Glossaire

2FA

L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite que les utilisateurs fournissent deux types de facteurs d'authentification pour confirmer leur identité. Elle est considérée comme un sous-ensemble de l'AMF, puisque l'AMF (Authentification Multi-Facteurs) peut impliquer deux ou plusieurs facteurs de vérification, tandis que la 2FA signifie spécifiquement exactement deux.

Alert Fatigue

La fatigue d'alerte se produit lorsque les équipes de sécurité ou d'opérations sont submergées par des alertes chaque jour. Avec le temps, les gens se fatiguent, se stressent et commencent à les ignorer.

API Security

La sécurité des API est le processus de protection des API, les parties des logiciels modernes qui permettent aux applications de communiquer, contre l'accès non autorisé, les abus ou les attaques.

API Security Testing

Les tests de sécurité des API identifient et corrigent les vulnérabilités telles que l'authentification défaillante ou les fuites de données dans les API, essentielles pour protéger les applications modernes et les données sensibles.

Application Security

La sécurité des applications est la pratique consistant à protéger les logiciels contre les vulnérabilités et les attaques tout au long du cycle de vie du développement logiciel (SDLC). Découvrez son importance, les menaces courantes et les pratiques de cycle de vie pour sécuriser les applications modernes dans les environnements cloud et conteneurs.

Application Security Assessment

Une évaluation de la sécurité des applications est le processus d'identification et de correction des vulnérabilités dans les logiciels. Découvrez ses objectifs, ses composants, ses outils courants et ses défis pour protéger les applications contre les menaces cybernétiques.

Application Security Life Cycle

Le cycle de vie de la sécurité des applications intègre la sécurité à chaque phase du développement logicielde la planification et la conception au déploiement et à la maintenance. Découvrez ses étapes, ses meilleures pratiques et pourquoi il est essentiel pour protéger les applications modernes.

Application Security Posture Management (ASPM)

La gestion de la posture de sécurité des applications (ASPM) est une plateforme qui offre aux organisations une visibilité et un contrôle complets sur les risques de sécurité de leurs applications tout au long du cycle de vie logiciel.

Application Security Testing

Le test de sécurité des applications (AST) signifie vérifier les applications pour détecter les faiblesses que les attaquants pourraient exploiter. Les méthodes AST courantes incluent SAST, DAST et IAST, qui aident à sécuriser le logiciel à chaque étape du développement.

CI Gating

Le CI Gating est un mécanisme automatisé de « stop-the-line » dans le pipeline de développement. Il évalue le code par rapport aux politiques de sécurité et de qualité, bloquant tout commit qui ne respecte pas les normes.

CI/CD Pipeline

Un pipeline CI/CD est un processus automatisé pour prendre le code de l'ordinateur portable d'un développeur et le livrer en toute sécurité aux utilisateurs. Il construit le code, le teste et le déploie sans dépendre d'étapes manuelles.

CI/CD security

La sécurité CI/CD est le processus d'intégration de la sécurité dans le pipeline d'Intégration Continue et de Déploiement Continu (CI/CD), du commit au déploiement.

Cloud Security Posture Management (CSPM)

La gestion de la posture de sécurité cloud (CSPM) est une méthode de sécurité et un ensemble d'outils qui surveillent en continu l'environnement cloud pour détecter et corriger les erreurs de configuration, les violations de conformité et les risques de sécurité sur des plateformes cloud telles que AWS, Azure ou Google Cloud.

Cloud-Native Application Protection Platform (CNAPP)

CNAPP (Plateforme de Protection des Applications Cloud-Native) est un modèle de sécurité unifié. Il combine la Gestion de la Posture de Sécurité du Cloud (CSPM), la Protection des Charges de Travail Cloud (CWPP), la Gestion des Droits d'Infrastructure Cloud (CIEM) et la Gestion de la Posture de Sécurité des Applications (ASPM).

Common Vulnerabilities and Exposures (CVE)

CVE signifie Common Vulnerabilities and Exposures. C'est un système qui suit les vulnérabilités de cybersécurité déjà connues du public.

Container Security

La sécurité des conteneurs est le processus de protection des applications conteneurisées (fonctionnant sur Docker ou Kubernetes) tout au long de leur cycle de vie, de la construction à l'exécution.

CVSS (Common Vulnerability Scoring System)

CVSS est une méthode standard pour évaluer la gravité d'un bug de sécurité. Il attribue à chaque vulnérabilité un score de 0 à 10 afin que les équipes sachent quoi corriger en priorité.

DevSecOps

DevSecOps est une méthode de travail qui ajoute la sécurité à chaque étape du processus DevOps, en commençant par le codage et les tests et en continuant par le déploiement et la maintenance

Docker Container

Une explication simple des conteneurs Docker, de leur fonctionnement et des raisons pour lesquelles les développeurs les utilisent pour exécuter des applications de manière cohérente à travers différents environnements.

Dynamic Application Security Testing (DAST)

Le test de sécurité des applications dynamiques, ou DAST, est une méthode pour vérifier la sécurité d'une application pendant son exécution. Contrairement au SAST, qui examine le code source, le DAST teste la sécurité en simulant de véritables attaques comme l'injection SQL et le Cross-Site Scripting (XSS) dans un environnement réel.

EPSS Score (Exploit Prediction Scoring System)

Le Système de notation de prédiction d'exploitation (EPSS) est une norme basée sur les données qui estime la probabilité qu'une vulnérabilité logicielle spécifique soit exploitée dans la nature.

False Positives

Un faux positif est lorsqu'un outil de sécurité signale un problème qui n'existe pas réellement.

Infrastructure as Code (IaC) Security

La sécurité de l'Infrastructure en tant que Code (IaC) est le processus de sécurisation de votre infrastructure cloud en scannant les fichiers de configuration ou les scripts écrits dans des langages spécifiques comme Terraform, CloudFormation, Kubernetes YAML, etc., avant le déploiement.

Interactive Application Security Testing (IAST)

L'Interactive Application Security Testing (IAST) est une méthode qui combine le SAST (Static Application Security Testing) et le DAST (Dynamic Application Security Testing) pour identifier plus efficacement les vulnérabilités des applications.

Malware Detection

La détection de logiciels malveillants signifie trouver et bloquer des logiciels nuisibles tels que des virus, des rançongiciels, des logiciels espions et des chevaux de Troie sur les systèmes, les réseaux et les applications.

Mean Time to Remediation (MTTR)

Le MTTR est une métrique clé en cybersécurité qui montre à quelle vitesse vous répondez à une menace connue

MFA (Multi-Factor Authentication)

L'authentification multifacteur est une méthode de sécurité qui nécessite deux types de vérification ou plus pour accéder à une application ou un système. La MFA ajoute une couche de protection supplémentaire, de sorte que vous ne vous fiez pas uniquement à un mot de passe.

National Vulnerability Database (NVD)

La NVD est le principal dépôt mondial de données sur les vulnérabilités maintenu par le NIST. Elle enrichit les identifiants CVE avec des scores de gravité CVSS, des classifications CWE et des descriptions techniques détaillées.

Open Source Audit

L'audit de code source ouvert est un examen complet de tous les composants open source utilisés dans une application logicielle

OWASP Top 10

Le Top 10 OWASP répertorie les vulnérabilités les plus graves des applications web. OWASP propose également des ressources utiles pour que les développeurs et les équipes de sécurité puissent apprendre à identifier, corriger et prévenir ces problèmes dans les applications d'aujourd'hui.

Phishing

Le phishing est un type d'attaque d'ingénierie sociale où les attaquants se font passer pour des entités de confiance telles que des banques, des services cloud, des collègues de travail, etc., afin de tromper la victime pour qu'elle révèle ses informations sensibles comme un mot de passe, un numéro de carte de crédit ou d'autres identifiants.

RBAC (Role-Based Access Control)

Le RBAC est une méthode de gestion de la sécurité du système en attribuant aux utilisateurs des rôles spécifiques au sein d'une organisation. Chaque rôle est associé à un ensemble de permissions qui déterminent les actions que les utilisateurs de ce rôle sont autorisés à effectuer.

Reverse Shell

Un reverse shell est un shell distant où l'ordinateur de la victime initie la connexion vers l'ordinateur de l'attaquant.

SBOM

Un SBOM est un inventaire détaillé des composants qui composent un logiciel, y compris les bibliothèques tierces et open-source, et la version du framework.

Secret Detection

La détection de secrets est le processus de balayage des bases de code, des pipelines CI/CD et du cloud pour identifier les secrets exposés tels que les clés API, les identifiants, les clés de chiffrement ou les jetons. Cela est crucial car les attaquants, tels que les bots de bourrage d'identifiants ou les pirates de ressources cloud, peuvent exploiter ces secrets exposés pour obtenir un accès non autorisé.

Security Remediation

La remédiation signifie corriger ou éliminer les faiblesses dans les systèmes d'une organisation pour les sécuriser et réduire les risques.

Shift Left Security

Software Composition Analysis (SCA)

L'analyse de composition logicielle (SCA) est un processus de sécurité qui identifie et gère les risques dans les bibliothèques tierces utilisées au sein des applications.

Software Development Life Cycle (SDLC)

Le Cycle de Vie du Développement Logiciel, ou SDLC, est un processus qui aide les équipes de développement à planifier, concevoir, construire, tester et lancer des applications de manière organisée.

Software Supply Chain Security

La sécurité de la chaîne d'approvisionnement logicielle consiste à sécuriser chaque partie, processus et outil tout au long du développement logiciel, depuis la première ligne de code jusqu'au déploiement final.

SQL Injection (SQLi)

L'injection SQL (SQLi) est un type d'attaque où les attaquants saisissent une instruction SQL malveillante dans un champ de saisie pour manipuler la base de données.

SSDLC

Le SSDLC (Cycle de vie de développement logiciel sécurisé) est une extension du SDLC traditionnel qui intègre des pratiques de sécurité à chaque étape du développement logicielconception, codage, test, déploiement et maintenance. Son objectif est d'identifier et de traiter les vulnérabilités tôt, réduisant ainsi les corrections coûteuses et garantissant des applications plus sécurisées.

Static Application Security Testing (SAST)

Le SAST est un type de test de sécurité des applications qui vérifie le code source d'une application (le code original écrit par les développeurs), les dépendances (bibliothèques ou packages externes dont le code dépend), ou les binaires (code compilé prêt à être exécuté) avant son exécution.

XSS (Cross-Site Scripting)

Le Cross-Site Scripting, ou XSS, est une faille de sécurité dans les sites web qui permet aux attaquants d'ajouter des scripts nuisibles aux pages web. La plupart du temps, ces scripts sont écrits en JavaScript.

Zero Trust

Le Zero Trust est un concept de cybersécurité qui part du principe qu'aucun appareil, utilisateur ou application ne doit être considéré comme fiable, même à l'intérieur du périmètre du réseau. L'accès n'est accordé qu'après vérification de l'état de l'appareil, de l'identité et du contexte.

Zero-Day Vulnerability

Une vulnérabilité Zero-Day est une faille de sécurité logicielle que le fournisseur ou le développeur vient de découvrir, ils n'ont donc pas eu le temps de créer ou de publier un correctif. Comme il n'y a pas encore de solution, les cybercriminels peuvent exploiter ces failles pour lancer des attaques difficiles à détecter et à arrêter.