Glossaire

Terme

Définitions

Abuser story

Brève description d’un scénario de risque (sous une forme analogue à celle d'une user story) qui sera utilisé pour déterminer les mesures de sécurité à implémenter et réaliser les tests de couverture du risque.

Analyse des risques

Sous-processus de la gestion des risques visant à identifier, analyser et à évaluer les risques.

Backlog

Liste de fonctionnalités ou de tâches (cf. user stories), jugées nécessaires et suffisantes pour la réalisation satisfaisante du produit.

Besoin de sécurité

Définition précise et non ambiguë du niveau d'exigences opérationnelles relatives à une valeur métier pour un critère de sécurité donné (disponibilité, confidentialité, intégrité, traçabilité, etc.).

Valeur métier (Bien essentiel)

Information ou processus jugé comme important pour l'organisme et qu’il convient donc de protéger. On appréciera ses besoins de sécurité. En démarche Agile, la valeur métier est généralement exprimée sous la forme d’une user story.

Composant du SI (Bien support)

Ressource sur laquelle reposent des fonctionnalités, et qu’il convient de sécuriser en fonction de sa criticité. On distingue notamment : les systèmes informatiques/numériques, les organisations et ressources humaines, les locaux et infrastructures physiques.

Devops

Désigne une communauté réunie autour de pratiques visant à réduire l'écart entre les personnes qui développent un produit ou un service, et celles qui sont chargées de l'héberger, l'opérer, le surveiller etc. Par exemple, les équipes de développement sont alertées et mobilisées sur tous les incidents de production.

DICP

Acronyme désignant les différents besoins de sécurité qu'il convient de prendre en compte lors de l'analyse des risques.

Ecosystème

Parties prenantes qui « gravitent » autour du SI et qui entretiennent des relations d’échanges au travers d’interfaces logiques ou physiques. Il peut s’agir des clients ou usagers d’un service, de partenaires ou co-traitants, de sous-traitants, etc. L’écosystème inclut également l’ensemble des services et réseaux supports nécessaires au fonctionnement du SI.

Événement redouté

Situation crainte par l'organisme. Il s'exprime par la combinaison des sources de menaces susceptibles d'en être à l'origine, d'une user story, du besoin de sécurité concerné et des impacts potentiels. Un événement redouté correspond à une violation d’un besoin de sécurité d’une user story.

Homologation de sécurité

Validation par une autorité responsable que le niveau de sécurité est conforme aux attentes et que les risques résiduels sont acceptables dans un contexte d’emploi donné.

Impact

Conséquence directe ou indirecte de l'insatisfaction des besoins de sécurité sur l'organisme ou sur son environnement.

Mesure de sécurité

Moyen de traiter un risque de sécurité. Une mesure peut être de nature technique, physique ou organisationnelle.

Objectif de sécurité

Dans le présent guide, un objectif de sécurité correspond à l’option de traitement décidée pour un scénario de risque : éviter, réduire, transférer, accepter.

Refactoring

Pratique technique consistant à améliorer la conception (lisibilité, modularité, etc.) d'un code source existant sans en modifier la fonctionnalité, et plus largement à prendre en compte la conception tout au long du développement d'un logiciel, plutôt que lors d'une phase distincte au début.

Risque résiduel

Risque subsistant après le traitement du risque et la mise en œuvre des mesures de sécurité, qui peut être par conception (l'équipe a accepté la présence du risque) ou identifié a posteriori (par exemple lors d'un audit externe).

Scénario de risque

Scénario décrivant la survenue d'un événement redouté. Il combine les sources de risques susceptibles d'en être à l'origine, les composants du SI qui sont visés, des modes d’actions sur ces composants, et les vulnérabilités exploitables pour qu'ils se réalisent.

Source de risque

Entité ou personne à l'origine de scénarios de menace.

User story

Au lieu de faire l'objet d'un cahier des charges, la réalisation d'un produit par une équipe agile suppose de découper le travail à réaliser en incréments de valeur métier appelés « user stories ».

Vulnérabilité

Caractéristique d'un composant du SI qui peut constituer une faiblesse ou une faille au regard de la sécurité numérique.

PreviousMémo: un exemple complet NextBibliographie

Last updated 7 years ago