Glossaire MAFATE

83+ définitions
cybersécurité & conformité

Définitions courtes, sources officielles (CNIL, ANSSI, NIST, EUR-LEX, ENISA), termes liés. Le glossaire de référence pour comprendre NIS2, DORA, RGPD, CLOUD Act et le chiffrement souverain.

ACPR: L'Autorité de Contrôle Prudentiel et de Résolution est l'autorité administrative française qui supervise les banques et organismes d'assurance, adossée à la Banque de France. Elle conduit la mise en œuvre nationale du règlement DORA, de Solvabilité II et de Bâle III. Elle réalise des contrôles sur pièces et sur place, et peut prononcer des sanctions pécuniaires jusqu'à 10 % du chiffre d'affaires net annuel. En matière cyber, elle exige une déclaration des incidents majeurs sous 4 heures et la production annuelle d'un rapport ICAAP-ORSA. Elle coopère avec l'ANSSI et la CNIL via accords formels.
AES-256-GCM: AES-256-GCM (Advanced Encryption Standard, clé 256 bits, mode Galois/Counter Mode) est l'algorithme de chiffrement symétrique authentifié de référence en 2026. Standardisé par le NIST (FIPS 197) et recommandé par l'ANSSI au niveau "Renforcé", il combine confidentialité (chiffrement par blocs) et intégrité (tag d'authentification GCM). Accéléré par les instructions matérielles AES-NI des CPU modernes (overhead < 2%). Utilisé par MAFATE pour le chiffrement des données au repos et en transit.
AI Act: Le règlement européen sur l'intelligence artificielle (UE 2024/1689), entré en vigueur le 1er août 2024, est le premier cadre juridique horizontal mondial sur l'IA. Il classifie les systèmes par niveau de risque : interdits (ex : notation sociale), haut risque (RH, éducation, justice), à transparence (chatbots, deepfakes) ou risque minimal. Pour les modèles à usage général (GPAI), il impose documentation technique, traçabilité d'entraînement et évaluation des risques systémiques. Application échelonnée : pratiques interdites en février 2025, GPAI en août 2025, IA à haut risque en août 2026.
AIPD (Analyse d'Impact sur la Protection des Données): L'AIPD (Analyse d'Impact sur la Protection des Données, RGPD Article 35, DPIA en anglais) est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL maintient une liste de traitements obligatoirement soumis à AIPD : profilage, surveillance systématique, données sensibles à grande échelle, données biométriques, etc. L'AIPD doit décrire le traitement, sa nécessité, les risques, et les mesures (dont le chiffrement) pour les atténuer. Document à fournir à la CNIL en cas de contrôle.
ANSSI: L'Agence Nationale de la Sécurité des Systèmes d'Information est l'autorité nationale française en matière de cybersécurité, rattachée au SGDSN (Premier ministre). Créée en 2009, elle assure la protection des systèmes d'information de l'État et accompagne les opérateurs d'importance vitale (OIV) et de services essentiels (OSE). Elle édite les référentiels SecNumCloud, RGS, ReCyF et opère le CERT-FR. Autorité compétente pour la transposition NIS2, elle exerce les pouvoirs de contrôle et de sanction (jusqu'à 10 M€) prévus par la directive.
Argon2: Argon2 est la fonction de hachage de mots de passe lauréate de la Password Hashing Competition (2015), standardisée par l'IETF dans la RFC 9106. Elle décline trois variantes : Argon2d (résistance GPU), Argon2i (résistance side-channel), Argon2id (compromis recommandé), paramétrables en mémoire, temps CPU et parallélisme. L'OWASP la recommande comme algorithme par défaut pour le stockage de mots de passe (paramètres minimaux : 19 MiB / 2 itérations / 1 thread). À privilégier sur bcrypt et PBKDF2 pour tout nouveau projet.
Attestation de conformité: Une attestation de conformité est un document fourni par un organisme indépendant attestant qu'un produit, service ou processus respecte un référentiel donné (RGPD Article 32, NIS2 Article 21, HDS, ISO 27001, SecNumCloud, etc.). Distinguée de la certification (qui implique une portée et une durée formalisées par un organisme accrédité), l'attestation peut être délivrée par un cabinet d'audit, un organisme de qualification ou l'éditeur lui-même (auto-attestation, à crédibilité limitée). Pour le chiffrement souverain, les attestations recherchées par les acheteurs incluent SecNumCloud, HDS, ISO 27001 + 27018, SOC 2 Type II.
Audit ACPR: L'audit ACPR est le contrôle prudentiel mené par l'Autorité de Contrôle Prudentiel et de Résolution sur les banques, assurances et établissements de monnaie électronique français. Il s'organise en contrôles sur pièces (revue documentaire annuelle) et sur place (mission d'inspection multipériode). Pour le volet DORA, les inspecteurs valident la cartographie des risques TIC, la couverture des plans de continuité, la qualité des tests de résilience opérationnelle digitale (DORA Article 25), et l'effectivité du registre des prestataires TIC. Les non-conformités donnent lieu à mise en demeure, plan correctif et, en cas de manquement grave, à sanction publique.
BCR (Binding Corporate Rules): Les Règles d'Entreprise Contraignantes (Binding Corporate Rules) constituent un dispositif RGPD permettant à un groupe multinational d'encadrer juridiquement les transferts internes de données personnelles entre ses entités situées dans des pays tiers (article 47 RGPD). Approuvées par une autorité de protection chef de file (CNIL en France) selon une procédure formelle, elles incluent : politique de protection, droits des personnes, mécanismes de plainte, audits, recours. Particulièrement adaptées aux groupes opérant sur de nombreuses juridictions car couvrant tous les transferts intragroupe.
BYOK (Bring Your Own Key): BYOK (Bring Your Own Key) est le modèle où le client génère ses propres clés cryptographiques et les importe chez son fournisseur cloud, plutôt que d'utiliser les clés générées par le fournisseur. Apporte un contrôle accru sur l'origine et la chaîne de confiance des clés, mais le fournisseur conserve l'accès opérationnel pour le déchiffrement à la demande. À distinguer de HYOK (Hold Your Own Key) où le client reste l'unique détenteur des clés. MAFATE supporte BYOK avec import via HSM.
CERT-FR: Le CERT-FR est le Computer Emergency Response Team gouvernemental français, opéré par l'ANSSI depuis 1999. Il a pour mission de détecter les vulnérabilités et incidents affectant les administrations et opérateurs d'importance vitale, de diffuser des avis de sécurité et bulletins d'alerte, et de coordonner la réponse aux crises cyber. Membre fondateur du FIRST (Forum of Incident Response and Security Teams) et de Trusted Introducer (Europe), il est le point de contact national au sens NIS2 pour la coordination CSIRT. Ses publications constituent une source officielle de référence pour les ESN, OIV et opérateurs essentiels français.
ChaCha20-Poly1305: ChaCha20-Poly1305 est un algorithme de chiffrement symétrique authentifié standardisé par l'IETF (RFC 8439) et le NIST (SP 800-38D-rev1 draft). Alternative à AES-256-GCM, il combine le stream cipher ChaCha20 (Daniel J. Bernstein, 2008) et le MAC Poly1305. Plus performant qu'AES sur les CPU sans accélération hardware (mobile ARM, IoT). Utilisé par TLS 1.3, WireGuard, et le chiffrement disque de Linux/Android.
Chiffrement post-quantique: Le chiffrement post-quantique (Post-Quantum Cryptography, PQC) désigne les algorithmes cryptographiques résistants aux attaques par ordinateur quantique, notamment l'algorithme de Shor (1994) qui casse RSA et ECC. Le NIST a finalisé en août 2024 les 3 premiers standards : ML-KEM (FIPS 203, échange de clés), ML-DSA (FIPS 204, signatures), SLH-DSA (FIPS 205, signatures hash-based). L'ANSSI recommande une transition hybride classique+PQC dès 2025 pour les systèmes traitant des données à longue durée de vie. MAFATE intègre ML-KEM-768.
CLOUD Act (Loi américaine, 2018): Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine de 2018 qui oblige les fournisseurs de services cloud sous juridiction US (AWS, Azure, Google Cloud, Oracle, IBM, Salesforce) à fournir les données qu'ils détiennent, qu'elles soient stockées aux États-Unis ou à l'étranger, sur demande des autorités américaines. Crée un conflit direct avec le RGPD européen (Schrems II, 2020). H1 2025 : 6 288 requêtes US sur des données cloud. MAFATE, opéré par UNIVILE SAS (France), n'est PAS soumis au CLOUD Act.
Cloud souverain: Un cloud souverain est une infrastructure cloud opérée par une entité juridique non soumise aux lois extraterritoriales d'États tiers (notamment CLOUD Act et FISA Section 702 pour les US, FSB Loi 374-FZ pour la Russie). En France, la qualification ANSSI SecNumCloud (Niveau 3) est la référence pour les services "cloud de confiance". À ne pas confondre avec "cloud français" (infrastructure en France mais opérateur soumis au CLOUD Act, ex: AWS Région Paris). MAFATE est hébergé sur Scaleway France, opéré par UNIVILE SAS (France) : souveraineté juridique pleine.
Confidential Computing: Le confidential computing désigne le chiffrement des données pendant leur utilisation par le CPU, en plus de leur chiffrement au repos et en transit. Il s'appuie sur des Trusted Execution Environments (TEE) matériels : Intel SGX/TDX, AMD SEV-SNP, ARM CCA, AWS Nitro Enclaves. Promu par la Confidential Computing Consortium (Linux Foundation), il garantit qu'un attaquant disposant d'un accès root sur l'hyperviseur ou de privilèges cloud ne puisse pas inspecter la mémoire de l'application. Critique pour les workloads multi-tenant et les services tiers traitant des données réglementées.
CRA (Cyber Resilience Act): Le Cyber Resilience Act (règlement UE 2024/2847) impose aux fabricants et éditeurs de "produits comportant des éléments numériques" (logiciels, IoT, matériel) des obligations de cybersécurité dès la conception : gestion documentée des vulnérabilités, signalement des incidents 24h/72h, fourniture de mises à jour de sécurité pendant la durée de support attendue. Entré en vigueur le 10 décembre 2024, ses obligations principales s'appliquent à partir de décembre 2027 (signalement vulnérabilités dès septembre 2026). Sanctions jusqu'à 15 M€ ou 2,5 % du CA mondial.
Crypto-agility: La crypto-agility désigne la capacité d'une architecture à substituer rapidement un algorithme cryptographique par un autre, sans refonte majeure du code applicatif. Elle implique l'usage de gestion centralisée des algorithmes (registre), de versioning des paquets chiffrés, et d'abstractions permettant l'introduction de nouveaux primitifs (post-quantiques notamment). Le NIST IR 8547 (2024) la pose en prérequis pour la transition post-quantique 2030. Sans crypto-agility, le passage à ML-KEM/ML-DSA peut nécessiter 5-10 ans de migration pour un grand SI.
CTI (Cyber Threat Intelligence): La Cyber Threat Intelligence regroupe la collecte, l'analyse et la diffusion d'informations sur les menaces, adversaires et techniques d'attaque pour anticiper et prioriser la défense. Elle se décline en quatre niveaux : stratégique (orientation direction), opérationnel (campagnes en cours), tactique (TTP : Tactics Techniques Procedures, MITRE ATT&CK), technique (IoC : indicateurs de compromission). Sources majeures : CERT-FR/ANSSI, ENISA, MITRE, US-CISA, fournisseurs commerciaux (Mandiant, Recorded Future, Sekoia, Intrinsec). Intégrée aux SIEM/EDR pour la chasse aux menaces et l'enrichissement des alertes.
DEK (Data Encryption Key): Une DEK (Data Encryption Key) est la clé symétrique utilisée pour chiffrer directement les données utilisateur (typiquement AES-256-GCM). Dans le modèle d'envelope encryption recommandé par le NIST, chaque blob de données reçoit sa propre DEK, elle-même chiffrée par une KEK (Key Encryption Key) de niveau supérieur. Cette séparation limite le rayon d'exposition : une DEK compromise n'expose qu'un seul fichier, sans risquer la confidentialité de l'ensemble du système. La rotation des DEK devient indépendante des KEK.
DMA (Digital Markets Act): Le Digital Markets Act (règlement UE 2022/1925), pleinement applicable depuis le 7 mars 2024, encadre les "contrôleurs d'accès" (gatekeepers), grandes plateformes dont l'activité conditionne l'accès au marché numérique européen. Sept entreprises sont désignées (Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking). Il impose interopérabilité (messageries), interdit l'auto-préférencement, donne aux utilisateurs le droit de désinstaller les applications préinstallées. Sanctions jusqu'à 10 % du chiffre d'affaires mondial, 20 % en récidive. Pouvoir de désinvestissement structurel en cas de violations répétées.
DORA Article 9 : Gestion des risques TIC: L'article 9 du règlement DORA (UE 2022/2554) impose aux entités financières un cadre formalisé de gestion des risques liés aux technologies de l'information et de la communication, incluant gouvernance, identification, protection, détection, réponse, récupération, apprentissage, communication. Il exige une revue au moins annuelle de la politique TIC par l'organe de direction. Les contrôles spécifiques (Articles 11 à 14) couvrent protection physique et logique, gestion des changements, sauvegarde, restauration. Sanctions ACPR jusqu'à 1 % du chiffre d'affaires journalier en cas de manquement systémique.
DORA (Règlement UE 2022/2554): DORA (Digital Operational Resilience Act) est le règlement européen sur la résilience opérationnelle numérique du secteur financier, en vigueur depuis le 17 janvier 2025. Il s'applique à environ 22 000 entités financières (banques, mutuelles, assurances, gestionnaires d'actifs) et leurs prestataires TIC critiques. L'Article 9 impose le chiffrement bout-en-bout des données au repos et en transit, la MFA, et un audit trail complet. L'ACPR intensifie ses contrôles en 2026. Sanctions : 10 M€ ou 5% CA.
Double extorsion: La double extorsion est la tactique opérationnelle par laquelle les groupes ransomware combinent chiffrement des données ET exfiltration préalable, exigeant deux paiements : un pour le déchiffrement et un pour la non-publication. Apparue en 2019 avec Maze, elle est devenue la norme, neutralisant la sauvegarde comme rempart unique. Certains groupes pratiquent la triple extorsion (ajoutant DDoS ou harcèlement client/partenaire) ou la quadruple (notification d'autorité de régulation). La défense passe par sauvegardes immuables, segmentation EDR, et chiffrement at-rest qui neutralise l'exfiltration en rendant les données illisibles.
DPIA (Data Protection Impact Assessment): Le DPIA, ou AIPD en français, est l'évaluation d'impact obligatoire au titre de l'article 35 du RGPD pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. La CNIL publie une liste des traitements qui en imposent systématiquement la réalisation (données de santé, surveillance, profilage à grande échelle). L'analyse comprend : description du traitement, évaluation de la nécessité et de la proportionnalité, évaluation des risques résiduels après mesures, consultation du DPO. Si les risques restent élevés, consultation préalable de la CNIL avant mise en œuvre.
DPO (Data Protection Officer): Le Délégué à la Protection des Données (DPO) est désigné en vertu des articles 37 à 39 du RGPD pour conseiller et contrôler la conformité d'une organisation au RGPD. Sa désignation est obligatoire pour les autorités publiques, les organismes effectuant un suivi régulier et systématique de personnes à grande échelle, ou traitant à grande échelle des données sensibles. Il doit pouvoir agir en toute indépendance, disposer de ressources suffisantes et rapporter au niveau hiérarchique le plus élevé. Sa désignation est notifiée à la CNIL. Sa responsabilité personnelle ne peut être engagée à raison de manquements de l'organisation.
DSA (Digital Services Act): Le Digital Services Act (règlement UE 2022/2065) impose aux intermédiaires en ligne et plateformes des obligations harmonisées de modération de contenu, transparence et protection des utilisateurs européens. Pleinement applicable depuis le 17 février 2024, il distingue les très grandes plateformes (VLOPs, > 45 M utilisateurs UE) soumises à des obligations renforcées : audits indépendants annuels, évaluation des risques systémiques, transparence des recommandations algorithmiques. Sanctions jusqu'à 6 % du chiffre d'affaires mondial. La Commission supervise directement les VLOPs ; les autres relèvent des coordinateurs nationaux (Arcom en France).
ECC (Elliptic Curve Cryptography): ECC (Cryptographie sur courbes elliptiques) regroupe les schémas asymétriques opérant sur la structure mathématique des courbes elliptiques. Standardisée par le NIST SP 800-186 (2023), elle offre une sécurité équivalente à RSA pour des clés bien plus courtes (256 bits ≈ RSA 3072 bits). Les courbes recommandées en 2026 incluent P-256, P-384, P-521 (NIST) et Curve25519 (RFC 7748). Utilisée pour TLS (ECDHE), signatures (ECDSA, Ed25519) et le chiffrement (ECIES). Comme RSA, vulnérable au quantique.
EDR (Endpoint Detection and Response): L'Endpoint Detection and Response est une catégorie de solutions de cybersécurité installées sur les terminaux (postes utilisateurs, serveurs) qui collectent en continu télémétrie et événements pour détecter, investiguer et répondre aux compromissions. Évolution de l'antivirus classique, l'EDR s'appuie sur l'analyse comportementale, le machine learning et l'intégration MITRE ATT&CK. Son extension multi-couches s'appelle XDR (réseau, cloud, identité). L'EDR est désormais exigé par NIS2 et DORA pour les organisations sensibles. Fournisseurs phares 2026 : CrowdStrike, SentinelOne, Microsoft Defender, HarfangLab (français).
eIDAS: Le règlement eIDAS (UE 910/2014) établit le cadre européen de l'identification électronique et des services de confiance : signatures électroniques, cachets, horodatages, recommandés électroniques, certificats d'authentification de sites web. Il définit trois niveaux de signature : simple, avancée, qualifiée (eIDAS qualifiée = équivalence légale à la signature manuscrite). Sa révision eIDAS 2 (en cours d'adoption 2024-2026) introduit le portefeuille européen d'identité numérique (EUDI Wallet) et étend les obligations d'interopérabilité transfrontière. Les TSP qualifiés doivent être certifiés ETSI et listés au "Trusted List" national (ANSSI en France).
Enveloppe cryptographique (envelope encryption): L'envelope encryption est un pattern d'architecture où chaque blob de données est chiffré par une clé unique (DEK), elle-même protégée par une clé maîtresse (KEK) gérée par un HSM ou un KMS. Recommandé par NIST SP 800-57 et l'ANSSI, ce modèle découple le cycle de vie des données et celui des clés, permet une rotation des KEK sans re-chiffrer toutes les données, et limite le rayon de compromission. Mis en œuvre par AWS KMS, Google Cloud KMS, Azure Key Vault, HashiCorp Vault et MAFATE.
ePrivacy: La directive ePrivacy (2002/58/CE, révisée 2009/136/CE) régit la confidentialité des communications électroniques dans l'Union européenne : consentement aux cookies, secret des communications, géolocalisation, prospection commerciale par voie électronique. Elle est l'origine de l'obligation des bandeaux cookies. Sa refonte en règlement ePrivacy est en discussion depuis 2017 mais reste bloquée au Conseil européen, retardant l'harmonisation avec le RGPD. En attendant, les autorités nationales (CNIL en France) en assurent une lecture coordonnée RGPD-ePrivacy.
Exfiltration de données: L'exfiltration de données est le transfert non autorisé d'informations depuis un système d'information vers un système contrôlé par un attaquant. Devenue le centre de gravité de la menace cyber moderne (77 % des intrusions de 2025 incluaient une exfiltration selon le Verizon DBIR), elle alimente la double extorsion ransomware, la revente sur les forums underground, et le chantage. Canaux typiques : DNS tunneling, HTTPS vers C2, services cloud publics (Mega, Anonfiles), torrents, courriers physiques (USB). Détection : EDR, DLP, NDR. Mitigation par chiffrement at-rest (rend les données inutilisables même exfiltrées).
Extraterritorialité: L'extraterritorialité juridique désigne l'application d'une loi nationale au-delà des frontières de l'État qui l'édicte. Pour la cybersécurité, les principaux régimes extraterritoriaux à risque pour les données européennes sont : le CLOUD Act (accès des autorités fédérales US aux données détenues par des entreprises de droit américain, même à l'étranger), le FISA Section 702 (surveillance), le Patriot Act. Tout fournisseur de services cloud relevant du droit américain (siège social, filiale, structure capitalistique) est susceptible d'y être soumis, créant un conflit avec le RGPD documenté par la jurisprudence Schrems II.
FIPS 203 (ML-KEM): Le standard NIST FIPS 203, publié en août 2024, formalise ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), premier mécanisme d'établissement de clés post-quantique standardisé. Issu de CRYSTALS-Kyber, il offre trois niveaux de sécurité (ML-KEM-512, -768, -1024) et remplace progressivement les échanges ECDHE/RSA vulnérables au quantique. Adopté en hybride par TLS 1.3 (X25519+ML-KEM-768), SSH, et VPN gouvernementaux. L'ANSSI recommande la migration d'ici 2030 sur les usages à confidentialité longue.
FISA Section 702 (Loi US, 1978 amendée): La Section 702 du Foreign Intelligence Surveillance Act (FISA) autorise la NSA américaine à collecter, sans mandat individuel, les communications électroniques de personnes non-américaines situées hors des États-Unis, via les "providers" comme Google, Microsoft, Apple, Facebook (programme PRISM révélé en 2013). Renouvelée par Reauthorization Act de 2024. Combiné au CLOUD Act, cela crée une incompatibilité structurelle avec le RGPD (jugement CJUE Schrems II, juillet 2020). Toute entreprise européenne utilisant des services US est concernée.
FPE (Format Preserving Encryption): Le chiffrement préservant le format (FPE) est une technique cryptographique standardisée par le NIST SP 800-38G qui chiffre une donnée tout en conservant son format d'origine, par exemple un numéro de carte bancaire de 16 chiffres reste un nombre de 16 chiffres. Particulièrement utile pour intégrer du chiffrement dans des systèmes legacy où la longueur ou le type des champs est rigide (cobol, ERP). Le standard définit deux modes : FF1 et FF3-1 (révisé après cryptanalyse). Recommandé pour PAN PCI-DSS, IBAN, SIREN.
Harvest Now, Decrypt Later (HNDL): Harvest Now, Decrypt Later (HNDL, parfois "Store Now, Decrypt Later") désigne l'attaque où un adversaire collecte aujourd'hui des données chiffrées avec RSA ou ECC, dans l'attente de les déchiffrer ultérieurement quand un ordinateur quantique cryptographiquement pertinent (CRQC) sera disponible. Particulièrement critique pour : données médicales (durée légale 20+ ans), secrets industriels, données diplomatiques, propriété intellectuelle. L'ANSSI et la NSA recommandent la transition post-quantique dès aujourd'hui pour toute donnée à durée de vie > 10 ans.
HDS v2 (Hébergeur de Données de Santé): HDS v2 est la nouvelle certification française pour les hébergeurs de données de santé, obligatoire depuis le 16 mai 2026 (référentiel ANS-HDS-001 v2). Elle remplace l'agrément HDS de 2018 et durcit les exigences : chiffrement obligatoire au repos et en transit (algorithmes ANSSI niveau Renforcé), authentification 2FA, journalisation complète, et notification incident sous 24h. Concerne ~500 établissements hospitaliers + cliniques + GHT + laboratoires. MAFATE est intégrable dans toute architecture HDS pour fournir la couche chiffrement.
Hébergement souverain: L'hébergement souverain désigne l'hébergement de données et services informatiques par des prestataires soumis exclusivement au droit européen (et idéalement français), exempts d'extraterritorialité américaine (CLOUD Act, FISA 702). Critères usuels : capital majoritairement européen, infrastructures physiques sur le territoire européen, équipes techniques résidant en UE, absence d'entité mère soumise au droit américain. Validé en France par la qualification SecNumCloud délivrée par l'ANSSI. Les opérateurs souverains français notables incluent OVHcloud, Outscale (3DS), Scaleway, Numspot.
HSM (Hardware Security Module): Un HSM (Hardware Security Module) est un appareil physique dédié à la génération, au stockage et à l'utilisation de clés cryptographiques dans un environnement matériel inviolable (tamper-resistant). Certifié FIPS 140-2 niveau 3 ou Common Criteria EAL4+, il assure que les clés ne quittent jamais l'enclave hardware en clair. MAFATE utilise des HSM Scaleway hébergés en France pour garantir la souveraineté cryptographique et la conformité ANSSI / SecNumCloud.
HYOK (Hold Your Own Key): HYOK (Hold Your Own Key) désigne le modèle dans lequel le client conserve physiquement la clé de chiffrement, jamais transmise au prestataire cloud. Contrairement à BYOK où la clé est importée chez le prestataire (qui peut techniquement y accéder), HYOK garantit que l'opérateur cloud ne puisse jamais déchiffrer les données, y compris sous injonction CLOUD Act. Implémenté typiquement via un HSM on-premises ou un service de gestion de clés tiers indépendant. Réservé aux cas usage les plus sensibles (données santé, secrets d'État, données stratégiques).
IAM (Identity and Access Management): L'Identity and Access Management désigne l'ensemble des processus et technologies qui gèrent les identités numériques et leurs droits d'accès aux ressources informatiques. Un IAM moderne intègre : SSO (Single Sign-On), MFA, gestion du cycle de vie (joiner-mover-leaver), gestion des accès privilégiés (PAM), federation (SAML, OIDC), provisioning automatique (SCIM), gouvernance des accès (IGA), revues périodiques. Pilier du modèle Zero Trust et exigence centrale du NIST CSF, NIS2 et DORA. Les fournisseurs de référence en 2026 incluent Okta, Azure AD/Entra ID, Ping Identity, Keycloak (open-source).
ISO/IEC 27001: ISO/IEC 27001:2022 est la norme internationale de référence pour la mise en place et la certification d'un Système de Management de la Sécurité de l'Information (SMSI). Elle définit 10 clauses normatives (contexte, leadership, planification, support, fonctionnement, évaluation, amélioration) et 93 contrôles annexés (Annexe A). La version 2022 a remanié les contrôles en 4 thèmes (organisationnels, humains, physiques, technologiques) et introduit notamment les Threat Intelligence, Cloud Services, ICT Readiness. La certification, délivrée par un organisme accrédité COFRAC en France, est valable 3 ans avec audits annuels.
ISO/IEC 27018: ISO/IEC 27018:2019 est le code de bonnes pratiques pour la protection des données à caractère personnel dans le cloud public agissant en tant que sous-traitant (Cloud PII processor). Elle complète ISO 27001/27002 par des exigences spécifiques au cloud : transparence sur la localisation des données et la chaîne de sous-traitance, restitution et suppression en fin de contrat, restrictions sur le marketing direct, traçabilité des accès administratifs. Les principaux fournisseurs cloud (AWS, Azure, GCP, OVH) sont certifiés. Elle aide à démontrer la conformité Article 28 RGPD côté sous-traitant.
KEK (Key Encryption Key): Une KEK (Key Encryption Key) est la clé symétrique servant à chiffrer d'autres clés, typiquement des DEK (Data Encryption Keys) dans le modèle d'envelope encryption. Stockée dans un HSM ou un KMS, elle est par construction beaucoup moins exposée que les DEK : elle ne touche jamais directement les données et reste rarement exfiltrable. Le NIST SP 800-57 recommande KEK ≥ 256 bits, rotation tous les 1-5 ans, et stockage dans un module FIPS 140-3. La hiérarchie multi-niveaux (KEK → DEK) est le standard de fait du chiffrement at-rest moderne.
KMS (Key Management Service): Un KMS (Key Management Service) centralise la création, le stockage, la rotation, l'audit et la destruction des clés cryptographiques. Il sépare les clés des données chiffrées (envelope encryption, modèle DEK/KEK) pour minimiser le rayon d'exposition en cas de compromission. Les KMS managés (AWS KMS, Azure Key Vault, Google Cloud KMS) sont souvent soumis au CLOUD Act. MAFATE est un KMS souverain français basé sur HSM certifié, non soumis aux lois extraterritoriales US.
LCEN: La Loi pour la Confiance dans l'Économie Numérique (loi n° 2004-575 du 21 juin 2004) constitue le socle juridique français du commerce électronique et de la responsabilité des hébergeurs et fournisseurs d'accès. Elle pose le principe de responsabilité limitée des hébergeurs avant notification de contenus manifestement illicites, organise la publicité par voie électronique (opt-in pour la prospection), et encadre les obligations de conservation des données par les opérateurs. Plusieurs articles ont été partiellement remplacés par le RGPD (2018) et le DSA (2024), mais la LCEN reste le texte de base pour les questions de responsabilité éditoriale.
Localisation des données: La localisation des données désigne l'emplacement géographique où les données sont stockées, traitées et accessibles. Bien que le RGPD ne pose pas d'obligation générale de localisation européenne (les transferts hors UE sont possibles sous conditions), de nombreuses obligations sectorielles l'imposent : données de santé sous HDS, données défense, données fiscales. La doctrine "Cloud au Centre" du gouvernement français (2021) impose aux administrations un hébergement français ou européen sous qualification SecNumCloud pour les données sensibles. À distinguer de la "souveraineté juridique" qui couvre aussi l'extraterritorialité.
Loi Résilience: La Loi Résilience est le véhicule législatif français destiné à transposer simultanément la directive NIS2 (cybersécurité), la directive REC (résilience entités critiques) et certains aspects du règlement DORA. Initialement déposée en 2024, son adoption a connu plusieurs phases parlementaires et son décret d'application est attendu en 2026. Elle élargit le périmètre des entités assujetties (~15 000 organisations en France contre 500 sous NIS1), impose obligations de gouvernance, déclaration d'incidents 24h/72h, gestion des risques fournisseurs et sanctions jusqu'à 10 M€ ou 2% du chiffre d'affaires mondial.
MFA (Multi-Factor Authentication): L'authentification multi-facteurs (MFA) combine au moins deux facteurs d'authentification de catégories distinctes (connaissance par mot de passe, possession via clé matérielle ou smartphone, inhérence par biométrie) pour valider l'identité d'un utilisateur. Standardisée par NIST SP 800-63B, sa version résistante au phishing (FIDO2/WebAuthn, hardware tokens) est désormais exigée pour les comptes privilégiés dans les frameworks NIS2, DORA, PCI-DSS 4.0 et HDS. L'OTP par SMS est déprécié depuis 2017 (vulnérable à l'ingénierie sociale et au SIM swap). Bloque ~99 % des compromissions par force brute selon Microsoft (2019).
ML-DSA (Module-Lattice-Based DSA): ML-DSA est l'algorithme de signature numérique post-quantique standardisé par le NIST FIPS 204 (août 2024), basé sur le schéma CRYSTALS-Dilithium et la difficulté du Module-LWE. Successeur recommandé d'ECDSA et RSA-PSS pour la signature, il offre des niveaux de sécurité 128/192/256 bits contre les attaques quantiques. Trois variantes (ML-DSA-44, -65, -87) couvrent les compromis taille/performance. Migration recommandée par l'ANSSI dans le cadre de la stratégie crypto-agility face à la menace "Harvest Now, Decrypt Later".
ML-KEM-768 (FIPS 203): ML-KEM-768 (Module-Lattice-Based Key-Encapsulation Mechanism, niveau 3) est l'algorithme d'échange de clés post-quantique standardisé par le NIST (FIPS 203, août 2024), dérivé de CRYSTALS-Kyber. Sécurité basée sur le problème Learning With Errors (LWE) sur les réseaux modulaires, considéré comme résistant aux ordinateurs quantiques. Niveau 768 = équivalent à AES-192 en sécurité classique. Recommandé par l'ANSSI pour les nouvelles implémentations en mode hybride avec ECDH classique. Performance comparable à RSA-3072 mais résistante au "Q-Day".
NIS2 (Directive UE 2022/2555): NIS2 (Network and Information Security 2) est la deuxième directive européenne sur la cybersécurité, entrée en vigueur en janvier 2023, transposée en droit français via la Loi Résilience (été 2026). Elle élargit le périmètre des entités régulées de 300 à environ 15 000 entreprises françaises dans 18 secteurs critiques. Impose : gestion des risques, notification d'incidents (24h), gouvernance avec responsabilité personnelle des dirigeants, et mesures techniques dont le chiffrement (Art. 21). Sanctions : 10 M€ ou 2% CA mondial (entités essentielles).
PKI (Public Key Infrastructure): Une PKI (infrastructure à clés publiques) est l'ensemble organisationnel et technique qui émet, distribue et révoque des certificats numériques X.509 (RFC 5280) attestant la correspondance entre une identité et une clé publique. Composée d'autorités de certification (CA), d'autorités d'enregistrement (RA), de listes de révocation (CRL/OCSP) et de magasins de confiance. Socle de TLS, S/MIME, code signing, IPsec, eIDAS. Les CAs publiques (Let's Encrypt, DigiCert) opèrent sous CA/Browser Forum ; les PKI privées suivent ETSI EN 319 411.
Prestataire TIC critique: Au sens du règlement DORA (articles 28 à 44), un prestataire TIC critique est un fournisseur de services informatiques dont la défaillance entraînerait des conséquences systémiques sur le secteur financier européen. La désignation est opérée par les autorités européennes de surveillance (EBA, EIOPA, ESMA) selon des critères de concentration de marché, d'effet de réseau, et de complexité de remplacement. Une fois désignés, ces prestataires sont soumis à une supervision directe par un "Lead Overseer" : audits, plans correctifs, sanctions jusqu'à 1 % du chiffre d'affaires journalier en cas de manquement. Premières désignations attendues en 2026.
Qualification ANSSI: La qualification ANSSI est une attestation délivrée par l'Agence Nationale de la Sécurité des Systèmes d'Information à des produits ou services de cybersécurité après audit approfondi par un centre d'évaluation agréé. Trois niveaux existent : Élémentaire (Diffusion Restreinte), Standard (Confidentiel Défense), Renforcé (Secret Défense). Reconnue par l'État français et les opérateurs d'importance vitale, elle est exigée pour les marchés publics sensibles. Le visa de sécurité ANSSI atteste qu'un produit est conforme aux exigences du Référentiel Général de Sécurité (RGS).
Ransomware: Le rançongiciel est un logiciel malveillant qui chiffre les données de la victime et exige une rançon (en cryptomonnaies) pour fournir la clé de déchiffrement. Apparu massivement vers 2013-2017, il est devenu en 2026 l'un des principaux risques cyber selon l'ENISA Threat Landscape. Les souches dominantes opèrent en Ransomware-as-a-Service avec exfiltration préalable (double extorsion) et publication progressive sur des sites de honte (.onion). La position officielle française et FBI : ne pas payer (finance le crime et ne garantit pas la restitution). La défense repose sur sauvegardes immuables, segmentation, EDR, formation phishing.
ReCyF (Référentiel Cybersécurité France): Le ReCyF est le référentiel ANSSI publié en 2026 qui consolide les exigences cybersécurité applicables aux entités françaises sous NIS2, REC et la Loi Résilience en cours d'adoption. Il s'articule autour de domaines : gouvernance, gestion des risques, gestion des actifs, sécurité physique, sécurité personnel, accès, cryptographie, supply chain, exploitation, sécurité communications, gestion incidents, continuité, conformité. Aligné avec ISO 27001 et NIST CSF mais adapté au cadre juridique français. Les opérateurs visés doivent justifier de leur conformité aux contrôles via auto-évaluation puis audit qualifié.
Registre des traitements: Le registre des activités de traitement, prévu par l'article 30 du RGPD, est la documentation obligatoire tenue par le responsable de traitement (et son sous-traitant, distinct) listant les traitements de données personnelles : finalité, catégories de personnes et données, destinataires, transferts internationaux, durées de conservation, mesures de sécurité. Outil central de la démarche d'accountability, il doit être tenu sous forme écrite (papier ou électronique) et fourni sur demande à la CNIL. La dispense pour les entités < 250 salariés ne s'applique presque jamais car elle est conditionnée à l'absence de traitements à risque.
RGAA: Le Référentiel Général d'Amélioration de l'Accessibilité (RGAA, version 4.1.2 publiée en 2023) est le standard français de mise en conformité aux exigences d'accessibilité numérique du WCAG 2.1 niveau AA. Édité par la DINUM, il décline 106 critères de contrôle organisés en 13 thématiques (images, couleurs, navigation, formulaires, etc.) et fournit la méthodologie d'audit conforme. Son respect est obligatoire pour les services publics numériques en application de la loi du 11 février 2005 ; les manquements peuvent entraîner une sanction de 25 000 € par service non conforme.
RGPD Article 32 (Sécurité du traitement): L'Article 32 du RGPD impose au responsable du traitement et au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Cite explicitement : pseudonymisation et chiffrement des données personnelles ; capacité à garantir la confidentialité, l'intégrité et la disponibilité ; rétablissement en cas d'incident ; tests réguliers. Standard de fait : "chiffrement au repos + chiffrement en transit" : c'est le minimum exigé par la CNIL en cas d'audit. Le chiffrement par MAFATE remplit cette obligation.
RGPD Article 34 (Notification aux personnes concernées): L'Article 34 du RGPD impose au responsable du traitement de notifier individuellement les personnes concernées en cas de violation de données présentant un risque élevé pour leurs droits et libertés. EXEMPTION CRITIQUE : la notification n'est pas requise si "le responsable du traitement a mis en œuvre les mesures techniques et organisationnelles appropriées de protection (...) telles que le chiffrement, qui rendent les données personnelles incompréhensibles à toute personne qui n'est pas autorisée". C'est l'argument-clé pour MAFATE : chiffrer permet d'éviter le scandale médiatique d'une notification de masse.
RGPD (Règlement UE 2016/679): Le RGPD (Règlement Général sur la Protection des Données) est le règlement européen sur la protection des données personnelles, en vigueur depuis le 25 mai 2018. Il impose des obligations aux responsables de traitement et sous-traitants : licéité, minimisation, sécurité (Art. 32 : chiffrement et pseudonymisation), notification de violation à la CNIL sous 72h (Art. 33), et notification aux personnes concernées (Art. 34) sauf si données chiffrées rendues incompréhensibles. Sanctions : 20 M€ ou 4% CA mondial.
RSA: RSA (Rivest-Shamir-Adleman, 1977) est le système cryptographique asymétrique le plus déployé, fondé sur la difficulté de factoriser de grands entiers. Standardisé par le NIST SP 800-56B Rev. 2 pour l'établissement de clés et par FIPS 186-5 pour la signature, il requiert des modules d'au moins 3072 bits depuis 2030 selon NIST/ANSSI. Vulnérable aux ordinateurs quantiques (algorithme de Shor), il est appelé à être remplacé par les standards post-quantiques ML-KEM (chiffrement) et ML-DSA (signature).
SBOM (Software Bill of Materials): Le Software Bill of Materials est l'inventaire exhaustif des composants, bibliothèques et dépendances logicielles d'un produit, incluant leur version, fournisseur et licence. Standardisé par les formats SPDX (Linux Foundation) et CycloneDX (OWASP), il est mandatable depuis l'Executive Order 14028 (USA, 2021) pour les fournisseurs du gouvernement fédéral. Le règlement européen Cyber Resilience Act le rend obligatoire pour les produits connectés (2027). Il permet l'identification rapide des produits affectés par une vulnérabilité (Log4Shell, XZ Utils) et constitue un pilier de la défense supply chain.
SCC (Standard Contractual Clauses): Les Clauses Contractuelles Types (Standard Contractual Clauses) sont des modèles de contrat publiés par la Commission européenne pour encadrer juridiquement les transferts de données personnelles vers des pays tiers (article 46 RGPD). Les SCC 2021/914 (en vigueur depuis 2021) couvrent quatre modules : C→C, C→P, P→P, P→C (Contrôleur/Sous-traitant). Depuis Schrems II, les SCC doivent être complétées par des mesures supplémentaires (chiffrement de bout-en-bout, pseudonymisation) lorsque l'analyse révèle un risque d'accès gouvernemental du pays destinataire, typiquement les États-Unis.
Schrems II (Arrêt CJUE C-311/18, 2020): L'arrêt Schrems II (16 juillet 2020) de la Cour de Justice de l'Union Européenne a invalidé le Privacy Shield, le mécanisme qui légalisait les transferts de données personnelles UE → US. La CJUE a jugé que le droit américain (FISA Section 702, CLOUD Act, Executive Order 12333) ne garantit pas une protection équivalente au RGPD. Conséquence : tout transfert UE → US doit être assorti de garanties supplémentaires (clauses contractuelles types + chiffrement de bout en bout dont les clés restent en UE). Le Data Privacy Framework (2023) tente de combler ce vide mais reste fragile.
SecNumCloud (Qualification ANSSI): SecNumCloud est le référentiel français de qualification des prestataires de services cloud de confiance, géré par l'ANSSI. Niveau 3.2 (en vigueur depuis 2022) exige notamment : siège social en UE, capital majoritairement européen, immunité aux lois extraterritoriales (CLOUD Act, FISA), chiffrement par défaut, journalisation complète. Critère de référence pour les administrations françaises ("doctrine cloud au centre", circulaire Premier ministre 2021) et bientôt étendu aux OIV/OSE via NIS2. Liste officielle des prestataires qualifiés publiée par l'ANSSI.
SHA-3: SHA-3 (Secure Hash Algorithm 3) est la famille de fonctions de hachage cryptographique standardisée par le NIST dans FIPS 202 (2015), fondée sur l'algorithme Keccak. Elle inclut SHA3-224, SHA3-256, SHA3-384 et SHA3-512 ainsi que les XOF (Extendable Output Functions) SHAKE128/SHAKE256. Conçue comme alternative structurelle à SHA-2 (résistant si SHA-2 venait à être cassé), elle utilise une construction sponge offrant des marges de sécurité supérieures. Recommandée par l'ANSSI pour les nouveaux protocoles.
SIEM (Security Information and Event Management): Le Security Information and Event Management est une plateforme centralisant la collecte, la corrélation et l'analyse des journaux d'événements sécurité provenant de l'ensemble du système d'information (firewalls, EDR, applications, cloud). Conçu pour la détection d'attaques complexes via règles de corrélation et apprentissage des comportements normaux, il sert également de socle aux investigations forensiques et aux rapports de conformité. Évolution moderne : "Next-Gen SIEM" intégrant UEBA (User Entity Behavior Analytics) et orchestration SOAR. Acteurs majeurs 2026 : Splunk, Microsoft Sentinel, Elastic, Sekoia.io (français).
Signature numérique: Une signature numérique authentifie l'origine et l'intégrité d'un message via cryptographie asymétrique : l'auteur signe avec sa clé privée, n'importe qui peut vérifier avec sa clé publique. Les schémas standardisés en 2026 incluent RSA-PSS et ECDSA (FIPS 186-5), Ed25519 (RFC 8032), ML-DSA (FIPS 204, post-quantique). Distincte de la signature électronique au sens juridique eIDAS, qui ajoute des exigences de processus et d'identification. Composant fondateur de la PKI, TLS, code signing, signatures de documents.
SLH-DSA (Stateless Hash-Based DSA): SLH-DSA est l'algorithme de signature post-quantique fondé sur les arbres de hachage (Merkle), standardisé par NIST FIPS 205 (août 2024). Issu du schéma SPHINCS+, sa sécurité repose uniquement sur la robustesse des fonctions de hachage cryptographique (SHA-2, SHAKE), ce qui en fait un choix de "ceinture et bretelles" si les hypothèses sur les réseaux euclidiens (ML-DSA) venaient à être affaiblies. Signatures volumineuses (~8 KB) limitant son usage aux scénarios à très long terme (archivage, certificats racine).
SOC 2: SOC 2 (System and Organization Controls 2) est un cadre d'audit indépendant édité par l'AICPA (American Institute of CPAs) attestant qu'un prestataire de services maîtrise ses contrôles internes sur cinq critères dits "Trust Services" : Sécurité, Disponibilité, Intégrité du traitement, Confidentialité, Vie privée. Il existe deux types de rapports : Type I (description à un instant donné) et Type II (efficacité opérationnelle sur 6 à 12 mois). Standard de facto pour les éditeurs SaaS adressant le marché américain, il est complémentaire et non exclusif d'ISO 27001, qui couvre la gouvernance d'un SMSI tandis que SOC 2 audite l'efficacité des contrôles.
SOC (Security Operations Center): Le Security Operations Center est l'entité organisationnelle (équipe, processus et technologies) chargée de la surveillance, de la détection et de la réponse aux incidents de cybersécurité 24/7. Sa composition usuelle inclut analystes N1 (tri des alertes), N2 (investigation), N3 (chasse aux menaces, ingénierie de détection), responsables IR et threat intelligence. Modes : SOC interne, MSSP (externalisé), SOC hybride, SOCaaS (cloud-native). Le NIST CSF v2 (2024) le positionne au cœur des fonctions Detect et Respond. La maturité d'un SOC se mesure typiquement via le modèle SOC-CMM (5 niveaux).
Solvabilité II: Solvabilité II (Directive 2009/138/CE révisée 2019) est le cadre prudentiel européen applicable aux entreprises d'assurance et de réassurance. Il structure les exigences en trois piliers : exigences quantitatives (capital de solvabilité requis SCR, capital minimum MCR), gouvernance et gestion des risques (ORSA), et reporting / transparence. Sous l'autorité de l'EIOPA et localement de l'ACPR en France, il impose notamment des exigences spécifiques de cybersécurité et de continuité opérationnelle qui se combinent désormais avec DORA pour les acteurs financiers.
Sous-traitant RGPD: Au sens de l'article 4(8) du RGPD, le sous-traitant est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement (par exemple un prestataire SaaS, un hébergeur, un service d'envoi d'e-mails). Sa relation avec le responsable doit être encadrée par un contrat de sous-traitance (DPA) conforme à l'article 28, qui définit ses obligations : agir sur instructions documentées, garantir la confidentialité, mettre en œuvre des mesures de sécurité, assister le responsable, autoriser les audits, restituer ou supprimer les données en fin de contrat.
STORAGE Act: Le Strengthening The Online Restraint Against Generated Exploitation Act (STORAGE Act) est un projet de loi américain visant à renforcer les obligations des fournisseurs de services cloud en matière de stockage et de gouvernance des données. Bien qu'à l'état de proposition au Congrès américain (118e session), il est suivi de près par l'écosystème souveraineté car il complèterait le CLOUD Act et le FISA 702 en matière d'accès gouvernemental américain aux données stockées dans le cloud. Statut 2026 : non promulgué, en navette législative.
Supply chain attack: Une attaque de la chaîne d'approvisionnement logicielle consiste à compromettre un produit ou un dépôt en amont du destinataire final pour propager du code malveillant à grande échelle. Exemples emblématiques : SolarWinds (2020, 18 000 organisations), Codecov (2021), Kaseya (2021), 3CX (2023), XZ Utils backdoor (2024). Vecteurs typiques : compromission d'un mainteneur de bibliothèque open-source, injection dans un pipeline CI/CD, distribution de paquets typosquattés, signature de code volée. Frameworks de défense : SLSA (Google), NIST SP 800-218 (SSDF), ENISA Supply Chain Attacks. Au cœur des obligations CRA et NIS2 sur la gestion des fournisseurs.
Tokenisation: La tokenisation remplace une donnée sensible (numéro de carte bancaire, IBAN, identifiant) par un substitut aléatoire sans valeur exploitable (le "token"), la correspondance étant stockée dans un coffre-fort cryptographique séparé. Contrairement au chiffrement, le token n'est pas mathématiquement réversible : la seule façon de retrouver la donnée originale est d'interroger le coffre. Mandatée par PCI-DSS pour le PAN, recommandée par le NISTIR 8053 pour réduire la surface d'attaque des bases. Souvent combinée à FPE pour respecter les formats des systèmes legacy.
Transferts hors UE: Les transferts de données personnelles hors de l'Union européenne sont régis par les articles 44 à 50 du RGPD. Ils ne sont licites que si le pays destinataire offre un niveau de protection adéquat (décision d'adéquation de la Commission), à défaut moyennant des garanties appropriées (BCR, SCC) ou dérogations limitées (consentement, exécution contractuelle). L'invalidation du Privacy Shield par l'arrêt Schrems II (2020) a complexifié les transferts vers les États-Unis ; le Data Privacy Framework (juillet 2023) en constitue le nouveau cadre, contesté en justice.
USA PATRIOT Act: Le USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, 2001) confère aux agences fédérales américaines des pouvoirs étendus de surveillance et de collecte d'informations. Sa section 215, dite "business records provision", autorisait la collecte massive de métadonnées par la NSA. Bien que cette section ait expiré en mars 2020, le Patriot Act reste l'un des textes fondateurs avec FISA et le CLOUD Act du régime d'accès extraterritorial américain aux données, source du contentieux juridique européen Schrems I/II.
Zero Trust: Le Zero Trust est un modèle d'architecture de sécurité fondé sur le principe "never trust, always verify" : aucune confiance n'est accordée par défaut, ni à l'intérieur ni à l'extérieur du périmètre réseau. Chaque requête est authentifiée, autorisée et chiffrée. Standardisé par le NIST SP 800-207 (août 2020), il s'appuie sur sept piliers : vérification d'identité explicite, micro-segmentation, principe du moindre privilège, terminal validé, télémétrie continue, automatisation, accès dynamique. Différencié du VPN traditionnel "périmétrique" devenu obsolète face au télétravail et aux supply chain attacks.

Besoin d'aide pour appliquer ces concepts ?

MAFATE livre les attestations de chiffrement réglementaires en 1 clic. NIS2, DORA, RGPD, HDS — tout est couvert.

Demander une démo Voir la conformité

83+ définitionscybersécurité & conformité

Besoin d'aide pour appliquer ces concepts ?

83+ définitions
cybersécurité & conformité