Quelques termes de notre site et leurs explications rapides
1. CTEM (Continuous Threat Exposure Management)
Approche continue de gestion de l’exposition aux menaces, combinant asset discovery, évaluation de vulnérabilités, simulations d’attaque et renseignement cyber (CTI). Elle permet une priorisation dynamique des risques métiers, au-delà des audits ponctuels.
2. Red Team
Équipe offensive chargée de simuler des attaques réalistes, souvent en mode black box, pour tester la résilience de l’organisation face à des menaces avancées. Les Red Teams utilisent des TTP inspirées d’APT réels (MITRE ATT&CK, etc.).
3. Blue Team
Équipe défensive en charge de la détection, de la réponse aux incidents et de la surveillance continue. Elle exploite SIEM, EDR, logs réseau et outils de threat hunting pour neutraliser les compromissions actives.
4. Purple Team
Modèle collaboratif entre Red Team et Blue Team. Permet d’aligner les TTP offensives avec les capacités défensives, en boucle courte. Objectif : améliorer les capacités de détection et la réactivité SOC.
5. CVE (Common Vulnerabilities and Exposures)
Identifiant unique attribué à une vulnérabilité logicielle documentée publiquement. Les CVE sont gérés par le MITRE, et chaque faille est notée selon son CVSS score.
6. CVSS (Common Vulnerability Scoring System)
Système de notation de 0 à 10 pour évaluer la criticité d’une vulnérabilité. Le score prend en compte l’exploitabilité, l’impact, la complexité et le contexte environnemental.
7. MITRE ATT&CK
Framework décrivant les tactiques, techniques et procédures (TTP) utilisées par des groupes d’attaquants. Il structure les campagnes d’attaque et est utilisé dans le threat hunting, les red teams, et les outils XDR/SIEM.
8. SIEM (Security Information and Event Management)
Plateforme de centralisation et de corrélation des logs, utilisée pour la détection et l’analyse d’incidents. Outil fondamental du SOC, il alimente les alertes, les tableaux de bord et les investigations post-incident.
9. SOAR (Security Orchestration, Automation and Response)
Outil d’automatisation des réponses à incident. Le SOAR déclenche des playbooks (isolation, alerte, fermeture d’accès) en fonction d’événements corrélés par le SIEM ou d’indicateurs CTI.
10. XDR (Extended Detection and Response)
Évolution du EDR, permettant de corréler les données de sécurité issues de plusieurs sources (endpoints, réseau, email, cloud). Objectif : détection cross-domain et réponse intégrée.
11. APT (Advanced Persistent Threat)
Groupe d’attaque structuré, souvent étatique ou sponsorisé, opérant sur le long terme avec des objectifs d’espionnage, sabotage ou vol de propriété intellectuelle. Les APT se distinguent par leur discrétion et leur persistance.
12. OSINT (Open Source Intelligence)
Collecte d’informations accessibles publiquement à des fins de renseignement ou de reconnaissance pré-attaque. L’OSINT inclut noms de domaines, métadonnées, réseaux sociaux, fuites de données, etc.
13. Initial Access Broker (IAB)
Acteur spécialisé dans la compromission initiale de systèmes (via VPN, RDP, phishing), qu’il revend ensuite à d’autres cybercriminels (ex. ransomware groups). C’est un maillon-clé de la chaîne de compromission moderne.
14. Reconnaissance passive
Phase de préparation d’attaque où l’attaquant collecte des informations sur la cible sans interaction directe : recherches WHOIS, OSINT, leaks, fingerprinting DNS ou TLS.
15. Command and Control (C2/C&C)
Infrastructure utilisée par un malware ou un groupe APT pour piloter ses charges malveillantes et exfiltrer les données. Les flux C2 sont souvent camouflés dans du trafic légitime (DNS, HTTPS, Slack, etc.).
16. Lateral Movement
Technique post-compromission qui permet à un attaquant de se déplacer d’un système à un autre pour atteindre des ressources critiques. Utilise souvent des outils natifs comme PowerShell, RDP, SMB.
17. Privilege Escalation
Obtention de privilèges supérieurs sur un système (ex : passage d’un compte standard à admin/root). Technique clé dans une chaîne d’exploitation pour maintenir ou élargir l’accès.
18. Data Exfiltration
Extraction discrète de données sensibles vers l’extérieur du SI. Elle peut se faire via HTTP, DNS tunneling, Dropbox, GitHub, ou des protocoles chiffrés. Étape finale dans une chaîne APT ou ransomware.
19. Breach and Attack Simulation (BAS)
Outil automatisé permettant de simuler des attaques réelles sur un environnement de production pour valider l’efficacité des défenses (SIEM, EDR, WAF…). Utilisé en complément des pentests.
20. CTI (Cyber Threat Intelligence)
Analyse de données liées aux menaces actuelles ou émergentes (IoCs, TTPs, groupes APT). Le CTI alimente la détection (SIEM, XDR), la prévention (durcissement), et la remédiation (playbooks).
21. Vulnerability Management (Gestion des vulnérabilités)
Processus continu visant à identifier, évaluer, prioriser et corriger les vulnérabilités d’un système d’information. Il s’appuie sur des outils de scanning, du CTI, et des analyses de risque métier.
22. Vulnerability Scanner (Scanner de vulnérabilités)
Outil automatisé qui analyse les systèmes, applications et réseaux à la recherche de failles connues (CVE). Exemples : Nessus, Qualys, OpenVAS. Il peut fonctionner en authentifié ou non-authentifié.
23. Authenticated Scan
Scan de vulnérabilités réalisé avec des identifiants valides, permettant une analyse plus précise et plus profonde du système cible, notamment sur les configurations internes.
24. Unauthenticated Scan
Scan externe réalisé sans identifiants, simulant la vue d’un attaquant n’ayant pas encore compromis le système. Plus limité, mais utile pour une première cartographie de surface d’attaque.
25. Exploit
Code ou méthode permettant d’exploiter une vulnérabilité logicielle ou de configuration. Un exploit peut être public (known exploit) ou privé (zero-day exploit), local ou distant.
26. Zero-Day Vulnerability
Faille inconnue de l’éditeur et du public au moment de sa découverte. C’est l’arme la plus précieuse pour un attaquant, car elle est inexploitable sans patch (zero-day exploit).
27. Common Weakness Enumeration (CWE)
Référentiel structurant les types de faiblesses à l’origine des vulnérabilités (ex : CWE-79 pour les XSS, CWE-89 pour les injections SQL). Utilisé pour catégoriser les problèmes récurrents de développement.
28. Remote Code Execution (RCE)
Vulnérabilité critique permettant à un attaquant d’exécuter du code arbitraire à distance. Peut entraîner une compromission totale d’un système. Exemples : Log4Shell, ProxyShell.
29. Local Privilege Escalation (LPE)
Vulnérabilité permettant à un utilisateur local (ou déjà présent sur la machine) d’obtenir des privilèges élevés (admin/root). Souvent utilisé en post-exploitation.
30. Misconfiguration
Mauvaise configuration d’un système, d’un service ou d’une application pouvant être exploitée comme une vulnérabilité. Ex : port ouvert, S3 bucket public, WAF désactivé, etc.
31. Patch Management
Processus de gestion des correctifs logiciels pour combler les vulnérabilités découvertes. Inclut la veille, les tests, le déploiement et le suivi post-patch.
32. Exploit Database (ExploitDB)
Base de données publique recensant des exploits connus, souvent liés à des CVE. Très utilisée par les pentesters, les red teams et les analystes CTI.
33. Proof of Concept (PoC)
Code ou technique démontrant qu’une vulnérabilité est exploitable. Le PoC est souvent publié en même temps que le CVE pour valider le risque.
34. CVE Chaining (Chaînage de vulnérabilités)
Technique consistant à enchaîner plusieurs failles (parfois mineures) pour atteindre un objectif plus critique. Exemple : accès à un admin panel + LPE = compromission totale.
35. Vulnerability Prioritization
Processus visant à trier les vulnérabilités selon leur criticité réelle pour l’organisation (et non seulement leur score CVSS). Elle peut intégrer l’exposition Internet, le contexte métier ou la présence d’un exploit public.
36. Attack Surface Management (ASM)
Surveillance continue de la surface d’attaque exposée sur Internet : noms de domaines, ports ouverts, services, technologies utilisées. Complète les scans de vulnérabilités traditionnels.
37. NVD (National Vulnerability Database)
Base de données américaine officielle des vulnérabilités CVE, enrichie de métadonnées (CVSS, CWE, liens vers correctifs). Elle alimente de nombreux outils de vulnérabilité management.
38. Vulnerability Disclosure Program (VDP)
Programme structuré permettant à des chercheurs ou hackers éthiques de signaler des vulnérabilités à une entreprise. Peut être privé ou public, avec ou sans bug bounty.
39. Threat-Based Vulnerability Management
Approche qui relie les vulnérabilités détectées avec des menaces actives observées (exploitation in the wild). Permet une remédiation plus ciblée et contextuelle.
40. Scanner as Code
Intégration d’outils de scan de vulnérabilités directement dans les pipelines CI/CD (DevSecOps), pour détecter les failles dès le développement ou le déploiement.
41. Pentest (Test d’intrusion)
Simulation contrôlée d’une attaque visant à identifier les vulnérabilités exploitables dans un système, réseau ou application. Le pentest suit une méthodologie rigoureuse (ex : OSSTMM, PTES, NIST SP 800-115) et permet une évaluation réaliste des risques. Il est souvent couplé à un rapport de recommandations exploitables par la DSI ou la GRC.
42. Pentest-as-a-Service (PtaaS)
Modèle de fourniture de tests d’intrusion via une plateforme SaaS. Le PtaaS permet un suivi en temps réel, une collaboration directe avec les pentesters, des relances fréquentes et une intégration aux outils de ticketing et DevSecOps. Exemples : Cobalt, Bugcrowd, ou offres sur-mesure comme celles de Safercy.
43. Black Box Testing
Méthodologie de pentest sans aucune connaissance préalable du système cible. L’équipe offensive agit comme un attaquant externe, avec pour objectif de simuler une menace réelle au plus proche du terrain.
44. White Box Testing
Méthodologie où le pentester dispose d’un accès complet au système (code source, configuration, credentials). Permet une analyse exhaustive des vulnérabilités internes et une meilleure couverture de test.
45. Grey Box Testing
Méthode hybride entre black box et white box : l’attaquant dispose de certaines informations (accès utilisateurs, documentation partielle). Elle permet de simuler des scénarios réalistes de compromission partielle.
46. Rules of Engagement (RoE)
Document contractuel définissant le périmètre, les limites, les horaires et les canaux de communication d’un pentest. Il encadre juridiquement et opérationnellement l’exercice pour éviter les effets de bord et les litiges.
47. Exploitation Chain
Suite d’étapes exploitant plusieurs vulnérabilités ou erreurs de configuration pour atteindre un objectif final : exfiltration, persistance, prise de contrôle. Les pentesters identifient souvent ces chaînes complexes lors de tests avancés.
48. VOC (Vulnerability Operations Center)
Centre opérationnel dédié à la gestion continue des vulnérabilités. Contrairement au SOC, il est axé sur la détection, la qualification, la priorisation et la remédiation des failles détectées par scans, CTI ou pentests. Il est souvent complémentaire au SOC dans les grandes organisations.
49. SOC (Security Operations Center)
Centre de supervision de la sécurité. Il assure la détection, l’investigation et la réponse aux incidents en temps réel. Un SOC s’appuie sur des outils comme le SIEM, le SOAR et des analystes spécialisés. C’est la colonne vertébrale de la défense opérationnelle.
50. Red Teaming vs. Pentest
Le pentest est un test ponctuel et technique visant à identifier des failles précises. Le Red Teaming est une opération plus longue, stratégique, visant à simuler des adversaires réels (APT) dans une logique de contournement global des défenses (physiques, humaines, techniques).
51. Ransomware (Rançongiciel)
Logiciel malveillant qui chiffre les fichiers d’un système cible et exige une rançon pour restituer l’accès. Les ransomwares modernes intègrent souvent une logique de double extorsion : chiffrement + menace de publication sur le dark web.
52. Double Extortion
Technique utilisée par les groupes de ransomware qui consiste à voler les données avant de les chiffrer. Si la rançon n’est pas payée, les données sont publiées sur un leak site. Cela augmente la pression sur la victime et la visibilité de l’attaque.
53. Data Breach (Fuite de données)
Accès ou divulgation non autorisé d’informations sensibles (PII, identifiants, bases clients, documents internes). Une fuite peut être le résultat d’un ransomware, d’un insider malveillant ou d’une mauvaise configuration.
54. Leak Site
Site web maintenu par des groupes de ransomware (ex : LockBit, AlphV) pour exposer publiquement les données volées d’organisations qui refusent de payer la rançon. Ces sites sont généralement hébergés sur le dark web (via Tor).
55. Dark Web Monitoring
Surveillance continue des forums, marketplaces, canaux Telegram et leak sites du dark web pour détecter des fuites de données, des revendications d’attaque ou des ventes d’accès. Fonction centrale de SaferFind.
56. Initial Access Broker (IAB)
Cybercriminel ou groupe spécialisé dans la compromission initiale d’un système (VPN, RDP, credentials) qu’il revend à d’autres acteurs comme des groupes de ransomware. Les accès sont souvent revendus via des forums du dark web.
57. Data Leak Intelligence (DLI)
Sous-branche du CTI (Cyber Threat Intelligence) dédiée à la collecte, l’analyse et la corrélation des fuites de données observées sur le dark web ou via des canaux clandestins. Permet d’identifier les expositions et les risques de réutilisation.
58. Ransomware-as-a-Service (RaaS)
Modèle économique où un groupe de développeurs met à disposition un kit de ransomware clé-en-main à des affiliés en échange d’un pourcentage sur les rançons. Exemple : LockBit, BlackCat.
59. Incident Response (IR)
Ensemble structuré de procédures techniques et organisationnelles déployées après une compromission : containment, investigation, remédiation, notification réglementaire. L’IR s’appuie sur un playbook IR et une coordination entre équipes techniques, juridiques et communication.
60. TLP (Traffic Light Protocol)
Système de classification utilisé dans le partage d’informations sensibles entre équipes de sécurité. Par exemple, un rapport CTI marquant une fuite en TLP:AMBER signifie qu’il est restreint à certaines parties prenantes.
61. Data Exfiltration
Processus par lequel un attaquant copie ou extrait des données sensibles d’un environnement compromis. Elle précède généralement l’extorsion ou la vente sur le dark web.
62. Telegram Threat Channels
Canaux Telegram utilisés par des acteurs malveillants pour revendre des accès, publier des données, ou discuter de techniques d’intrusion. Ils ont partiellement remplacé les forums traditionnels.
63. Compromised Credentials
Identifiants (login / mot de passe) volés ou exposés publiquement, souvent suite à une fuite ou un malware. Ils sont fréquemment revendus en masse via des dump de bases de données.
64. Paste Site (ex: Pastebin, Ghostbin)
Sites utilisés pour publier discrètement des données volées, des instructions d’attaque ou des PoC. Souvent utilisés comme dépôt temporaire avant qu’une fuite ne soit médiatisée.
65. Exposure Timeline
Chronologie de l’exposition publique ou clandestine d’une donnée compromise. Elle permet de remonter aux sources (ex : première apparition sur un forum, vente, publication sur leak site) et d’estimer le niveau de menace.
66. PKI (Public Key Infrastructure)
Ensemble de technologies, de règles et de services permettant la gestion de certificats numériques et de paires de clés publiques/privées. Elle repose sur une autorité de certification (CA), des certificats X.509 et des processus de révocation (CRL, OCSP).
67. Certificat SSL/TLS
Certificat numérique X.509 permettant de sécuriser les communications entre un client et un serveur via HTTPS. Il garantit l’authenticité de l’identité du serveur et chiffre les échanges avec TLS (Transport Layer Security).
68. CSR (Certificate Signing Request)
Fichier généré lors de la création d’un certificat, contenant la clé publique et des informations d’identité. Il est soumis à une CA pour signature. Le CSR précède l’émission du certificat.
69. CA (Certificate Authority – Autorité de certification)
Organisme (interne ou tiers de confiance) qui émet, signe et valide les certificats numériques. Exemples : Let’s Encrypt, DigiCert, ANSSI (dans le cadre de RGS).
70. Root Certificate (Certificat racine)
Certificat auto-signé situé au sommet d’une chaîne de confiance. Il est préinstallé dans les systèmes d’exploitation et navigateurs. Sa compromission compromet toute la hiérarchie.
71. Intermediate Certificate (Certificat intermédiaire)
Certificat signé par la racine, utilisé pour signer les certificats finaux. Permet de déléguer la signature tout en protégeant la racine.
72. Certificat Wildcard
Certificat TLS permettant de sécuriser tous les sous-domaines d’un domaine (ex : *.safercy.com). Il simplifie la gestion mais augmente le périmètre d’exposition.
73. Certificat SAN (Subject Alternative Name)
Certificat multi-domaines qui permet de sécuriser plusieurs noms DNS dans un seul certificat (utile pour des infrastructures complexes).
74. Certificat EV (Extended Validation)
Certificat SSL hautement vérifié. Requiert une vérification juridique poussée de l’organisation et permet l’affichage du nom de l’entreprise dans la barre d’adresse du navigateur.
75. Certificat eIDAS
Certificat conforme au règlement européen eIDAS, garantissant un haut niveau de sécurité pour l’identification électronique et les signatures électroniques qualifiées.
76. Certificat RGS (Référentiel Général de Sécurité)
Norme française émise par l’ANSSI définissant les exigences en matière de certificats pour les administrations et prestataires français. Elle classe les certificats selon plusieurs niveaux de confiance (RGS 1 étoile, 2 étoiles, etc.).
77. CRL (Certificate Revocation List)
Liste des certificats révoqués avant leur expiration. Publiée régulièrement par les autorités de certification pour éviter l’utilisation de certificats compromis.
78. OCSP (Online Certificate Status Protocol)
Protocole temps réel permettant de vérifier si un certificat est toujours valide. Il remplace souvent les CRL dans les architectures modernes.
79. Hachage (Hashing)
Technique cryptographique produisant une empreinte unique et fixe à partir d’une donnée quelconque. Utilisée pour garantir l’intégrité, vérifier les mots de passe ou signer numériquement un fichier.
80. SHA-256
Algorithme de hachage sécurisé (Secure Hash Algorithm – 256 bits), utilisé dans TLS, les signatures numériques, et les certificats SSL. Successeur plus robuste du SHA-1.
81. SHA-1
Ancien algorithme de hachage aujourd’hui déprécié car vulnérable aux collisions. Il est progressivement interdit dans les infrastructures modernes.
82. MD5
Algorithme de hachage rapide mais très vulnérable aux collisions. Encore utilisé dans certaines applications internes, mais à proscrire pour tout usage critique.
83. RSA (Rivest–Shamir–Adleman)
Algorithme de chiffrement asymétrique le plus utilisé pour générer des paires de clés. Utilisé dans les certificats TLS, la signature numérique, et l’échange de clés.
84. ECC (Elliptic Curve Cryptography)
Alternative à RSA, plus légère et plus performante pour des niveaux de sécurité équivalents. Très utilisée dans les systèmes embarqués ou mobiles.
85. Digital Signature (Signature numérique)
Mécanisme cryptographique garantissant l’intégrité, l’authenticité et la non-répudiation d’un fichier ou message. Utilise la clé privée de l’émetteur et permet la vérification via sa clé publique.