Glossaire

Guide de référence des concepts, protocoles, technologies et autre jargon pouvant être utilisé sur notre site ou dans notre domaine

Guide de référence des concepts, protocoles et technologies clés en cybersécurité, en lien avec la gestion des mots de passe, les accès à privilèges et la posture de sécurité des entreprises.

AES-256

AES-256 (Advanced Encryption Standard, 256 bits) est un algorithme de chiffrement symétrique utilisé dans le monde entier pour protéger les données classifiées et sensibles. Il est considéré comme inviolable avec les technologies de calcul actuelles. AES-256 est le standard de chiffrement utilisé par les gouvernements, les institutions financières et les organisations soucieuses de la sécurité pour chiffrer les données au repos et en transit. Heimlane Vault utilise AES-256-CBC avec HMAC-SHA256 pour chiffrer l’ensemble du contenu du coffre-fort côté client, avant toute transmission au serveur.

Agences nationales de cybersécurité

Les agences nationales de cybersécurité sont les organismes publics qui publient des standards de sécurité, émettent des alertes, certifient des produits et coordonnent la réponse à incident à l’échelle d’un pays ou d’une région. Leurs recommandations façonnent les exigences des marchés publics, les cadres réglementaires et le niveau de sécurité attendu dans leur juridiction. Les principales agences que vous rencontrerez dans le domaine :

  • ACN (Agenzia per la Cybersicurezza Nazionale, Italie) est l’autorité nationale italienne de cybersécurité, créée en 2021. Elle coordonne la réponse à incident via CSIRT Italia et maintient le cadre du Perimetro di Sicurezza Nazionale Cibernetica pour les infrastructures critiques.
  • ACSC (Australian Cyber Security Centre, Australie) publie les Essential Eight, l’un des rares cadres gouvernementaux à classer explicitement les contrôles de sécurité par priorité et niveau de maturité. Largement cité au niveau international comme point de départ pour le durcissement.
  • ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, France) est l’agence nationale française de cybersécurité. Elle publie le Référentiel Général de Sécurité, les schémas de certification CSPN et SecNumCloud, et constitue la référence incontournable pour les marchés publics français et les entreprises soumises à la réglementation française et européenne.
  • BSI (Bundesamt für Sicherheit in der Informationstechnik, Allemagne) publie le cadre IT-Grundschutz et certifie les produits via le schéma national allemand.
  • CCN-CERT (Centro Criptológico Nacional, Espagne) est le centre cryptologique national espagnol. Il publie l’ENS (Esquema Nacional de Seguridad), le cadre de sécurité obligatoire pour le secteur public espagnol.
  • CISA (Cybersecurity and Infrastructure Security Agency, États-Unis) est l’autorité fédérale américaine en charge de la cyberdéfense et de la protection des infrastructures critiques. Son catalogue des vulnérabilités exploitées (KEV) fait autorité.
  • ENISA (Agence de l’Union européenne pour la cybersécurité) est l’organisme à l’échelle de l’UE qui accompagne les États membres en matière de politique, de renforcement des capacités et d’application des directives telles que NIS2.
  • NCSC (National Cyber Security Centre, Royaume-Uni) est l’autorité britannique en matière de menaces cyber et de bonnes pratiques. Son schéma Cyber Essentials est une certification de base largement adoptée.
  • NIST (National Institute of Standards and Technology, États-Unis) publie la série SP 800 et le NIST Cybersecurity Framework (CSF), parmi les standards de sécurité les plus référencés au niveau mondial.

Ces agences convergent souvent sur les mêmes principes (moindre privilège, défense en profondeur, traçabilité, MFA), si bien que se conformer à l’une d’entre elles satisfait généralement la plupart des autres. La conception des produits Heimlane s’appuie sur les recommandations de plusieurs agences plutôt que sur une seule juridiction.

Argon2id

Argon2id est une fonction de dérivation de clé (KDF) moderne, conçue pour résister aux attaques par force brute en exigeant une quantité significative de mémoire et de temps de calcul. Vainqueur du Password Hashing Competition en 2015, il est recommandé par l’OWASP pour le hachage de mots de passe. Contrairement aux algorithmes plus anciens comme PBKDF2, Argon2id résiste aux attaques basées sur GPU et ASIC grâce à sa conception exigeante en mémoire. Heimlane Vault prend en charge Argon2id comme KDF recommandé pour dériver les clés maîtres à partir des mots de passe utilisateurs.

Bastion

Un bastion (aussi appelé bastion d’administration ou serveur de rebond) est un point d’entrée sécurisé qui sert de passerelle unique et contrôlée pour les administrateurs et les prestataires externes accédant aux serveurs et applications d’une organisation. Toutes les connexions à privilèges passent par le bastion, qui authentifie les utilisateurs, applique les politiques d’accès, enregistre les sessions et fournit une piste d’audit complète. En France, le terme “bastion” est largement utilisé comme synonyme des solutions de PAM (Privileged Access Management). Heimlane Realm fonctionne comme un bastion, offrant un accès navigateur aux cibles RDP, SSH et VNC avec enregistrement complet des sessions et injection d’identifiants.

Chiffrement de bout en bout

Le chiffrement de bout en bout (E2EE, End-to-End Encryption) signifie que les données sont chiffrées sur l’appareil de l’expéditeur et ne peuvent être déchiffrées que sur l’appareil du destinataire. Aucun intermédiaire, y compris le fournisseur du service, ne peut accéder au contenu en clair. C’est le fondement des architectures zéro-connaissance, où le fournisseur n’a jamais accès aux données des clients, même en cas de compromission de ses serveurs.

Coffre-fort de mots de passe

Un coffre-fort de mots de passe est un espace numérique chiffré qui stocke les mots de passe, identifiants, notes, cartes de paiement et autres données sensibles. Un coffre-fort de mots de passe entreprise ajoute des fonctionnalités telles que le partage en équipe, les contrôles d’accès, les zones organisationnelles et les pistes d’audit. Contrairement aux solutions grand public, un coffre-fort professionnel s’intègre aux outils de gestion des accès à privilèges pour permettre l’injection d’identifiants dans les sessions distantes, sans exposer les mots de passe aux utilisateurs.

Comptes à privilèges

Les comptes à privilèges sont les comptes disposant de droits élevés sur un système d’information : administrateurs système, administrateurs de bases de données, comptes de service, comptes root. Ces comptes sont les cibles prioritaires des attaquants, car leur compromission donne un accès direct aux ressources les plus sensibles de l’organisation. La gestion des comptes à privilèges (PAM) vise à contrôler, surveiller et auditer l’utilisation de ces comptes pour réduire la surface d’attaque.

CSPN

La CSPN (Certification de Sécurité de Premier Niveau) est une certification de sécurité française délivrée par l’ANSSI. Elle valide qu’un produit répond à un ensemble défini d’exigences de sécurité, vérifié par un laboratoire d’évaluation accrédité. La CSPN est plus légère et plus rapide à obtenir qu’une certification Critères Communs (CC) et est largement reconnue dans les marchés publics français et les secteurs réglementés.

Cyber-assurance

La cyber-assurance est un contrat d’assurance couvrant les pertes financières et les responsabilités liées à un incident de cybersécurité (ransomware, vol de données, interruption d’activité). Les assureurs exigent de plus en plus la mise en place de contrôles de sécurité vérifiables, tels que la gestion des accès à privilèges, l’enregistrement des sessions, l’authentification forte et les politiques de mots de passe, avant d’accorder une couverture ou de réduire les primes.

Enregistrement de sessions

L’enregistrement de sessions consiste à capturer et stocker tout ce qui se passe pendant une session d’accès à privilèges (RDP, SSH, VNC ou web). Les enregistrements peuvent inclure la vidéo de l’écran, les frappes clavier, l’historique des commandes et les métadonnées telles que les horodatages et l’identité de l’utilisateur. L’enregistrement des sessions fournit une piste d’audit vérifiable pour la conformité, l’investigation post-incident et la surveillance en temps réel des actions d’administration. Heimlane Realm enregistre toutes les sessions à privilèges avec détection d’événements par OCR pour des pistes d’audit consultables.

Injection d’identifiants

L’injection d’identifiants est le processus d’insertion automatique des identifiants stockés (nom d’utilisateur, mot de passe) dans une session de connexion, sans les révéler à l’utilisateur. L’utilisateur se connecte à un système cible via une solution PAM, et celle-ci récupère les identifiants dans le coffre-fort de mots de passe pour les injecter de manière transparente. Cela élimine les mots de passe partagés, empêche le vol d’identifiants par keylogger, et crée une piste d’audit complète de qui a accédé à quoi, quand, et avec quel compte. Heimlane Realm récupère les identifiants depuis Vault et les injecte dans les sessions RDP, SSH, VNC et web.

MFA / 2FA

L’authentification multifacteur (MFA) et l’authentification à deux facteurs (2FA) exigent que les utilisateurs prouvent leur identité en utilisant au moins deux facteurs indépendants : quelque chose qu’ils connaissent (mot de passe), quelque chose qu’ils possèdent (téléphone, clé de sécurité) ou quelque chose qu’ils sont (biométrie). La MFA réduit considérablement le risque de compromission de compte par vol d’identifiants. L’OWASP et l’ANSSI recommandent toutes deux la MFA pour tous les accès à privilèges et les accès sensibles.

Moindre privilège

Le principe du moindre privilège dicte que les utilisateurs, comptes et processus ne doivent disposer que des permissions minimales nécessaires à l’exécution de leurs tâches. Appliquer le moindre privilège réduit la surface d’attaque en limitant ce qu’un compte compromis peut atteindre. Dans le contexte du PAM, le moindre privilège signifie accorder aux administrateurs l’accès uniquement aux serveurs et applications spécifiques dont ils ont besoin, pour la durée nécessaire, sans permissions permanentes.

MSP / MSSP

Un MSP (Managed Service Provider, fournisseur de services managés) est une entreprise qui gère à distance l’infrastructure informatique d’un client : serveurs, réseaux, postes de travail et sécurité. Un MSSP (Managed Security Service Provider) se spécialise dans les opérations de sécurité. Les MSP et MSSP ont besoin d’outils nativement multi-tenants, leur permettant de gérer plusieurs clients depuis une plateforme unique tout en maintenant une isolation stricte des données entre les tenants.

NIS2

NIS2 (Network and Information Security Directive 2) est la directive européenne qui élargit les obligations de cybersécurité à un plus grand nombre d’organisations, y compris les entreprises de taille intermédiaire dans les secteurs essentiels et importants. NIS2 exige des mesures telles que le contrôle d’accès, la déclaration d’incidents, la gestion des risques, la sécurité de la chaîne d’approvisionnement et la responsabilité au niveau de la direction. L’article 21 traite spécifiquement du contrôle d’accès et de la gestion des accès à privilèges comme mesures de sécurité requises.

PAM

Le PAM (Privileged Access Management, gestion des accès à privilèges) est la discipline qui consiste à contrôler, surveiller et auditer les accès aux systèmes critiques par les utilisateurs disposant de permissions élevées (administrateurs, prestataires externes, comptes de service). Une solution PAM comprend typiquement un bastion ou une passerelle, un coffre-fort de mots de passe, l’enregistrement des sessions, des politiques d’accès et l’injection d’identifiants. Le PAM adresse le risque que les comptes à privilèges, s’ils sont compromis, donnent aux attaquants un accès direct aux systèmes les plus sensibles de l’organisation.

PBKDF2

PBKDF2 (Password-Based Key Derivation Function 2) est une fonction de dérivation de clé qui applique une fonction pseudo-aléatoire (typiquement HMAC-SHA256) à un mot de passe accompagné d’un sel, répétée sur un grand nombre d’itérations, pour produire une clé dérivée. Le nombre élevé d’itérations (600 000 est la recommandation actuelle de l’OWASP) rend les attaques par force brute coûteuses en calcul. PBKDF2 est largement supporté sur toutes les plateformes et reste le KDF par défaut des clients compatibles Bitwarden.

RBAC

Le RBAC (Role-Based Access Control, contrôle d’accès basé sur les rôles) est une méthode de contrôle d’accès où les permissions sont attribuées à des rôles plutôt qu’à des utilisateurs individuels. Les utilisateurs sont ensuite affectés à des rôles en fonction de leur poste. Le RBAC simplifie la gestion des accès, réduit la charge administrative et facilite l’application du moindre privilège dans l’organisation. Lorsqu’un collaborateur change de fonction, ses accès évoluent avec son affectation de rôle, sans nécessiter de modifications individuelles.

RGPD

Le RGPD (Règlement Général sur la Protection des Données, ou GDPR en anglais) est le règlement européen encadrant la collecte, le traitement et le stockage des données personnelles. Il impose aux organisations de mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, incluant le chiffrement, les contrôles d’accès et la capacité à démontrer la conformité. Le RGPD s’applique à toute organisation traitant des données de résidents de l’UE, quel que soit le lieu d’établissement de l’organisation.

RSA-2048

RSA-2048 est un algorithme de chiffrement asymétrique utilisant une paire de clés (publique et privée) pour chiffrer et déchiffrer les données. La longueur de clé de 2048 bits est considérée comme sûre pour les usages actuels et est recommandée par l’ANSSI et le NIST. En gestion de mots de passe, RSA est typiquement utilisé pour le partage chiffré de données entre utilisateurs : l’expéditeur chiffre avec la clé publique du destinataire, et seule la clé privée du destinataire peut déchiffrer. Heimlane Vault utilise RSA-2048 pour le partage zéro-connaissance en équipe au sein des organisations.

Sécurisation des accès

La sécurisation des accès désigne l’ensemble des mesures techniques et organisationnelles visant à protéger l’accès aux ressources d’un système d’information. Cela inclut l’authentification forte, le contrôle d’accès basé sur les rôles (RBAC), le principe du moindre privilège, l’enregistrement des sessions, et la gestion des accès à privilèges (PAM). Une sécurisation efficace des accès protège contre les accès non autorisés, les compromissions de comptes et les mouvements latéraux au sein du réseau.

Souveraineté numérique

La souveraineté numérique désigne la capacité d’une organisation ou d’un État à contrôler son infrastructure numérique, ses données et ses choix technologiques, sans dépendance vis-à-vis de fournisseurs ou de juridictions étrangères. En cybersécurité, la souveraineté numérique implique l’hébergement des données au sein de l’UE, l’utilisation de solutions développées en Europe, et la garantie qu’aucun gouvernement étranger ne puisse contraindre l’accès aux données des clients via des lois extraterritoriales telles que le CLOUD Act américain.

SSO

Le SSO (Single Sign-On, authentification unique) permet aux utilisateurs de s’authentifier une seule fois pour accéder à plusieurs applications, sans ressaisir leurs identifiants. Le SSO améliore l’expérience utilisateur et réduit la fatigue liée aux mots de passe, mais il concentre aussi le risque : si le fournisseur SSO est compromis, toutes les applications connectées sont exposées. Le SSO est généralement implémenté via des protocoles tels que SAML 2.0 ou OpenID Connect.

TLS 1.3

TLS 1.3 (Transport Layer Security, version 1.3) est la version la plus récente du protocole sécurisant les communications sur Internet. Par rapport à TLS 1.2, il supprime les suites de chiffrement obsolètes, réduit la négociation à un seul aller-retour (améliorant les performances) et impose le Perfect Forward Secrecy (PFS), ce qui signifie que même si la clé privée du serveur est compromise dans le futur, les sessions passées ne peuvent pas être déchiffrées.

Zéro-connaissance

L’architecture zéro-connaissance (zero knowledge en anglais) signifie que le fournisseur du service n’a aucune capacité d’accéder, de lire ou de récupérer les données des clients. Tout le chiffrement et le déchiffrement s’effectuent sur l’appareil de l’utilisateur (côté client), et le fournisseur ne stocke que du texte chiffré. Même en cas de compromission des serveurs du fournisseur, l’attaquant n’obtient que des données chiffrées, impossibles à déchiffrer sans le mot de passe maître de l’utilisateur. Le fournisseur ne peut pas réinitialiser les mots de passe ni récupérer les coffres-forts, car il ne détient jamais les clés de déchiffrement.

Zero trust

Le zero trust est un modèle de sécurité fondé sur le principe “ne jamais faire confiance, toujours vérifier.” Au lieu de supposer que les utilisateurs ou les appareils à l’intérieur du périmètre réseau sont de confiance, le zero trust exige une vérification continue de l’identité, de l’état de l’appareil et du contexte pour chaque demande d’accès. Les architectures zero trust combinent typiquement une authentification forte, la micro-segmentation, l’accès au moindre privilège et la surveillance continue. Le ZTNA (Zero Trust Network Access) implémente ce modèle pour l’accès distant aux applications et aux ressources.

ZTNA

Le ZTNA (Zero Trust Network Access) remplace les VPN traditionnels en fournissant un accès au niveau applicatif, basé sur l’identité et le contexte, plutôt qu’un accès au niveau réseau. Contrairement à un VPN, qui donne un accès large à l’ensemble d’un réseau, le ZTNA n’accorde l’accès qu’aux applications spécifiques que l’utilisateur est autorisé à utiliser. Le ZTNA fournit la couche de connectivité, tandis que le PAM fournit la couche de gouvernance : qui a accédé à quoi, quand, avec quels identifiants, et ce qu’il a fait pendant la session.