Glossaire
Le monde de la cybersécurité est rempli d'acronymes — voici une définition claire des sigles que vous croiserez dans NIS2YOU et dans les exigences réglementaires.
Autorités et régulateurs — Belgique
- CCB
- Centre pour la Cybersécurité Belgique. Autorité belge compétente pour NIS2 — c'est à elle qu'on notifie les incidents cyber significatifs (24h / 72h / 1 mois).
- APD
- Autorité de Protection des Données (en néerlandais : GBA — Gegevensbeschermingsautoriteit). Régulateur belge du RGPD. À notifier sous 72h en cas de fuite de données personnelles.
- CERT.be
- Computer Emergency Response Team belge. Service du CCB qui aide les organisations victimes d'un incident cyber.
Autorités et régulateurs — France
- ANSSI
- Agence Nationale de la Sécurité des Systèmes d'Information. Autorité française compétente pour NIS2. La transposition française est en cours (projet de loi Résilience), pilotée via le portail MonEspaceNIS2. Reçoit les notifications d'incidents significatifs (24h / 72h / 1 mois).
- CNIL
- Commission Nationale de l'Informatique et des Libertés. Régulateur français du RGPD. À notifier sous 72h en cas de violation de données personnelles.
- CERT-FR
- Computer Emergency Response Team français, opéré par l'ANSSI. Diffuse les alertes et accompagne les victimes d'incidents.
- cybermalveillance.gouv.fr
- Plateforme d'assistance aux victimes (TPE/PME, particuliers, collectivités) — accompagnement et mise en relation avec des prestataires référencés.
Autorités et régulateurs — Luxembourg
- HCPN
- Haut-Commissariat à la Protection Nationale. Autorité nationale de cybersécurité du Luxembourg, pilote la stratégie nationale et la transposition NIS2.
- ILR
- Institut Luxembourgeois de Régulation. Autorité compétente pour NIS2 sur les services numériques et infrastructures critiques. Reçoit les notifications d'incidents significatifs.
- CNPD
- Commission Nationale pour la Protection des Données. Régulateur luxembourgeois du RGPD. À notifier sous 72h en cas de violation de données personnelles.
- CIRCL
- Computer Incident Response Center Luxembourg. CERT national pour le secteur privé non gouvernemental — assistance, alertes, MISP.
- GovCERT.lu
- CERT pour les administrations publiques et les opérateurs d'importance vitale luxembourgeois.
Autorités et régulateurs — Pays-Bas
- NCSC-NL
- Nationaal Cyber Security Centrum. Autorité néerlandaise centrale pour la cybersécurité, point de contact NIS2 pour les entités essentielles.
- CSIRT-DSP
- CSIRT pour Digital Service Providers. Reçoit les notifications NIS2 spécifiquement pour les fournisseurs de services numériques (cloud, marketplaces, moteurs de recherche).
- AP
- Autoriteit Persoonsgegevens. Régulateur néerlandais du RGPD. À notifier sous 72h en cas de violation de données personnelles (datalek).
- DTC
- Digital Trust Center. Programme du gouvernement néerlandais qui aide les PME en cybersécurité — alertes, guides, communauté.
Autorités européennes
- ENISA
- European Union Agency for Cybersecurity. Agence européenne qui produit guides, référentiels et coordonne les CERT nationaux.
- EDPB
- European Data Protection Board / Comité Européen de la Protection des Données. Coordonne les autorités RGPD nationales (APD, CNIL, CNPD, etc.).
Régulations et référentiels
- NIS2
- Network and Information Security Directive 2. Directive européenne (2022/2555) qui impose aux entreprises essentielles et importantes des obligations de cybersécurité — gestion des risques, notification d'incidents, gouvernance.
- RGPD / GDPR
- Règlement Général sur la Protection des Données (en anglais : General Data Protection Regulation). Règlement européen (2016/679) qui encadre le traitement des données personnelles.
- ISO 27001
- Norme internationale de référence pour le management de la sécurité de l'information (ISMS). Certifiable.
Rôles et fonctions
- DPO
- Data Protection Officer (en français : Délégué à la Protection des Données — DPD). Personne responsable de la conformité RGPD au sein de l'organisation. Obligatoire dans certains cas.
- CISO
- Chief Information Security Officer (en français : Responsable de la Sécurité des Systèmes d'Information — RSSI). Responsable de la stratégie sécurité.
Documents et procédures
- DPIA / AIPD
- Data Protection Impact Assessment (en français : Analyse d'Impact sur la Protection des Données). Analyse obligatoire pour les traitements de données personnelles à haut risque.
- DPA
- Data Processing Agreement (en français : contrat de sous-traitance RGPD). Accord encadrant le traitement de données personnelles par un sous-traitant. À ne pas confondre avec l'autorité (Data Protection Authority).
- IRP
- Incident Response Plan (en français : Plan de Réponse aux Incidents). Document décrivant qui fait quoi en cas d'incident.
- PCA
- Plan de Continuité d'Activité. Plan permettant de maintenir l'activité même en cas de sinistre majeur.
- PRA / DRP
- Plan de Reprise d'Activité (en anglais : Disaster Recovery Plan). Plan technique pour restaurer les systèmes après un incident majeur.
- BIA
- Business Impact Analysis. Analyse qui identifie les processus critiques et leurs dépendances pour préparer le PCA / PRA.
Technologies de sécurité
- MFA / 2FA
- Multi-Factor Authentication ou Two-Factor Authentication. Authentification renforcée combinant mot de passe + un second facteur (code TOTP, clé USB, biométrie).
- TOTP
- Time-based One-Time Password. Code à 6 chiffres qui change toutes les 30 secondes (Google Authenticator, Authy...).
- EDR
- Endpoint Detection & Response. Antivirus de nouvelle génération qui détecte les comportements suspects sur les postes (Defender, CrowdStrike, SentinelOne...).
- SIEM
- Security Information & Event Management. Système qui centralise les logs et détecte les patterns suspects (Splunk, Elastic, Wazuh, CrowdSec...).
- DLP
- Data Loss Prevention. Outils empêchant la fuite de données sensibles par e-mail, USB, cloud (M365 DLP, Symantec DLP...).
- VPN
- Virtual Private Network. Tunnel chiffré qui permet l'accès à distance au réseau interne.
- RBAC
- Role-Based Access Control. Modèle où on attribue des droits non pas individuellement mais via des rôles (Admin, Manager, User...).
- SSO
- Single Sign-On. Authentification unique : un seul login donne accès à plusieurs applications (Azure AD, Okta...).
Attaques et menaces
- DDoS
- Distributed Denial of Service. Attaque qui sature un service par un volume massif de requêtes pour le rendre indisponible.
- Phishing
- E-mail / SMS / appel frauduleux qui imite une source légitime pour soutirer credentials, virement, ou clic sur un lien malveillant.
- Vishing
- Phishing par téléphone (voice phishing). Souvent ciblant les CFO pour obtenir un virement urgent.
- Rançongiciel / Ransomware
- Logiciel malveillant qui chiffre vos données et demande une rançon pour les déchiffrer.
Termes NIS2YOU
- Tenant
- Une organisation cliente isolée. Chaque tenant a ses propres données, utilisateurs et configuration. Vos données ne sont jamais visibles par un autre tenant.
- Owner / Admin / Risk Manager / Contributor / Auditor
- Les 5 rôles dans NIS2YOU, du plus puissant (Owner) au lecteur (Auditor).
- P / I (heatmap)
- Probabilité / Impact. Les deux axes du scoring d'un risque, sur une échelle 1-5 chacun.