Glossaire Cybersécurité

CSRF

Cross-Site Request Forgery - attaque forçant un utilisateur authentifié à exécuter des actions non souhaitées sur une application web à son insu.

CISA KEV

Known Exploited Vulnerabilities - catalogue tenu par l'agence américaine CISA répertoriant les CVE activement exploitées dans la nature, utilisé pour prioriser les correctifs.

CVE

Common Vulnerabilities and Exposures - identifiant standardisé attribué à chaque vulnérabilité de sécurité connue, permettant une référence commune entre outils et équipes.

CVSS

Common Vulnerability Scoring System - système de notation standardisé mesurant la sévérité d'une vulnérabilité sur une échelle de 0 à 10, selon des critères d'exploitabilité et d'impact.

CWE

Common Weakness Enumeration - classification des types de faiblesses logicielles à l'origine des vulnérabilités, maintenue par MITRE pour faciliter l'analyse des causes racines.

DORA

Digital Operational Resilience Act - règlement européen imposant aux entités financières des exigences strictes en matière de résilience numérique, incluant des tests de pénétration réguliers.

EPSS

Exploit Prediction Scoring System - score probabiliste estimant la likelihood qu'une CVE soit exploitée dans les 30 prochains jours, complément essentiel au CVSS pour la priorisation.

IDOR

Insecure Direct Object Reference - vulnérabilité permettant à un attaquant d'accéder à des ressources appartenant à d'autres utilisateurs en manipulant des identifiants exposés.

LFI

Local File Inclusion - vulnérabilité permettant à un attaquant de lire des fichiers locaux du serveur en exploitant une mauvaise validation des entrées dans les inclusions de fichiers.

NIS2

Network and Information Security Directive 2 - directive européenne renforçant les exigences de cybersécurité pour les opérateurs de services essentiels et importants dans l'UE.

OWASP

Open Web Application Security Project - organisation produisant des ressources libres sur la sécurité applicative, dont le célèbre Top 10 des risques les plus critiques pour les applications web.

Path Traversal

Attaque exploitant une validation insuffisante des chemins de fichiers pour accéder à des répertoires et fichiers en dehors du répertoire racine prévu de l'application.

Pentest

Test de pénétration - évaluation de sécurité simulant les actions d'un attaquant réel pour identifier des vulnérabilités exploitables avant qu'un acteur malveillant ne les découvre.

Phishing

Technique d'ingénierie sociale par laquelle un attaquant usurpe l'identité d'une entité légitime pour dérober des identifiants, des données sensibles ou installer un logiciel malveillant.

Ransomware

Logiciel malveillant chiffrant les données d'une organisation et exigeant une rançon pour la clé de déchiffrement, souvent précédé d'une phase d'exfiltration de données sensibles.

RCE

Remote Code Execution - classe de vulnérabilité critique permettant à un attaquant d'exécuter du code arbitraire sur un système distant, généralement conduisant à une compromission totale.

SQLi

SQL Injection - injection de commandes SQL malveillantes dans des requêtes applicatives mal construites, permettant l'extraction, la modification ou la suppression de données en base.

SSRF

Server-Side Request Forgery - vulnérabilité forçant un serveur à effectuer des requêtes vers des ressources internes ou externes non autorisées, pouvant exposer des services internes.

XSS

Cross-Site Scripting - injection de scripts malveillants dans des pages web consultées par d'autres utilisateurs, permettant le vol de session, la redirection ou l'exfiltration de données.

Zero-day

Vulnérabilité inconnue du fabricant ou pour laquelle aucun correctif n'existe encore, exploitable immédiatement par des attaquants disposant de la connaissance avant que la défense ne soit possible.