Glossaire
Le monde de la cybersécurité est rempli d'acronymes — voici une définition claire des sigles que vous croiserez dans NIS2YOU et dans les exigences réglementaires.
Autorités et régulateurs — Belgique
- CCB
- Centre pour la Cybersécurité Belgique. Autorité belge compétente pour NIS2 — c'est à elle qu'on notifie les incidents cyber significatifs (24h / 72h / 1 mois).
- APD
- Autorité de Protection des Données (en néerlandais : GBA — Gegevensbeschermingsautoriteit). Régulateur belge du RGPD. À notifier sous 72h en cas de fuite de données personnelles.
- CERT.be
- Computer Emergency Response Team belge. Service du CCB qui aide les organisations victimes d'un incident cyber.
Autorités et régulateurs — France
- ANSSI
- Agence Nationale de la Sécurité des Systèmes d'Information. Autorité française compétente pour NIS2 (transposée par la loi REN du 30 avril 2024). Reçoit les notifications d'incidents significatifs (24h / 72h / 1 mois).
- CNIL
- Commission Nationale de l'Informatique et des Libertés. Régulateur français du RGPD. À notifier sous 72h en cas de violation de données personnelles.
- CERT-FR
- Computer Emergency Response Team français, opéré par l'ANSSI. Diffuse les alertes et accompagne les victimes d'incidents.
- cybermalveillance.gouv.fr
- Plateforme d'assistance aux victimes (TPE/PME, particuliers, collectivités) — accompagnement et mise en relation avec des prestataires référencés.
Autorités et régulateurs — Luxembourg
- HCPN
- Haut-Commissariat à la Protection Nationale. Autorité nationale de cybersécurité du Luxembourg, pilote la stratégie nationale et la transposition NIS2.
- ILR
- Institut Luxembourgeois de Régulation. Autorité compétente pour NIS2 sur les services numériques et infrastructures critiques. Reçoit les notifications d'incidents significatifs.
- CNPD
- Commission Nationale pour la Protection des Données. Régulateur luxembourgeois du RGPD. À notifier sous 72h en cas de violation de données personnelles.
- CIRCL
- Computer Incident Response Center Luxembourg. CERT national pour le secteur privé non gouvernemental — assistance, alertes, MISP.
- GovCERT.lu
- CERT pour les administrations publiques et les opérateurs d'importance vitale luxembourgeois.
Autorités et régulateurs — Pays-Bas
- NCSC-NL
- Nationaal Cyber Security Centrum. Autorité néerlandaise centrale pour la cybersécurité, point de contact NIS2 pour les entités essentielles.
- CSIRT-DSP
- CSIRT pour Digital Service Providers. Reçoit les notifications NIS2 spécifiquement pour les fournisseurs de services numériques (cloud, marketplaces, moteurs de recherche).
- AP
- Autoriteit Persoonsgegevens. Régulateur néerlandais du RGPD. À notifier sous 72h en cas de violation de données personnelles (datalek).
- DTC
- Digital Trust Center. Programme du gouvernement néerlandais qui aide les PME en cybersécurité — alertes, guides, communauté.
Autorités européennes
- ENISA
- European Union Agency for Cybersecurity. Agence européenne qui produit guides, référentiels et coordonne les CERT nationaux.
- EDPB
- European Data Protection Board / Comité Européen de la Protection des Données. Coordonne les autorités RGPD nationales (APD, CNIL, CNPD, etc.).
Régulations et référentiels
- NIS2
- Network and Information Security Directive 2. Directive européenne (2022/2555) qui impose aux entreprises essentielles et importantes des obligations de cybersécurité — gestion des risques, notification d'incidents, gouvernance.
- RGPD / GDPR
- Règlement Général sur la Protection des Données (en anglais : General Data Protection Regulation). Règlement européen (2016/679) qui encadre le traitement des données personnelles.
- ISO 27001
- Norme internationale de référence pour le management de la sécurité de l'information (ISMS). Certifiable.
Rôles et fonctions
- DPO
- Data Protection Officer (en français : Délégué à la Protection des Données — DPD). Personne responsable de la conformité RGPD au sein de l'organisation. Obligatoire dans certains cas.
- CISO
- Chief Information Security Officer (en français : Responsable de la Sécurité des Systèmes d'Information — RSSI). Responsable de la stratégie sécurité.
Documents et procédures
- DPIA / AIPD
- Data Protection Impact Assessment (en français : Analyse d'Impact sur la Protection des Données). Analyse obligatoire pour les traitements de données personnelles à haut risque.
- DPA
- Data Processing Agreement (en français : contrat de sous-traitance RGPD). Accord encadrant le traitement de données personnelles par un sous-traitant. À ne pas confondre avec l'autorité (Data Protection Authority).
- IRP
- Incident Response Plan (en français : Plan de Réponse aux Incidents). Document décrivant qui fait quoi en cas d'incident.
- PCA
- Plan de Continuité d'Activité. Plan permettant de maintenir l'activité même en cas de sinistre majeur.
- PRA / DRP
- Plan de Reprise d'Activité (en anglais : Disaster Recovery Plan). Plan technique pour restaurer les systèmes après un incident majeur.
- BIA
- Business Impact Analysis. Analyse qui identifie les processus critiques et leurs dépendances pour préparer le PCA / PRA.
Technologies de sécurité
- MFA / 2FA
- Multi-Factor Authentication ou Two-Factor Authentication. Authentification renforcée combinant mot de passe + un second facteur (code TOTP, clé USB, biométrie).
- TOTP
- Time-based One-Time Password. Code à 6 chiffres qui change toutes les 30 secondes (Google Authenticator, Authy...).
- EDR
- Endpoint Detection & Response. Antivirus de nouvelle génération qui détecte les comportements suspects sur les postes (Defender, CrowdStrike, SentinelOne...).
- SIEM
- Security Information & Event Management. Système qui centralise les logs et détecte les patterns suspects (Splunk, Elastic, Wazuh, CrowdSec...).
- DLP
- Data Loss Prevention. Outils empêchant la fuite de données sensibles par e-mail, USB, cloud (M365 DLP, Symantec DLP...).
- VPN
- Virtual Private Network. Tunnel chiffré qui permet l'accès à distance au réseau interne.
- RBAC
- Role-Based Access Control. Modèle où on attribue des droits non pas individuellement mais via des rôles (Admin, Manager, User...).
- SSO
- Single Sign-On. Authentification unique : un seul login donne accès à plusieurs applications (Azure AD, Okta...).
Attaques et menaces
- DDoS
- Distributed Denial of Service. Attaque qui sature un service par un volume massif de requêtes pour le rendre indisponible.
- Phishing
- E-mail / SMS / appel frauduleux qui imite une source légitime pour soutirer credentials, virement, ou clic sur un lien malveillant.
- Vishing
- Phishing par téléphone (voice phishing). Souvent ciblant les CFO pour obtenir un virement urgent.
- Rançongiciel / Ransomware
- Logiciel malveillant qui chiffre vos données et demande une rançon pour les déchiffrer.
Termes NIS2YOU
- Tenant
- Une organisation cliente isolée. Chaque tenant a ses propres données, utilisateurs et configuration. Vos données ne sont jamais visibles par un autre tenant.
- Owner / Admin / Risk Manager / Contributor / Auditor
- Les 5 rôles dans NIS2YOU, du plus puissant (Owner) au lecteur (Auditor).
- P / I (heatmap)
- Probabilité / Impact. Les deux axes du scoring d'un risque, sur une échelle 1-5 chacun.