Def certif Flashcards

1
Q

Niveau de risque

A

Niveau de risque = Probabilité + Impact

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Sécurité adéquate

A

Sécurité proportionnelle au risque et à l’ampleur du préjudice résultant de la perte, de l’utilisation abusive ou de
l’accès non autorisé ou de la modification des informations.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Contrôles administratifs

A

Contrôles mis en œuvre par le biais de politiques et de procédures. Les exemples incluent les processus de contrôle d’accès et le fait
d’exiger plusieurs personnes pour effectuer une opération spécifique. Dans les environnements modernes, les contrôles
administratifs sont souvent appliqués conjointement avec des contrôles physiques et/ou techniques, comme une politique d’octroi
d’accès pour les nouveaux utilisateurs qui nécessite une connexion et l’approbation du responsable du recrutement.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Intelligence artificielle

A

La capacité des ordinateurs et des robots à simuler l’intelligence et le comportement humains.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Actif

A

Tout ce qui a de la valeur et qui appartient à une organisation. Les actifs comprennent à la fois des éléments corporels tels que
les systèmes d’information et la propriété physique et des actifs incorporels tels que la propriété intellectuelle

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Authentification

A

Processus de contrôle d’accès validant que l’identité revendiquée par un utilisateur ou une entité est connue du
système, en comparant un (monofacteur ou SFA) ou plusieurs (authentification multifacteur ou MFA) facteurs
d’identification.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Autorisation

A

Autorisation
Droit ou autorisation accordé à une entité système pour accéder à une ressource système. NIST 800-82
Rév.2

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Disponibilité

A

Garantir un accès rapide et fiable aux informations et leur utilisation par les utilisateurs autorisés.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Référence

A

Niveau de sécurité documenté le plus bas autorisé par une norme ou une organisation.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Biométrique

A

Caractéristiques biologiques d’un individu, telles que les empreintes digitales, la géométrie de la main, la voix ou les motifs de
l’iris.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Bot

A

Code malveillant qui agit comme un « robot » télécommandé pour un attaquant, avec d’autres capacités de cheval
de Troie et de ver.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Informations classifiées ou sensibles

A

Informations qui ont été déterminées comme nécessitant une protection contre toute divulgation non autorisée et qui sont
marquées pour indiquer leur statut classifié et leur niveau de classification lorsqu’elles sont sous forme documentaire.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Confidentialité

A

La caractéristique des données ou des informations lorsqu’elles ne sont pas mises à disposition ou divulguées à des personnes
ou à des processus non autorisés. NIST800-66

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Criticité

A

Mesure du degré auquel une organisation dépend de l’information ou du système d’information pour
le succès d’une mission ou d’une fonction commerciale. NIST SP 800-60 Vol. 1, Rév. 1

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Intégrité des données

A

Propriété selon laquelle les données n’ont pas été modifiées de manière non autorisée. L’intégrité des données couvre les
données stockées, pendant le traitement et pendant le transit. Source : NIST SP 800-27 Rév. A

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Chiffrement

A

Le processus et l’acte de convertir le message de son texte brut en texte chiffré. Parfois, on parle également de
chiffrement. Les deux termes sont parfois utilisés de manière interchangeable dans la littérature et ont des
significations similaires.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Règlement Général sur la Protection des Données (RGPD)

A

En 2016, l’Union européenne a adopté une législation complète qui traite de la vie privée, la considérant
comme un droit humain individuel.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Gouvernance

A

Le processus de gestion d’une organisation ; comprend généralement tous les aspects de la façon dont les décisions sont
prises pour cette organisation, tels que les politiques, les rôles et les procédures que l’organisation utilise pour prendre ces
décisions.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA)

A

Cette loi fédérale américaine constitue la réglementation la plus importante en matière d’information sur les soins de santé aux
États-Unis. Il ordonne l’adoption de normes nationales pour les transactions électroniques de soins de santé tout en protégeant la
confidentialité des informations de santé des individus. D’autres dispositions portent sur la réduction de la fraude, la protection des
personnes bénéficiant d’une assurance maladie et un large éventail d’autres activités liées aux soins de santé. HNE. 1996.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Impact

A

L’ampleur du préjudice qui pourrait être causé par l’exercice d’une vulnérabilité par une menace.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Risque de sécurité des informations

A

Les impacts négatifs potentiels sur les opérations d’une organisation (y compris sa mission, ses fonctions, son image et
sa réputation), ses actifs, ses individus, d’autres organisations et même la nation, qui résultent de la possibilité d’accès,
d’utilisation, de divulgation, de perturbation, de modification ou de destruction non autorisés d’informations et/ou de
systèmes d’information.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

Institut d’ingénieurs en électricité et électronique

A

L’IEEE est une organisation professionnelle qui établit des normes pour les télécommunications, l’ingénierie
informatique et des disciplines similaires

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Intégrité

A

Propriété des informations par lesquelles elles sont enregistrées, utilisées et conservées de manière à garantir leur
exhaustivité, leur exactitude, leur cohérence interne et leur utilité pour un objectif déclaré.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Organisation internationale de normes (ISO)

A

L’ISO élabore des normes internationales volontaires en collaboration avec ses partenaires en normalisation
internationale, la Commission électrotechnique internationale (CEI) et l’Union internationale des
télécommunications (UIT), notamment dans le domaine des technologies de l’information et de la
communication.

25
Q

Groupe de travail sur l’ingénierie Internet (IETF)

A

L’organisation de normalisation Internet, composée de concepteurs de réseaux, d’opérateurs, de fournisseurs et de
chercheurs, qui définit les normes de protocole (par exemple, IP, TCP, DNS) par le biais d’un processus de collaboration et
de consensus. Source : NIST SP 1800-16B

26
Q

Probabilité

A

La probabilité qu’une vulnérabilité potentielle puisse être exercée dans le cadre de l’environnement de
menace associé.

27
Q

La probabilité d’occurrence

A

Facteur pondéré basé sur une analyse subjective de la probabilité qu’une menace donnée soit capable d’exploiter une
vulnérabilité ou un ensemble de vulnérabilités donné.

28
Q

Authentification multifacteur

A

Utiliser au moins deux instances distinctes des trois facteurs d’authentification (quelque chose que vous connaissez, quelque
chose que vous avez, quelque chose que vous êtes) pour la vérification de l’identité

29
Q

Instituts nationaux des normes et de la technologie (NIST)

A

Le NIST fait partie du département américain du Commerce et s’occupe de l’infrastructure de mesure dans le cadre des
efforts scientifiques et technologiques du gouvernement fédéral américain. Le NIST établit des normes dans un certain
nombre de domaines, notamment la sécurité de l’information au sein du centre de ressources sur la sécurité informatique
des divisions de sécurité informatique

30
Q

Non-répudiation

A

L’incapacité de refuser d’entreprendre une action telle que créer des informations, approuver des informations
et envoyer ou recevoir un message.

31
Q

Informations personnellement identifiables (PII)

A

Le National Institute of Standards and Technology, connu sous le nom de NIST, dans sa publication spéciale 800-122 définit
les informations personnelles comme « toute information sur un individu conservée par une agence, y compris (1) toute
information pouvant être utilisée pour distinguer ou retracer l’identité d’un individu. , tels que le nom, le numéro de sécurité
sociale, la date et le lieu de naissance, le nom de jeune fille de la mère ou les enregistrements biométriques ; et (2) toute
autre information liée ou pouvant être liée à un individu, telle que des informations médicales, éducatives, financières et
professionnelles.

32
Q

Contrôles physiques

A

Contrôles mis en œuvre via un mécanisme tangible. Les exemples incluent les murs, les clôtures, les gardes, les serrures, etc.
Dans les organisations modernes, de nombreux systèmes de contrôle physique sont liés à des systèmes techniques/logiques, tels
que les lecteurs de badges connectés aux serrures des portes.

33
Q

Confidentialité

A

Le droit d’un individu de contrôler la diffusion d’informations le concernant

34
Q

Probabilité

A

Chances, ou probabilité, qu’une menace donnée soit capable d’exploiter une vulnérabilité donnée ou un
ensemble de vulnérabilités. Source : NIST SP 800-30 Rév. 1

35
Q

Informations de santé protégées (PHI)

A

Informations concernant l’état de santé, la fourniture de soins de santé ou le paiement des soins de santé, tels que
définis dans la loi HIPAA (Health Insurance Portability and Accountability Act).

36
Q

Analyse qualitative des risques

A

Méthode d’analyse des risques basée sur l’attribution d’un descripteur tel que faible, moyen ou élevé.
Source : NISTIR 8286

37
Q

Analyse quantitative des risques

A

Méthode d’analyse des risques dans laquelle des valeurs numériques sont attribuées à la fois à l’impact et à la probabilité sur la
base de probabilités statistiques et d’une évaluation monétarisée de la perte ou du gain. Source : NISTIR 8286

38
Q

Risque

A

Un événement possible qui peut avoir un impact négatif sur l’organisation.

39
Q

Acceptation du risque

A

Déterminer que les avantages potentiels d’une fonction commerciale l’emportent sur l’impact/la probabilité du
risque possible et exécuter cette fonction commerciale sans autre action.

40
Q

L’évaluation des risques

A

Le processus d’identification et d’analyse des risques pour les opérations organisationnelles (y compris la mission, les
fonctions, l’image ou la réputation), les actifs organisationnels, les individus et d’autres organisations. L’analyse effectuée
dans le cadre de la gestion des risques qui intègre des analyses de menaces et de vulnérabilités et prend en compte les
atténuations fournies par les contrôles de sécurité planifiés ou en place.

41
Q

Évitement des risques

A

Déterminer que l’impact et/ou la probabilité d’un risque spécifique est trop important pour être compensé par les
avantages potentiels et ne pas exécuter une certaine fonction commerciale en raison de cette détermination

42
Q

Gestion des risques

A

Processus d’identification, d’évaluation et de contrôle des menaces, y compris toutes les phases du contexte (ou cadre) du risque,
de l’évaluation des risques, du traitement des risques et de la surveillance des risques

43
Q

Cadre de gestion des risques

A

Une approche structurée utilisée pour superviser et gérer les risques d’une entreprise. Source : CNSSI 4009

44
Q

Atténuation des risques

A

Mettre en place des contrôles de sécurité pour réduire l’impact possible et/ou la probabilité d’un risque spécifique.

45
Q

Tolérance au risque

A

Le niveau de risque qu’une entité est prête à assumer afin d’atteindre un résultat potentiel souhaité. Source : NIST SP 800-32.
Le seuil de risque, l’appétit pour le risque et le risque acceptable sont également des termes utilisés comme synonymes de
tolérance au risque.

46
Q

Transfert de risque

A

Payer une partie externe pour qu’elle accepte l’impact financier d’un risque donné.

47
Q

Traitement des risques

A

La détermination de la meilleure façon de faire face à un risque identifié.

48
Q

Contrôles de sécurité

A

Contrôles de gestion, opérationnels et techniques (c’est-à-dire sauvegardes ou contre-mesures) prescrits
pour un système d’information afin de protéger la confidentialité, l’intégrité et la disponibilité du système et
de ses informations. Source : FIPS PUB 199

49
Q

Sensibilité

A

Mesure de l’importance accordée à l’information par son propriétaire, dans le but d’indiquer son
besoin de protection. Source : NIST SP 800-60 Vol 1 Rév. 1

50
Q

Authentification à facteur unique

A

Utilisation d’un seul des trois facteurs disponibles (quelque chose que vous connaissez, quelque chose que vous possédez,
quelque chose que vous êtes) pour réaliser le processus d’authentification demandé.

51
Q

État
L’état dans lequel se trouve une entité à un moment donné.

A

L’état dans lequel se trouve une entité à un moment donné.

52
Q

Intégrité du système

A

Qualité qu’un système possède lorsqu’il remplit sa fonction prévue de manière intacte, sans
manipulation non autorisée du système, qu’elle soit intentionnelle ou accidentelle. Source : NIST SP
800-27 Rév. A

53
Q

Contrôles techniques

A

Contrôles de sécurité (c’est-à-dire mesures de protection ou contre-mesures) pour un système d’information qui sont
principalement mis en œuvre et exécutés par le système d’information au moyen de mécanismes contenus dans les
composants matériels, logiciels ou micrologiciels du système.

54
Q

Menace

A

Toute circonstance ou événement susceptible d’avoir un impact négatif sur les opérations de l’organisation (y compris
la mission, les fonctions, l’image ou la réputation), les actifs de l’organisation, les individus, d’autres organisations ou la
nation via un système d’information via un accès non autorisé, une destruction, une divulgation, une modification
d’informations et/ ou un refus de service. Source : NIST SP 800-30 Rév. 1

55
Q

Acteur menaçant

A

Un individu ou un groupe qui tente d’exploiter des vulnérabilités pour provoquer ou forcer une menace à se produire.

56
Q

Vecteur de menace

A

Moyens par lesquels un acteur menaçant atteint ses objectifs.

57
Q

Jeton

A

Objet physique qu’un utilisateur possède et contrôle et qui est utilisé pour authentifier l’identité de l’utilisateur.
NISTIR 7711

58
Q

Vulnérabilité

A

Faiblesse d’un système d’information, des procédures de sécurité du système, des contrôles internes ou de la mise en
œuvre qui pourrait être exploitée par une source de menace. Source : NIST SP 800-30 Rév. 1