62 définitions : NIS2, DORA, CyFun, ISO 27001 et cybersécurité — mis à jour le
Ce glossaire rassemble 62 définitions claires et factuelles des termes de la cybersécurité réglementaire belge et européenne. Chaque définition est concise, vérifiable et reliée à une page de référence approfondie. Édité par Matthieu Roland (Cryptaguard).
Index alphabétique : A · B · C · D · E · G · H · I · L · M · N · P · R · S · T · X · Z
Processus formel d'identification, d'évaluation et de traitement des risques de cybersécurité. Première des 11 mesures de l'article 30 NIS2.
Annexe normative d'ISO/IEC 27001:2022 listant les 93 contrôles de sécurité répartis en 4 catégories : organisationnels, personnes, physiques, technologiques.
Article de la loi belge NIS2 imposant aux entités essentielles et importantes 11 mesures de gestion des risques en cybersécurité.
Article de la loi belge NIS2 établissant la responsabilité personnelle des membres des organes de direction en matière de cybersécurité.
Banque-Carrefour des Entreprises — registre belge des entreprises. Le numéro BCE identifie une entité lors de l'enregistrement NIS2.
Business Continuity Plan — plan de continuité d'activité décrivant comment maintenir les activités critiques en cas de perturbation majeure.
Business Impact Analysis — analyse d'impact sur l'activité identifiant les processus critiques et leurs exigences de reprise.
Conformity Assessment Body — organisme d'évaluation de la conformité agréé par le CCB pour auditer et certifier les niveaux CyFun Important et Essential.
Centre pour la Cybersécurité Belgique, autorité nationale compétente pour NIS2. Il édite le référentiel CyFun et gère le portail Safeonweb@Work.
Computer Emergency Response Team — synonyme historique de CSIRT, équipe spécialisée dans la réponse aux incidents.
Procédé cryptographique rendant des données illisibles sans la clé de déchiffrement. Mesure 8 de l'article 30 NIS2.
Chief Information Security Officer — équivalent anglophone du RSSI.
Computer Security Incident Response Team — équipe de réponse aux incidents de sécurité informatique. Le CSIRT national belge est CSIRT.be.
Critical ICT Third-Party Provider — prestataire tiers de services TIC critique, soumis à une supervision directe des autorités européennes au titre de DORA.
Ensemble des pratiques de base de sécurité (mises à jour, mots de passe forts, sensibilisation) que toute organisation doit maintenir. Mesure 7 de l'article 30 NIS2.
CyberFundamentals Framework, référentiel de cybersécurité du CCB. La version actuelle est CyFun 2.0 (2025), avec 4 niveaux d'assurance et 13 domaines.
Dynamic Application Security Testing — test dynamique de sécurité d'une application en cours d'exécution.
Acte juridique européen qui fixe des objectifs à atteindre mais doit être transposé en droit national par chaque État membre. NIS2 est une directive.
Data Loss Prevention — prévention de la fuite de données. Contrôle 8.12, nouveau dans ISO 27001:2022.
Digital Operational Resilience Act — règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, applicable depuis le 17 janvier 2025.
Data Protection Officer — délégué à la protection des données, fonction imposée par le RGPD pour certaines organisations.
Disaster Recovery Plan — plan de reprise après sinistre décrivant la restauration des systèmes informatiques.
EBIOS Risk Manager — méthode française d'analyse et de gestion des risques numériques publiée par l'ANSSI.
Endpoint Detection and Response — solution de détection et de réponse sur les postes de travail et serveurs.
European Union Agency for Cybersecurity — agence de l'Union européenne pour la cybersécurité, qui appuie la mise en œuvre de NIS2.
Catégorie NIS2 regroupant les organisations des 11 secteurs critiques (Annexe I) dépassant les seuils de grande entreprise. Soumises au régime de supervision le plus strict.
Catégorie NIS2 regroupant les organisations des secteurs (Annexe I ou II) de taille moyenne. Soumises à un régime de supervision a posteriori.
Analyse d'écart — évaluation comparant la situation actuelle d'une organisation aux exigences d'un référentiel pour identifier les actions à mener.
Durcissement — réduction de la surface d'attaque d'un système par sa configuration sécurisée (désactivation de services, application de référentiels CIS).
Hardware Security Module — module matériel sécurisé de génération et de stockage des clés cryptographiques.
Identity and Access Management — gestion des identités et des accès sur l'ensemble de leur cycle de vie.
Incident de cybersécurité ayant causé ou susceptible de causer une perturbation opérationnelle grave ou un préjudice important. Déclenche l'obligation de notification NIS2.
Indicator of Compromise — indicateur de compromission (hash de fichier, adresse IP, domaine) signalant une intrusion.
Norme internationale de management de la continuité d'activité (Business Continuity Management System).
Norme internationale ISO/IEC 27001 spécifiant les exigences d'un système de management de la sécurité de l'information (SMSI). La version actuelle est 2022.
Norme internationale ISO/IEC 27002 fournissant les lignes directrices de mise en œuvre des 93 contrôles de l'Annexe A d'ISO 27001.
Norme internationale fournissant des lignes directrices pour la gestion des risques liés à la sécurité de l'information.
Loi belge transposant la directive NIS2, entrée en vigueur le 18 octobre 2024. Elle établit un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique.
Multi-Factor Authentication — authentification multifacteur exigeant au moins deux facteurs d'identité distincts. Mesure obligatoire NIS2.
Journal officiel de l'État belge où sont publiées les lois, dont la loi NIS2 du 26 avril 2024.
Première directive européenne sur la sécurité des réseaux et des systèmes d'information (UE 2016/1148), adoptée en 2016 et remplacée par NIS2.
Directive (UE) 2022/2555, adoptée le 14 décembre 2022, qui impose un niveau élevé commun de cybersécurité dans l'Union européenne. Elle remplace la directive NIS1 et couvre 18 secteurs essentiels et importants.
NIST Cybersecurity Framework — cadre de cybersécurité du National Institute of Standards and Technology américain. La version 2.0 (2024) ajoute la fonction Govern aux 5 fonctions historiques.
Privileged Access Management — gestion des accès à privilèges (comptes administrateurs, sessions sensibles).
Test d'intrusion — évaluation de sécurité simulant une attaque réelle pour identifier les vulnérabilités exploitables.
Hameçonnage — technique d'attaque par usurpation visant à dérober des informations (identifiants, données bancaires) via des messages frauduleux.
Rançongiciel — logiciel malveillant chiffrant les données d'une victime et exigeant une rançon. Principale menace adressée par les sauvegardes hors ligne.
Acte juridique européen d'application directe, sans transposition nationale nécessaire. DORA est un règlement.
Règlement Général sur la Protection des Données (UE 2016/679) — encadre le traitement des données personnelles dans l'UE. Complémentaire de NIS2.
Recovery Point Objective — perte de données maximale acceptable, exprimée en temps (ex : 1 heure de données).
Responsable de la Sécurité des Systèmes d'Information — fonction dirigeante chargée de la stratégie et de la gouvernance de la cybersécurité. Équivalent du CISO.
Recovery Time Objective — durée maximale d'interruption acceptable d'un processus ou système avant reprise.
Portail en ligne du CCB permettant aux entités belges de s'enregistrer NIS2 et de notifier les incidents de sécurité.
Static Application Security Testing — analyse statique de la sécurité du code source, sans exécution.
Security Information and Event Management — système de centralisation, corrélation et analyse des journaux de sécurité.
Système de Management de la Sécurité de l'Information — ensemble de politiques, procédures et contrôles structurant la sécurité de l'information d'une organisation. Objet de la certification ISO 27001.
Security Operations Center — centre opérationnel de sécurité assurant la surveillance, la détection et la réponse aux menaces, généralement 24/7.
Chaîne d'approvisionnement — ensemble des fournisseurs et prestataires. NIS2 impose la gestion des risques cybersécurité de la chaîne d'approvisionnement TIC.
Renseignement sur les menaces — collecte et analyse d'informations sur les cybermenaces. Contrôle 5.7, nouveau dans ISO 27001:2022.
Threat-Led Penetration Testing — test d'intrusion fondé sur la menace, imposé par DORA aux entités financières significatives tous les 3 ans.
Extended Detection and Response — extension de l'EDR corrélant les signaux de plusieurs sources (endpoints, réseau, cloud, identité).
Modèle de sécurité reposant sur le principe « ne jamais faire confiance, toujours vérifier », sans confiance implicite accordée au réseau interne.