Glossaire
accès
Un accès fait référence aux points d’entrée vers des documents, communications ou informations. L’accès à un ordinateur, à des fichiers ou à des comptes en ligne est souvent protégé par des méthodes d’authentification (mots de passe, par exemple). On peut également utiliser ce terme pour désigner les autorisations (lecture, commentaires, modifications) attribuées à certaines personnes.
archive
Des archives sont des informations, données ou documents sauvegardés à long terme à différentes fins. Ces fins peuvent être légales, pour protéger l’organisation en cas de perte ou de vol de matériel informatique, ou simplement pour assurer la mémoire des activités de l’organisme.
authentification
Processus de vérification de votre identité par un système. Un mot de passe est une manière de s’authentifier. L’authentification à multiples facteurs jumelle deux (ou plusieurs) facteurs authentifiants. Par exemple, un facteur peut être quelque chose que nous connaissons (mots de passe), quelque chose que nous possédons (une carte bancaire ou un téléphone cellulaire pour l’authentification par SMS) ou quelque chose que nous sommes (méthodes biométriques, comme l’empreinte digitale).
avec/byod
Il s’agit d’un acronyme pour « Apportez Votre Équipement de Communication ». Il s’agit d’une politique encadrant le travail d’employés qui utilisent leur matériel informatique personnel au bureau, à la maison ou en mode « nomade ».
bridée (dans le cadre d’un rpv)
Le fait d’empêcher d’utiliser toutes les données d’un coup, elles sont limitées. Par exemple, vous ne pouvez utiliser que 1 Go de données entrantes par jour.
chiffrement
Processus mathématique employé pour assurer la confidentialité et l’intégrité des communications. Le chiffrement utilise un algorithme (cipher) pour modifier un texte ou une information en une série de caractères incompréhensibles (ciphertexte). Ce processus requiert qu’une clé (p. ex. : un mot de passe) soit appliquée à l’algorithme afin de rendre ce dernier unique. Le déchiffrement est le processus inverse : la clé est utilisée pour que l’algorithme retransforme le ciphertexte en texte lisible.
compromission
Action par laquelle une information ou une donnée est compromise. Une donnée est compromise lorsqu’une cyberattaque est réussie. L’impact d’une compromission est que les données sont exposées à un dommage ou à une détérioration résultant de l’attaque.
comptes liés
Des comptes liés sont des sites, applications et services en ligne qui permettent de s’authentifier par notre compte d’une autre plateforme (« Connectez-vous à partir de votre compte Google, Facebook… »).
confidentialité de l’information
La confidentialité est l’un des trois piliers de la sécurité de l’information. Une information confidentielle est une information qui doit uniquement être accessible à un groupe restreint d’individus. La compromission d’information confidentielle peut causer préjudice. Par exemple, si un projet est révélé à un.e concurrent.e, celui ou celle-ci peut causer du tort aux parties prenantes.
courriel de troie
Un courriel en apparence légitime dont l’expéditeur.trice cherche à vous faire télécharger une pièce jointe ou cliquer sur un lien entraînant le téléchargement d’un logiciel malveillant.
courriel douteux
Un courriel suspect qui semble provenir d’un.e expéditeur.trice malveillant.e. Ce courriel peut aussi contenir une pièce jointe ou un lien d’apparence frauduleuse.
cyberattaque
Recours à des techniques électroniques visant à perturber, à gagner un accès non autorisé, à manipuler ou à détruire un système informatique, un réseau, un dispositif ou des informations.
cybercitoyenneté
Ensemble de normes et valeurs du vivre-ensemble dans le numérique. Les dispositifs technologiques sont porteurs de possibilités prometteuses en matière de renouvellement de créativité et d’action citoyenne. L’utilisation du numérique à des fins politiques soulève aussi des enjeux éthiques et sociaux. L’Internet est à la fois vu comme un espace de liberté et d’expression, qui offre des possibilités de collaboration et d’action collective, et d’autres fois comme un espace commercial, parfois addictif, qui peut participer à des dynamiques d’éloignement et de repli sur soi. Les identités performées dans les mondes physique, social et numérique sont liées de manière complexe sans complètement se recouper. Ces identités exigent de revoir les questions de l’anonymat et du respect de la vie privée (ex. : droit à l’oubli, action masquée sous un avatar, collecte de données personnelles, cybersurveillance, etc.).
cybersécurité
La cybersécurité englobe l’ensemble des moyens qui permettent d’assurer la sécurité des réseaux et systèmes informatiques. Cette discipline s’intéresse donc aux manières dont on assure la confidentialité, l’intégrité et la disponibilité de ces systèmes et des données qu’ils hébergent. La cybersécurité est donc complémentaire à la sécurité de l’information qui, pour sa part, vise à assurer la confidentialité, l’intégrité et la disponibilité de toutes les informations — qu’elles soient sur un support numérique ou non.
disponibilité de l’information
La disponibilité de l’information est l’un des trois piliers de la sécurité de l’information. La disponibilité d’une donnée ou d’un système assure le bon déroulement d’un projet et le fonctionnement efficace d’un organisme. L’indisponibilité d’une information ou d’un système (pensons à l’interruption d’un signal Wi-Fi, ou aux pannes d’Internet ou de courant) peut causer des pertes ou des dommages aux parties concernées.
dns
Le système des noms de domaines (en anglais : Domain Name System) est une base de données (comme un bottin téléphonique) qui permet aux ordinateurs de se connecter à des sites Internet à travers une adresse écrite textuellement. Chaque ordinateur et serveur connecté à internet possède un numéro unique (semblable au numéro de téléphone), mais très complexe. On appelle ce numéro une adresse IP. Le DNS permet de transformer cette adresse en une suite de lettres plus facilement compréhensible, ce qu’on appelle le nom de domaine. Au lieu d’écrire 123.123.123.0, le DNS nous permet donc d’écrire www.monsite.ca
dnssec (extensions de sécurité du système des noms de domaine)
Une extension de sécurité qui peut être ajoutée au DNS (Système de nom de domaine) qui facilite l’authentification des serveurs avec lesquels votre ordinateur communique. Cette extension protège également l’intégrité de l’information qui transite sur le réseau. Dit autrement, elle s’assure que les données que vous envoyez de votre ordinateur ne sont pas interceptées ou modifiées alors qu’elles transitent sur le réseau.
donnée personnelle
Une donnée personnelle est une information qui vous rend personnellement identifiable. Elle peut être générée lors de démarche administrative, d’un achat, l’utilisation d’une application, par courriel, sur un réseau social.
Par exemple, une donnée permettant directement votre identification peut être votre nom ou prénom. Une donnée permettant votre identification indirecte sera votre numéro de téléphone, votre numéro d’assurance sociale (NAS), votre adresse courriel, une image…
double authentification
Il s’agit d’une méthode d’authentification utilisant plusieurs facteurs. La double authentification peut se présenter sous plusieurs noms dans différents services (authentification à deux facteurs, 2 FA, authentification à multiples facteurs, authentification à deux étapes, etc.). Peu importe la terminologie employée, ce type d’authentification nécessite l’utilisation d’une deuxième (parfois d’une troisième) méthode en supplément du mot de passe.
Par exemple, on peut penser à l’utilisation d’un mot de passe (authentification mémorielle) associée avec l’envoi d’un code par SMS (authentification matérielle — on a le téléphone cellulaire sur soi) ou d’une empreinte digitale (authentification biométrique).
L’utilisation de multiples facteurs d’authentification est une excellente pratique en cybersécurité. Si vous employez de nombreux facteurs d’authentification, un mot de passe compromis ne sera plus suffisant pour qu’un adversaire accède à vos comptes. C’est pourquoi il est utile de privilégier l’utilisation de services en ligne qui permettent la double authentification et d’activer cette fonctionnalité partout où c’est possible.
gestionnaire de mots de passe
C’est un logiciel qui regroupe l’ensemble de vos mots et phrases de passe dans un lieu sécurisé. Les gestionnaires vous permettent d’avoir des phrases de passe plus longues et sécuritaires sans risque de les oublier. Attention : si vous mettez tous vos œufs (lire : vos mots de passe) dans le même panier (lire : un gestionnaire), assurez-vous que la phrase de passe permettant l’accès à ce gestionnaire est extrêmement solide!
hameçonnage
L’hameçonnage est une opération frauduleuse par laquelle un adversaire usurpe l’identité d’une institution, d’une marque connue ou d’une personne de confiance afin de récolter des informations personnelles. Ces adversaires envoient généralement un grand nombre de courriels à des adresses plus ou moins aléatoires dans l’objectif que certains « mordent à l’hameçon », cliquent sur le lien frauduleux et soumettent certaines informations personnelles. Ce type d’attaque a souvent pour finalité les détournements de fonds. Par exemple, si vous recevez un courriel d’Amazon ou de votre institution bancaire vous demandant d’entrer vos données bancaires pour valider une commande, il s’agit d’un courriel d’hameçonnage. Il ne faut jamais transmettre de renseignements personnels par courriel.
harponnage
Le harponnage consiste en l’utilisation de courriels trompeurs dans le but de persuader une personne (généralement en situation de pouvoir) d’un organisme à révéler des informations sensibles (noms d’utilisateur.trice.s et mots de passe, par exemple). Le harponnage se distingue de l’hameçonnage dans la mesure où les victimes sont ciblées et l’attaque est extrêmement bien adaptée au contexte de l’organisation.
https (hypertext transfer protocol secure)
Il s’agit d’un protocole sécurisé qui permet de faire communiquer un ordinateur personnel avec un serveur (par exemple, votre site Internet). HTTP est un protocole utilisé simplement pour faire transiter des informations de connexion sur un réseau. Avec ce protocole, les requêtes (l’ordinateur personnel X aimerait se connecter à tel site) et les réponses (le site envoie son contenu à l’ordinateur X) sont envoyées en « texte clair » (c’est-à-dire lisible pour quiconque écoute le réseau). Avec le HTTPS (le « S », vous l’aurez deviné, c’est pour sécurité), on ajoute simplement un protocole de chiffrement. Ce protocole va donc chiffrer l’information en transit afin que les données (mots de passe, nom des sites Web que vous visitez, etc.) restent confidentielles et intègres. Cela empêche, entre autres, que l’utilisateur soit redirigé à son insu sur un site malveillant ou que des données soient récoltées par un adversaire.
infonuagique
Vous connaissez plusieurs services d’infonuagique : Google Drive, Dropbox, iCloud, etc. Ces services sont essentiellement des serveurs distants sur lesquels vous pouvez héberger vos données et documents. L’infonuagique permet à des utilisateur.trice.s d’accéder à un ensemble de ressources informatiques (réseaux, serveurs, applications, services) sur demande dès qu’ils et elles disposent d’un accès à Internet. En bref, les services d’infonuagique permettent de stocker de l’information ailleurs que sur son ordinateur. Ils permettent également d’assurer une meilleure disponibilité de l’information. Effectivement, lorsqu’elle est sur le cloud, l’information est disponible à partir de multiples appareils et permet également une récupération plus facile en cas de bris ou de perte de matériel. L’utilisation du cloud comporte également des inconvénients en matière de confidentialité. Par exemple, toutes les compagnies n’ont pas les mêmes normes et pratiques en matière de sécurisation de leurs serveurs. De plus, l’accès à votre service cloud (protégé par un mot de passe) peut également représenter une porte d’entrée intéressante pour des adversaires.
intégrité de l’information
Il s’agit d’une information qui est intacte, qui n’a pas été altérée. Par exemple, un contrat doit rester identique durant toute la durée du mandat. Sa non-intégrité peut causer des pertes monétaires à l’organisme.
latence
La latence est le délai nécessaire pour qu’une donnée soit transmise de l’expéditeur.trice au/à la destinataire. Plus il y a de latence, plus il y a un délai entre les actions réalisées et leur affichage à l’écran. Par exemple, si lors d’une conversation en visioconférence il y a un décalage entre le moment où vous parlez et le moment où votre interlocuteur.trice vous entend, il y a un problème de latence.
osint (open source intelligence)
L’Open Source INTelligence est une méthode qui consiste à rechercher toutes les informations disponibles publiquement sur une personne ou un organisme (par exemple, sur les réseaux sociaux, dans des bases de données, des blogues, etc.). Cette méthode est souvent utilisée par des journalistes et des enquêteurs. Elle peut aussi servir à repérer d’éventuelles failles de sécurité sur son propre organisme. Si vous réussissez à trouver une donnée qui ne devrait pas être publique en utilisant des outils et méthodes d’OSINT, c’est que vous avez certainement une faille quelque part. Cette méthode en sert donc à identifier nos lacunes évidentes en cybersécurité.
phrase de passe
Suite de mots et/ou symboles qui permettent d’assurer une authentification plus sécurisée qu’un mot de passe.
pourriel
Un pourriel est un courriel non désiré, envoyé de manière massive et automatisée à des fins souvent commerciales. Un pourriel peut être une menace pour la cybersécurité (il peut contenir un logiciel malveillant) ou simplement être un courriel commercial non sollicité qui cherche à vous faire consommer un bien ou un service. Les adresses qui figurent dans ces listes d’envoi de pourriels sont généralement achetées ou récoltées de diverses manières (via des fuites de données, ou quand vous participez à un concours par exemple).
rançongiciel
Logiciel malveillant (ou maliciel) qui empêche un utilisateur d’accéder à des données (ou système) tant qu’une rançon n’a pas été payée. Par exemple le contenu du disque dur d’un ordinateur infecté par un tel logiciel peut être rendu inaccessible (autant aux visiteur.euse.s qu’à l’organisme) tant qu’un paiement n’a pas été effectué. Il est recommandé de ne jamais payer ladite rançon.
rôle
Ensemble des tâches et responsabilités associées à un statut dans une organisation. Une personne peut avoir plusieurs rôles. Un rôle peut aussi être assuré par plusieurs personnes. Un rôle se distingue d’un titre (poste) ou d’un mandat. Par exemple, une personne peut être responsable de la communication sur les réseaux sociaux, de la planification et du contrôle de la production de projets, tout en s’occupant de tâches administratives. Les rôles de cette personne seront donc ceux de la communication, de la production et de l’administration. Dans votre gestion des accès, chacun de ces rôles devrait être accompagné d’accès spécifiques. En ce sens, la définition des rôles vise à cibler efficacement les accès à octroyer et restreindre ceux qui ne sont pas nécessaires aux tâches et qui, par conséquent, peuvent présenter des risques en matière de cybersécurité.
sauvegarde
Une sauvegarde est une donnée ou un document gardés à court terme dans le but d’assurer une résilience et une disponibilité de l’information à jour en cas de perte ou d’incident.
sgc (système de gestion de contenu)/cms
Un SGC/CMS est l’interface par laquelle vous pouvez organiser le contenu de votre site Web sans écrire une ligne de code. Ces programmes sont très utiles pour la création de sites. Attention : ils représentent aussi des dangers, car des plug-ins et des liens vers d’autres ressources peuvent faciliter l’introduction de vulnérabilités informatiques à votre insu.
système de groupe de privilège
Il s’agit d’un service d’annuaire permettant de gérer plus efficacement les accès associés aux différents rôles dans votre organisme. Cela permet une gestion simplifiée des accès, de l’installation de logiciels et des mises à jour sur l’ensemble du réseau. Sous Windows il existe le service Active Directory et sous Mac il y a Open Directory. Ces systèmes facilitent les changements de postes et de personnel sans risque de perte de données lors des transitions.
texte clair
Un texte clair est un texte qui est lisible par toutes et tous, en contraste avec un texte chiffré (ou ciphertexte) qui est un texte clair qu’on a transformé – à l’aide d’un algorithme de chiffrement – en une série incompréhensible de caractères. Par exemple, cette définition est un texte clair.
Quand on dit que l’information qui transite sur un réseau ou qui est stockée sur un serveur est en « texte clair », cela signifie qu’elle est facilement accessible par des tierces parties.
tls (transport layer security)
Le TLS est un protocole cryptographique qui sécurise la connexion Internet et la protection des données sensibles entre deux systèmes (utilisateur.trice et serveur par exemple). SSL est un protocole standard et TLS est la version plus sécurisée. Les données sont chiffrées et donc protégées contre une personne malveillante qui voudrait les récolter ou les corrompre.
vpn/rpv
Un Réseau Privé Virtuel est un logiciel qui permet de créer une connexion sécurisée entre un appareil (votre cellulaire par exemple) et un serveur (un site Internet par exemple). C’est comme si un tunnel opaque était créé entre ces deux entités pour empêcher que des intrus.es qui observent un réseau puissent intercepter les données qui y transitent.
wi-fi (wireless fidelity)
Le Wi-Fi est une technologie de réseautage sans fil qui permet la connexion de plusieurs appareils entre eux et à Internet sans l’utilisation de câbles ou de fils. Par le fait que nos données transitent à travers les ondes Wi-Fi, elles se trouvent plus susceptibles d’être interceptées. Il faut donc s’assurer que la connexion soit sécurisée par une phrase de passe et/ou par un RVP.
réseau social
Un réseau social est une plateforme en ligne qui favorise la création et le partage de contenu au sein d’une communauté d’utilisateur.trice.s. Les réseaux sociaux les plus connus sont Facebook, Instagram, LinkedIn, Tik Tok, Twitter et Snapchat. Les enjeux de cybersécurité liés aux réseaux sociaux résident d’abord dans la complexité des paramètres de confidentialité ainsi dans le fait que ces plateformes nous incitent à partager publiquement des informations personnelles ou sensibles. Ces publications se font parfois à votre insu. Avez-vous une photo sur les réseaux sociaux qui pourrait indiquer le lieu où vous habitez? Faites-vous des publications lorsque vous êtes en vacances qui pourraient indiquer que votre maison n’est pas occupée?