Lexique RGPD

Accès sans fil (Wi-Fi)

Technologie de réseau informatique sans fil pouvant fonctionner pour construire un réseau interne accédant à Internet à haut débit. Cette technologie est basée sur la norme IEEE 802.11 (ISO/CEI 8802-11).

Remarques : L’accès sans fil rend nécessaire l’élaboration d’une politique de sécurité dans les entreprises et chez les particuliers, par le biais de la norme 802.11i (WPA2 ou Wi-Fi Protected Access) notamment.

Accountability

L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Adresse IP

La communication sur l’internet est fondée sur un protocole appelé IP pour Internet Protocol qui permet aux ordinateurs de communiquer entre eux. Ce protocole utilise des adresses numériques pour distinguer ces machines et tronçonne la communication en paquets comportant chacun une adresse de source et une adresse de destination. La version la plus couramment employée du protocole est la version IPv4 dans laquelle les adresses sont composées de 4 nombres par exemple 213.56.176.2. Une nouvelle version du protocole est en cours de déploiement : IPv6. Elle utilise des adresses plus longues composées de 8 nombres notés en hexadécimal par exemple 1 fff:0000:0a88:85a3:0000:0000:ac1f:8001. Enfin IPsec désigne un protocole de chiffrement et de signature des paquets IP.

Authentification / identification

L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.

Big data

On parle depuis quelques années du phénomène de big data , que l’on traduit souvent par « données massives ». Avec le développement des nouvelles technologies, d’internet et des réseaux sociaux ces vingt dernières années, la production de données numériques a été de plus en plus nombreuse : textes, photos, vidéos, etc. Le gigantesque volume de données numériques produites combiné aux capacités sans cesse accrues de stockage et à des outils d’analyse en temps réel de plus en plus sophistiqués offre aujourd’hui des possibilités inégalées d’exploitation des informations. Les ensembles de données traités correspondant à la définition du big data répondent à trois caractéristiques principales : volume, vélocité et variété.

Biométrie

La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.
Les données biométriques sont des données personnelles car elles permettent d’identifier une personne.
Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.).

Bring your own device (BYOD)

Pratique qui consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel.

Certification de sécurité

Délivrée par l’ANSSI. Elle porte sur des produits de sécurité (matériels ou logiciels). Elle atteste de la conformité d’un produit de sécurité à un niveau de sécurité donné. Il s’agit d’une évaluation à l’état de l’art réalisée en fonction d’une cible de sécurité et d’un niveau de sécurité visé. Elle est matérialisée par un rapport de certification et un certificat tous deux signés par le Directeur Général de l’Agence. Le catalogue des produits de sécurité certifiés, accompagnés de leur cible de sécurité et de leur rapport de certification est publié sur le site Web de l’Agence. On parle de certification « premier niveau » (CSPN) ou de certification « Critères Communs ». Cette certification est délivrée par l’ANSSI sur la base des travaux dévaluation menés par un CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information). Les CESTI sont des laboratoires accrédités par le COFRAC (Comité Français d’Accréditation) et agréés par l’ANSSI. Le catalogue des CESTI est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Centre National de Certification de la Sous-direction Expertise qui remplit ces missions.

Chiffrement

Transformation cryptographique de données produisant un cryptogramme.

Cloud computing

Le cloud computing (en français, « informatique dans les nuages ») fait référence à l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Les applications et les données ne se trouvent plus sur un ordinateur déterminé mais dans un nuage (cloud) composé de nombreux serveurs distants interconnectés.

Code malveillant, logiciel malveillant (Malicious software, malware)

Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau.

Remarques : Les virus ou les vers sont deux types de codes malveillants connus.

Commission Nationale de l’Informatique et des Libertés (CNIL)

Autorité administrative indépendante créée en 1978, composée d’un collège pluraliste de 17 commissaires, provenant d’horizons divers (4 parlementaires, 2 membres du Conseil économique et social, 6 représentants des hautes juridictions, 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1) , par le Président du Sénat (1), par le Conseil des ministres (3). Le mandat de ses membres est de 5 ans.

Confidentialité

Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés.

Contournement de la politique de sécurité

Toute action ayant pour conséquence la mise en échec des règles ou des mécanismes de sécurité mis en place.

Cookie

Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.
Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d'un site marchand, le contenu courant de votre panier d'achat, la langue d’affichage de la page web, un identifiant permettant de tracer votre navigation à des fins statistiques ou publicitaires, etc. Certains de ces usages sont strictement nécessaires aux fonctionnalités expressément demandées par l’utilisateur ou bien à l’établissement de la communication et donc exemptés de consentement. D’autres, qui ne correspondent pas à ces critères, nécessitent un consentement de l’utilisateur avant lecture ou écriture.
La distinction entre cookies « tiers » (ou « third party ») et cookie « internes » (ou « first-party ») est technique. Lorsqu'un utilisateur visite un site web, il consulte en pratique un « domaine » qui termine en général par une extension de type .com ou .fr (par exemple monsite.com est un domaine), les contenus peuvent être transmis depuis le domaine qu’il visite ou bien via d’autres domaines qu’il n’a pas entré lui-même et qui appartiennent à des tiers. En effet, chaque cookie est associé à un domaine et envoyé ou reçu à chaque fois que le navigateur va « appeler » ce domaine. En pratique :
Les cookies « internes » sont déposés par le site consulté par l’internaute, plus précisément sur le domaine du site. Ils peuvent être utilisés pour le bon fonctionnement du site ou pour collecter des données personnelles afin de suivre le comportement de l’utilisateur et servir à des finalités publicitaires ;
Les cookies « tiers » sont les cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même : ces cookies peuvent aussi être nécessaires au bon fonctionnement du site mais ils servent majoritairement à permettre au tiers de voir quelles pages ont été visitées sur le site en question par un utilisateur et de collecter des informations sur lui, notamment à des fins publicitaires.
Le fait que les cookies soient « internes» ou « tiers » est une distinction technique qui n’a pas de conséquence sur le fait de devoir demander ou pas le consentement. Dans la pratique, une grande majorité des cookies « tiers » ont des finalités qui nécessitent le consentement (par exemple publicitaire), mais on peut également trouver des cookies « tiers » qui sont effectivement strictement nécessaires à une fonctionnalité expressément demandée par l’utilisateur et donc exempté de consentement. C’est le cas, par exemple, des cookies servant uniquement à de l'authenfication fédérée (lorsqu'un compte unique permet d'accéder à plusieurs sites).

Courriel (e-mail, mail)

Document informatisé qu’un utilisateur saisit, envoie ou consulte en différé par l’intermédiaire d’un réseau. L’adresse électronique de l’internaute (adresse e-mail) est le plus souvent composée d’un nom d’utilisateur et d’un nom de domaine séparés par un @.

Remarques : Un courriel contient le plus souvent un texte auquel peuvent être joints d’autres textes, des images ou des sons. Par extension, le terme « courriel » et son synonyme « courrier électronique » sont employés au sens de « messagerie électronique ».

Cryptographie

Discipline incluant les principes, moyens et méthodes de transformation des données, dans le but de cacher leur contenu, d’empêcher que leur modification ne passe inaperçue et/ou d’empêcher leur utilisation non autorisée (ISO 7498-2).

Cryptologie

Science englobant la cryptographie et la cryptanalyse.

La cryptologie, littéralement science du secret en grec, a longtemps été associée à de mystérieux enjeux d’espionnage militaire et diplomatique bien éloignés des préoccupations scientifiques habituelles. Après s’être longtemps résumée à un jeu sans fondements théoriques profonds entre ingénieux concepteurs de codes secrets et cryptanalystes acharnés, elle s’est transformée, à l’aube du XXIe siècle, en une science dynamique à l’intersection de nombreuses autres plus orthodoxes telles que les mathématiques, l’informatique et la micro-électronique.

Cybercriminalité

Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible.

Cyberespace

Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.

Cybersécurité

État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

Déclarant

Personne physique ou morale responsable d’un traitement ou d’un fichier contenant des données personnelles.

Délégué à la protection des données (DPO)

Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement adéquats.

Déni de service (Denial of Service, DoS)

Action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu.

Remarques : Cette action n’est pas nécessairement malveillante. Elle peut aussi traduire un mauvais dimensionnement du service, incapable de fournir la réponse à une forte demande. Si l’action est lancée depuis plusieurs sources, il est fréquent de parler de Déni de Service Distribué (DDoS).

Destinataire

Personne habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions.

Donnée biométrique

Caractéristique physique ou biologique permettant d’identifier une personne (ADN, contour de la main, empreintes digitales...). Découvrir la biométrie.

Donnée personnelle

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Une personne physique peut être identifiée :
directement (exemple : nom et prénom) ; indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
à partir d’une seule donnée (exemple : nom) ; à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).
Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1[@]email.fr ») ne sont pas, en principe, des données personnelles.

Donnée sensible

Les données sensibles forment une catégorie particulière des données personnelles.
Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans les cas suivants :
si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ; si les informations sont manifestement rendues publiques par la personne concernée ; si elles sont nécessaires à la sauvegarde de la vie humaine ; si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ; si elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique, politique ou syndicale.

Droit à l’information

Toute personne a un droit de regard sur ses propres données ; par conséquent, quiconque met en œuvre un fichier ou un traitement de données personnelles est obligé d’informer les personnes fichées de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne, des éventuels transferts de données vers un pays hors de l’Union européenne.

Droit au déréférencement

Dans un arrêt du 13 mai 2014, la Cour de Justice de l’Union européenne a confirmé que les moteurs de recherche sont responsables de traitement. À ce titre, ils doivent respecter le droit européen à la protection des données personnelles. Désormais les personnes peuvent leur demander directement de désindexer une page web associée à leurs nom et prénom. Ce déréférencement ne signifie pas l’effacement de l’information sur le site internet source. Le contenu original reste ainsi inchangé et est toujours accessible via les moteurs de recherche en utilisant d’autres mots-clés de recherche ou en allant directement sur le site à l’origine de la diffusion.

Droit d’accès

Toute personne peut prendre connaissance de l’intégralité des données la concernant dans un fichier en s’adressant directement à ceux qui les détiennent, et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction.

Droit d’accès indirect

Toute personne peut demander que la CNIL vérifie les renseignements qui peuvent la concerner dans les fichiers intéressant la sûreté de l’État, la Défense et la Sécurité publique.

Droit d’opposition

Toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier, et peut refuser sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection commerciale.

Droit de rectification

Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Espiogiciel (spyware)

Logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement sur lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.

Faille

Vulnérabilité dans un système informatique permettant à un attaquant de porter atteinte à son fonctionnement normal, à la confidentialité ou à l’intégrité des données qu’il contient.

Fichier

Un fichier est un traitement de données qui s'organise dans un ensemble stable et structuré de données. Les données d'un fichier sont accessibles selon des critères déterminés.

Finalité d’un traitement

La finalité du traitement est l’objectif principal de l’utilisation de données personnelles.
Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur.
Exemples de finalité : gestion des recrutements, gestion des paies, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.
Termes simplifiés à privilégier : objectif, objet, raison, etc.

Fournisseur d’accès à internet (FAI)

Entreprise ou personne dont l’activité est d’offrir un accès à des services de communication au public en ligne, autrement dit à l’internet ; cf. liste des membres de l’association des fournisseurs d’accès en France sur AFA.

Géolocalisation

Technologie permettant de déterminer la localisation d’un objet ou d’une personne avec une certaine précision. La technologie s’appuie généralement sur le système GPS ou sur les interfaces de communication d’un téléphone mobile. Les applications et finalités de la géolocalisation sont multiples : de l’assistance à la navigation, à la mise en relation des personnes, mais aussi à la gestion en temps réel des moyens en personnel et en véhicules des entreprises, etc.

Hameçonnage (Phishing)

Vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.

Remarque : Les sites sont reproduits, après avoir été aspirés. L’utilisateur est souvent invité à visiter le site frauduleux par un courrier électronique.

Hameçonnage ciblé (spearphishing)

Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée. Généralement, le courriel usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…) dans le but de duper le destinataire qu’il invite à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant. Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation constituant la véritable cible (on parle ici « d’infiltration »).

Une fois sa première victime compromise, l’attaquant cherchera à obtenir des droits « d’administrateur » (on parle alors « d’escalade de privilèges ») pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations convoitées. Cette manœuvre est également appelée « propagation latérale ». Une fois ses cibles atteintes, il recherchera les informations qu’il s’efforcera de capter le plus discrètement possible (on parle alors ici « d’exfiltration ») soit en une seule fois, en profitant d’une période de moindre surveillance du système (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse. Il prend généralement soin de toujours effacer derrière lui toute trace de son activité malveillante.

Homologation de sécurité

L’homologation est délivrée par une autorité d’homologation pour un système d’information avant sa mise en service opérationnel. L’homologation permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré. Elle est imposée pour les systèmes d’information traitant des informations classifiées (IGI 1300) ou pour les télé-services dans le cadre du Référentiel Général de Sécurité (RGS). Dans le cadre des systèmes traitant des informations classifiées (IGI 1300), la décision d’homologation doit être communiquée à l’ANSSI. Dans le cadre des télé-services (RGS), la décision d’homologation doit être communiquée aux utilisateurs des télé-services. L’ANSSI peut, dans certains cas, être autorité d’homologation ou participer aux commissions d’homologation. La liste des homologations délivrées par l’ANSSI ou auxquelles elle a participé n’est pas publiée.

Incidents de sécurité

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.

Ingénierie sociale (Social Engineering)

Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes.

Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information.

Intégrité

Garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime.

Intrusion

L’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.

Listes d’opposition

Les listes d’opposition recensent les personnes qui ont fait connaître leur opposition à être prospectées dans le cadre d’opérations de marketing.

Messagerie instantanée (ou MI ou IM)

Logiciel permettant de dialoguer en direct avec une liste connue d’amis.

Mise en demeure

Une décision de la Présidente de la CNIL qui énumère les manquements reprochés à l’organisme mis en cause ainsi que les mesures qu’il doit prendre, pour se mettre en conformité dans un délai fixé. À ce stade, la procédure de sanction n’est pas encore engagée. En cas de conformité dans le délai fixé, la procédure est clôturée. À défaut, la Présidente de la CNIL peut désigner un rapporteur qui pourra proposer à la formation restreinte de prononcer une sanction. La mise en demeure peut être rendue publique.

Mot de passe (Password)

Un mot de passe est un élément de déverrouillage servant dans la vérification de l’identité annoncée d’une personne par un système d’information.

NIR (Numéro d’inscription au Répertoire)

Le NIR ou numéro de sécurité sociale est attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE.

Open data

L’open data désigne un mouvement, né en Grande-Bretagne et aux États-Unis, d’ouverture et de mise à disposition des données produites et collectées par les services publics (administrations, collectivités locales...).

Pare-feu (Firewall)

Un pare-feu (ou garde-barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.

Porte dérobée (Backdoor)

Accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.

Remarques : Une porte dérobée peut également être la cause d’une mise en œuvre incorrecte d’un protocole.

Pourriel, polluriel (spam)

Tout courrier électronique non sollicité par le destinataire.

Remarques : Le courrier est souvent envoyé simultanément à un très grand nombre d’adresses électroniques. Les produits les plus vantés sont les services pornographiques, la spéculation boursière, des médicaments, le crédit financier, etc.

Produit de sécurité

Dispositif matériel ou logiciel conçu pour protéger la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que les systèmes d’information offrent ou qu’ils rendent accessibles.

Protocole IP

La communication sur l’internet est fondée sur un protocole appelé IP pour Internet Protocol qui permet aux ordinateurs de communiquer entre eux. Ce protocole utilise des adresses numériques pour distinguer ces machines et tronçonne la communication en paquets comportant chacun une adresse de source et une adresse de destination. La version la plus couramment employée du protocole est la version IPv4 dans laquelle les adresses sont composées de 4 nombres par exemple 213.56.176.2. Une nouvelle version du protocole est en cours de déploiement : IPv6. Elle utilise des adresses plus longues composées de 8 nombres notés en hexadécimal par exemple 1 fff:0000:0a88:85a3:0000:0000:ac1f:8001. Enfin IPsec désigne un protocole de chiffrement et de signature des paquets IP.

Quantified self

Le quantified self désigne la pratique de la « mesure de soi » et fait référence à un mouvement né en Californie qui consiste à mieux se connaître en mesurant des données relatives à son corps et à ses activités.

Rançongiciel (Ransomware)

Forme d’extorsion imposée par un code malveillant sur un utilisateur du système.

Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon.

Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon.

Lorsqu’un rançongiciel infecte un poste de travail, le plus souvent (mais pas nécessairement) par l’envoi d’un courrier électronique piégé, l’infection est dès lors susceptible de s’étendre au reste du système d’information (serveurs, ordinateurs, téléphonie, systèmes industriels, etc. ).

Résilience

En informatique, capacité d’un système d’information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l’incident.

Responsable de traitement

Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Sanction

A l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
Prononcer un rappel à l’ordre ;
Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
Limiter temporairement ou définitivement un traitement ;
Suspendre les flux de données ;
Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
Prononcer une amende administrative.

Smart city

La ville intelligente est un nouveau concept de développement urbain. Il s’agit d’améliorer la qualité de vie des citadins en rendant la ville plus adaptative et efficace, à l’aide de nouvelles technologies qui s’appuient sur un écosystème d’objets et de services. Le périmètre couvrant ce nouveau mode de gestion des villes inclut notamment : infrastructures publiques (bâtiments, mobiliers urbains, domotique, etc.), réseaux (eau, électricité, gaz, télécoms) ; transports (transports publics, routes et voitures intelligentes, covoiturage, mobilités dites douces - à vélo, à pied, etc.) ; les e-services et e-administrations.

Tâche d’administration

On appelle tâche d’administration d’un système d’information les opérations de configuration et de gestion d’une ressource du système d’information : installation, gestion des configurations, maintenance, évolution du système d’information administré, supervision ou gestion de la sécurité.

Test d’intrusion (Penetration Test)

Action qui consiste à essayer plusieurs codes d’exploitation sur un système d’information, afin de déterminer ceux qui donnent des résultats positifs.

Remarques : Il s’agit à la fois d’une intention défensive (mieux se protéger) et d’une action offensive (agresser son propre système d’information).

Traitement de données personnelles

Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.
Exemples de traitements : tenue du registre des sous-traitants, gestion des paies, gestion des ressources humaines, etc.
Termes simplifiés à privilégier : utilisation de données, système informatique, système d'information (selon le cas).

Transfert de données

Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.

Usurpation d’adresse (Address Spoofing)

Action malveillante qui consiste à utiliser délibérément l’adresse d’un autre système en lieu et place de la sienne.

Remarques : Il faut rapprocher cette action de l’usurpation d’identité, considérée comme un délit par le droit pénal français. L’idée est de faire passer son système d’information pour un autre. L’adresse usurpée peut être une adresse MAC (pour Medium Access Control), une adresse IP, une adresse de messagerie, etc.

Ver (Worm)

Un ver (ou worm) est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.

Remarques : Les deux termes ver et virus sont relativement proches. Un ver est un virus qui se propage de manière quasi autonome (sans intervention humaine directe) via le réseau. Les vers sont donc une sous-catégorie de virus, dont le vecteur primaire de propagation reste le réseau.

Vidéoprotection

Les dispositifs dits de "vidéoprotection" filment la voie publique et les lieux ouverts au public et sont soumis aux dispositions du code de la sécurité intérieure.

Vidéosurveillance

Les dispositifs dits de « vidéosurveillance » concernent des lieux non ouverts au public (locaux professionnels non ouverts au public comme les bureaux ou les réserves des magasins) et sont soumis aux dispositions de la loi « Informatique et Libertés ».

Violation de données

Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Exemples :

suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ;
perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ;
introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.

Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont prévues dans le RGPD.

Virus

Un virus est un programme ou morceau de programme malveillant dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, etc.) et, bien souvent, d’en atteindre ou d’en parasiter les ressources (données, mémoire, réseau). Le mode de survie peut prendre plusieurs formes : réplication, implantation au sein de programmes légitimes, persistance en mémoire, etc. Pour sa propagation, un virus utilise tous les moyens disponibles : messagerie, partage de fichiers, portes dérobées, page internet frauduleuse, clés USB…

Vulnérabilité (Vulnerability)

Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser. Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système.