Knowledge Hub
Glossaire cybersécurité, ISO 27001 & GRC
Les définitions de référence dont vous avez besoin pour rédiger vos politiques et préparer vos audits — en clair, sans jargon inutile.
- Acceptable Use Policy(AUP)Politiques
- Politique définissant comment les collaborateurs peuvent utiliser les systèmes, équipements, réseaux et données de l’entreprise, et ce qui est interdit. C’est l’un des documents les plus demandés en audit et à l’embauche.
- Voir un modèle PDF associé →
- Access Control PolicyPolitiquesISO 27001
- Politique régissant la création, l’authentification, l’autorisation, la revue et la révocation des identités, appliquant généralement le moindre privilège et le contrôle d’accès basé sur les rôles.
- Voir un modèle PDF associé →
- Business Continuity Plan(BCP)PolitiquesGRC
- Plan garantissant que les fonctions métier critiques peuvent se poursuivre ou être rapidement rétablies pendant et après une interruption. Il s’appuie sur des objectifs de reprise (RPO/RTO) et se teste régulièrement.
- Voir un modèle PDF associé →
- BYODPolitiques
- Bring Your Own Device — usage d’équipements personnels à des fins professionnelles. Une politique BYOD fixe les conditions de sécurité (chiffrement, MFA, effacement à distance, cloisonnement des données) sous lesquelles c’est autorisé.
- Voir un modèle PDF associé →
- CIS ControlsGRC
- Ensemble priorisé de 18 mesures publié par le Center for Internet Security pour contrer les attaques les plus courantes. Les groupes d’implémentation (IG1–IG3) adaptent les mesures à la taille et au risque de l’organisation.
- Data ClassificationPolitiques
- Pratique consistant à étiqueter l’information selon sa sensibilité (ex. public, interne, confidentiel, restreint) afin d’appliquer de manière cohérente les règles de manipulation, stockage, partage et conservation.
- Voir un modèle PDF associé →
- Data Processing Agreement(DPA)RéglementationGRC
- Contrat exigé par l’article 28 du RGPD entre un responsable de traitement et un sous-traitant, fixant la portée, la durée, les mesures de sécurité et les obligations encadrant le traitement des données personnelles.
- DORARéglementation
- Digital Operational Resilience Act — règlement européen harmonisant la gestion du risque informatique, la notification d’incidents, les tests de résilience et la supervision des tiers pour le secteur financier.
- GRCGRC
- Gouvernance, Risques et Conformité — discipline consistant à aligner la gouvernance de la sécurité, la gestion des risques et la conformité réglementaire pour qu’elles se renforcent plutôt que se dupliquer.
- Incident Response PolicyPolitiques
- Politique et procédure définissant comment les incidents de sécurité sont détectés, triés, confinés, éradiqués, puis comment on rétablit et tire les leçons — incluant rôles, escalades et délais de notification de violation.
- Voir un modèle PDF associé →
- Information security policyPolitiquesISO 27001
- Document de plus haut niveau, approuvé par la direction, qui formalise l’engagement de l’organisation à protéger l’information et donne la direction à toutes les politiques subordonnées. Exigée par ISO 27001 (article 5.2).
- ISMS(SMSI)ISO 27001GRC
- Système de Management de la Sécurité de l’Information — l’ensemble des politiques, processus, rôles et mesures qu’une organisation utilise pour gérer le risque de sécurité de manière systématique et auditable. La norme ISO/IEC 27001 définit les exigences d’un SMSI.
- ISO/IEC 27001ISO 27001Réglementation
- Norme internationale qui spécifie les exigences pour établir, exploiter et améliorer en continu un SMSI. La certification est délivrée par un organisme accrédité après un audit en deux étapes. La révision 2022 aligne les mesures sur ISO/IEC 27002:2022.
- ISO/IEC 27002ISO 27001
- Norme d’accompagnement décrivant les 93 mesures de sécurité référencées par l’Annexe A d’ISO 27001, organisées en quatre thèmes : organisationnelles, humaines, physiques et technologiques.
- ISO/IEC 27701ISO 27001Réglementation
- Extension d’ISO 27001/27002 dédiée à la gestion de la vie privée (PIMS). Elle aide à gérer les données personnelles et à démontrer une redevabilité alignée sur le RGPD.
- Least PrivilegePolitiquesGRC
- Principe selon lequel tout utilisateur, processus ou système ne reçoit que l’accès minimal nécessaire à sa fonction, réduisant l’impact d’identifiants compromis.
- Multi-Factor Authentication(MFA)Politiques
- Méthode d’authentification exigeant au moins deux facteurs indépendants (ce que l’on sait, possède ou est). C’est l’une des mesures les plus efficaces contre la prise de contrôle de compte.
- NIS2Réglementation
- Directive européenne (2022/2555) élargissant les obligations de cybersécurité à davantage de secteurs, avec des mesures de gestion du risque, de notification d’incidents et de responsabilité de la direction renforcées.
- NIST CSFGRC
- Cadre de cybersécurité du NIST — référentiel volontaire fondé sur le risque, structuré autour de fonctions (Gouverner, Identifier, Protéger, Détecter, Répondre, Rétablir) pour évaluer et améliorer la posture de sécurité.
- Risk assessmentGRCISO 27001
- Processus d’identification des actifs, menaces et vulnérabilités, puis d’estimation de la vraisemblance et de l’impact des risques afin de les prioriser. ISO 27001 exige une méthode d’appréciation des risques documentée et reproductible.
- Risk treatmentGRCISO 27001
- Décision sur la manière de traiter chaque risque identifié — réduire, accepter, transférer ou éviter — consignée dans un plan de traitement. Les mesures retenues alimentent la Déclaration d’Applicabilité.
- RPO / RTOGRC
- Recovery Point Objective et Recovery Time Objective — le RPO est la perte de données maximale acceptable exprimée en temps ; le RTO est la durée maximale acceptable pour rétablir un service après un incident.
- SOC 2GRCRéglementation
- Rapport d’attestation (AICPA) évaluant les contrôles d’un prestataire selon cinq critères : sécurité, disponibilité, intégrité de traitement, confidentialité et vie privée. Le Type I évalue la conception à un instant T ; le Type II l’efficacité opérationnelle sur une période.
- Statement of Applicability(SoA / DdA)ISO 27001
- Document obligatoire d’ISO 27001 (Déclaration d’Applicabilité) listant chaque mesure de l’Annexe A, son applicabilité, la justification et son état de mise en œuvre. C’est la carte centrale qu’utilisent les auditeurs.
De la définition au document, en 5 minutes
PolicyForge transforme ces concepts en politiques prêtes pour audit, alignées sur ISO 27001, SOC 2, RGPD, NIS2 et DORA.