logo

Glossaire

Renforcez vos connaissances en sécurité cloud. Notre glossaire fournit des définitions claires pour les termes clés de CNAPP, de posture de sécurité et de sécurité cloud-native pour vous aider à naviguer dans la protection des applications modernes.

#

2FA

L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite que les utilisateurs fournissent deux types de facteurs d'authentification pour confirmer leur identité. Elle est considérée comme un sous-ensemble de l'AMF, car l'AMF (Authentification Multi-Facteurs) peut impliquer deux ou plusieurs facteurs de vérification, tandis que la 2FA signifie spécifiquement exactement deux.

A

API Security

La sécurité des API est le processus de protection des API, les parties des logiciels modernes qui permettent aux applications de communiquer, contre l'accès non autorisé, les abus ou les attaques.

API Security Testing

Le test de sécurité des API détecte et corrige les vulnérabilités telles que l'authentification défaillante ou les fuites de données dans les API, essentiel pour protéger les applications modernes et les données sensibles.

Application Security

La sécurité des applications est la pratique consistant à protéger les logiciels contre les vulnérabilités et les attaques tout au long du cycle de vie du développement logiciel (SDLC). Découvrez son importance, les menaces courantes et les pratiques de cycle de vie pour sécuriser les applications modernes dans les environnements cloud et conteneurs.

Application Security Assessment

Une évaluation de la sécurité des applications est le processus d'identification et de correction des vulnérabilités dans les logiciels. Découvrez ses objectifs, ses composants, ses outils courants et ses défis pour protéger les applications contre les menaces cybernétiques.

Application Security Life Cycle

Le cycle de vie de la sécurité des applications intègre la sécurité à chaque phase du développement logiciel, de la planification et la conception au déploiement et à la maintenance. Découvrez ses étapes, ses meilleures pratiques et pourquoi il est essentiel pour protéger les applications modernes.

Application Security Posture Management (ASPM)

La gestion de la posture de sécurité des applications (ASPM) est une plateforme qui offre aux organisations une visibilité et un contrôle complets sur les risques de sécurité de leurs applications tout au long du cycle de vie logiciel.

Application Security Testing

Le test de sécurité des applications (AST) signifie vérifier les applications pour détecter les faiblesses que les attaquants pourraient exploiter. Les méthodes AST courantes incluent SAST, DAST et IAST, qui aident à maintenir la sécurité des logiciels à chaque étape du développement.

C

CI/CD security

La sécurité CI/CD est le processus d'intégration de la sécurité dans le pipeline d'Intégration Continue et de Déploiement Continu (CI/CD), du commit au déploiement.

Cloud Security Posture Management (CSPM)

La gestion de la posture de sécurité cloud (CSPM) est une méthode de sécurité et un ensemble d'outils qui surveillent en continu l'environnement cloud pour détecter et corriger les erreurs de configuration, les violations de conformité et les risques de sécurité sur des plateformes cloud telles que AWS, Azure ou Google Cloud.

Common Vulnerabilities and Exposures (CVE)

CVE signifie Common Vulnerabilities and Exposures. C'est un système qui suit les vulnérabilités de cybersécurité déjà connues du public.

Container Security

La sécurité des conteneurs est le processus de protection des applications conteneurisées (fonctionnant sur Docker ou Kubernetes) tout au long de leur cycle de vie, de la construction à l'exécution.

D

DevSecOps

DevSecOps est une méthode de travail qui ajoute la sécurité à chaque étape du processus DevOps, en commençant par le codage et les tests et en continuant par le déploiement et la maintenance

Dynamic Application Security Testing (DAST)

Le test de sécurité des applications dynamiques, ou DAST, est une méthode pour vérifier la sécurité d'une application pendant son exécution. Contrairement au SAST, qui examine le code source, le DAST teste la sécurité en simulant de véritables attaques comme l'injection SQL et le Cross-Site Scripting (XSS) dans un environnement en direct.

I

Infrastructure as Code (IaC) Security

La sécurité de l'Infrastructure en tant que Code (IaC) est le processus de sécurisation de votre infrastructure cloud en scannant les fichiers de configuration ou les scripts écrits dans des langages spécifiques comme Terraform, CloudFormation, Kubernetes YAML, etc., avant le déploiement.

Interactive Application Security Testing (IAST)

Le test de sécurité des applications interactives (IAST) est une méthode qui combine le SAST (Static Application Security Testing) et le DAST (Dynamic Application Security Testing) pour identifier plus efficacement les vulnérabilités des applications.

M

Malware Detection

La détection de logiciels malveillants signifie trouver et bloquer des logiciels nuisibles tels que des virus, des rançongiciels, des logiciels espions et des chevaux de Troie sur les systèmes, les réseaux et les applications.

MFA (Multi-Factor Authentication)

L'authentification multifacteur est une méthode de sécurité qui nécessite deux types de vérification ou plus pour accéder à une application ou un système. La MFA ajoute une couche de protection supplémentaire, de sorte que vous ne vous fiez pas uniquement à un mot de passe.

O

Open Source Audit

L'audit de code source ouvert est un examen complet de tous les composants open source utilisés dans une application logicielle

OWASP Top 10

Le Top 10 OWASP répertorie les vulnérabilités les plus graves des applications web. OWASP propose également des ressources utiles pour que les développeurs et les équipes de sécurité puissent apprendre à identifier, corriger et prévenir ces problèmes dans les applications actuelles.

P

Phishing

Le phishing est un type d'attaque d'ingénierie sociale où les attaquants se font passer pour des entités de confiance telles que des banques, des services cloud, des collègues de travail, etc., afin de tromper la victime pour qu'elle révèle ses informations sensibles comme un mot de passe, un numéro de carte de crédit ou d'autres identifiants.

R

RBAC (Role-Based Access Control)

Le RBAC est une méthode de gestion de la sécurité du système en attribuant aux utilisateurs des rôles spécifiques au sein d'une organisation. Chaque rôle est associé à un ensemble de permissions qui déterminent les actions que les utilisateurs de ce rôle sont autorisés à effectuer.

S

SBOM

SBOM est un inventaire détaillé des composants qui composent un logiciel, y compris les bibliothèques tierces et open-source, et la version du framework.

Secret Detection

La détection de secrets est le processus de balayage des bases de code, des pipelines CI/CD et du cloud pour identifier les secrets exposés tels que les clés API, les identifiants, les clés de chiffrement ou les jetons. Cela est crucial car les attaquants, tels que les bots de bourrage d'identifiants ou les pirates de ressources cloud, peuvent exploiter ces secrets exposés pour obtenir un accès non autorisé.

Security Remediation

La remédiation signifie corriger ou éliminer les faiblesses dans les systèmes d'une organisation pour les sécuriser et réduire les risques.

Software Composition Analysis (SCA)

L'analyse de composition logicielle (SCA) est un processus de sécurité qui identifie et gère les risques dans les bibliothèques tierces utilisées au sein des applications.

Software Development Life Cycle (SDLC)

Le Cycle de Vie du Développement Logiciel, ou SDLC, est un processus qui aide les équipes de développement à planifier, concevoir, construire, tester et lancer des applications de manière organisée.

Software Supply Chain Security

La sécurité de la chaîne d'approvisionnement logicielle consiste à sécuriser chaque partie, processus et outil tout au long du développement logiciel, de la première ligne de code au déploiement final.

SQL Injection (SQLi)

L'injection SQL (SQLi) est un type d'attaque où les attaquants saisissent une instruction SQL malveillante dans un champ de saisie pour manipuler la base de données.

SSDLC

Le SSDLC (Cycle de vie de développement logiciel sécurisé) est une extension du SDLC traditionnel qui intègre des pratiques de sécurité à chaque étape du développement logicielconception, codage, test, déploiement et maintenance. Son objectif est d'identifier et de traiter les vulnérabilités tôt, réduisant ainsi les corrections coûteuses et garantissant des applications plus sécurisées.

Static Application Security Testing (SAST)

Le SAST est un type de test de sécurité des applications qui vérifie le code source d'une application (le code original écrit par les développeurs), les dépendances (bibliothèques ou packages externes sur lesquels le code s'appuie), ou les binaires (code compilé prêt à être exécuté) avant son exécution.

X

XSS (Cross-Site Scripting)

Le Cross-Site Scripting, ou XSS, est une faille de sécurité dans les sites web qui permet aux attaquants d'ajouter des scripts nuisibles aux pages web. La plupart du temps, ces scripts sont écrits en JavaScript.

Z

Zero Trust

Le Zero Trust est un concept de cybersécurité qui part du principe qu'aucun appareil, utilisateur ou application ne doit être considéré comme fiable, même à l'intérieur du périmètre du réseau. L'accès n'est accordé qu'après vérification de l'état de l'appareil, de l'identité et du contexte.