- Principe de sécurité selon lequel il convient de répartir les responsabilités de nature sensible ou essentielle entre plusieurs entités (comme le personnel ou les processus) plutôt que les attribuer à une seule, afin de prévenir les infractions à la sécurité.
T
- TEMPEST
- Appellation du département de la Défense des États-Unis désignant des spécifications et des normes visant à réduire la force des émissions électromagnétiques provenant d’appareils électriques et électroniques de façon à atténuer la vulnérabilité à l’écoute clandestine.
- Texte chiffré
- Terme de cryptographie désignant l’information chiffrée.
- Texte en clair
- Information non chiffrée.
U
V
- Ver
- Programme malveillant capable de se reproduire et de s’exécuter de manière autonome, généralement transmis au moyen de connexions au réseau, dans le but de causer des dommages (p. ex. supprimer des fichiers, envoyer des documents par courriel, ralentir le système en saturant la bande passante).
- Vidage
- Application de techniques logiques dans le but de nettoyer les données de tous les emplacements de stockage adressables aux fins de protection contre les techniques simples de récupération des données. Ce nettoyage résulte du remplacement des données par de nouvelles valeurs (réécriture) ou, lorsque la réécriture n’est pas prise en charge, de la sélection d’une option de menu qui déclenche la réinitialisation des paramètres par défaut du dispositif en question.
- Virus
- Programme informatique qui se propage en se copiant par lui-même. Les virus informatiques se propagent d’un ordinateur à l’autre, souvent à l’insu de l’utilisateur, et causent des dommages de toutes sortes. Ils peuvent faire afficher des messages irritants, voler des données ou même permettre à d’autres utilisateurs de prendre le contrôle de l’ordinateur infecté.
- Vulnérabilité
- Défectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation.
W
X
Y
Z
- Zone de sécurité de réseau
- Environnement de réseau clairement délimité relevant d’une autorité de zone de sécurité de réseau et caractérisé par un niveau standard de vulnérabilité aux menaces. On distingue les types de zones d’après les exigences de sécurité s’appliquant aux interfaces, au contrôle du trafic, à la protection des données, au contrôle de la configuration d’hôte et au contrôle de la configuration de réseau.
- Zone démilitarisée
- Également appelée « réseau périmétrique », la zone démilitarisée (DMZ pour Demilitarized Zone) est un secteur moins sécurisé d'un réseau, qui est situé entre deux composantes servant à l'application des politiques d'un réseau (p. ex. entre l'Internet et les réseaux internes). Une organisation a recours à une zone démilitarisée pour y héberger ses propres services Internet tout en éliminant les risques d'accès non autorisé à son réseau privé.