Glossaire de la cybersécurité

20 termes essentiels de cybersécurité expliqués simplement. Découvrez le phishing, le smishing, l'ingénierie sociale et bien plus.

A B D F I M P Q R S U V W

A

Authentification à deux facteurs (2FA)

Une méthode de sécurité exigeant deux formes de vérification distinctes pour accéder à un compte : quelque chose que vous connaissez (mot de passe) et quelque chose que vous possédez (téléphone, clé de sécurité). La 2FA réduit fortement le risque de compromission lié au phishing.

Associés :Ingénierie sociale Phishing

Attaque zero-day

Une attaque qui exploite une faille logicielle jusqu'alors inconnue. On parle de « zero-day » car les développeurs ont eu zéro jour pour créer un correctif. Ces attaques sont particulièrement dangereuses car aucune défense n'existe encore.

Associés :Malware (logiciel malveillant)Renseignement sur les menaces

B

BEC (compromission d'email professionnel)

Une arnaque sophistiquée visant les entreprises qui effectuent des virements. Les criminels compromettent ou usurpent des comptes email professionnels pour demander des paiements frauduleux. La fraude BEC a causé plus de 50 milliards de dollars de pertes dans le monde.

Exemple

Un attaquant accède à l'email d'un fournisseur et envoie des factures avec des coordonnées bancaires modifiées à l'entreprise victime.

Associés :Whaling (fraude au dirigeant)Spear phishing Fraude au président

D

DMARC

Domain-based Message Authentication, Reporting, and Conformance : un protocole d'authentification des emails qui s'appuie sur SPF et DKIM pour lutter contre l'usurpation d'adresse. Il permet aux propriétaires de domaine de définir le traitement des emails non authentifiés.

Associés :SPF (Sender Policy Framework)DKIM Usurpation d'adresse email

DKIM

DomainKeys Identified Mail : une méthode d'authentification des emails qui permet à l'expéditeur de signer numériquement ses messages. Le serveur destinataire peut vérifier la signature pour s'assurer que l'email n'a pas été altéré en transit.

Associés :DMARC SPF (Sender Policy Framework)Usurpation d'adresse email

F

Fraude au président

Un type de fraude BEC où les attaquants usurpent l'identité du PDG ou d'un autre cadre dirigeant pour inciter des employés à transférer de l'argent ou à partager des données sensibles.

Exemple

Un email du « PDG » à un comptable : « J'ai besoin que vous traitiez ce paiement immédiatement. Restez confidentiel. »

Associés :BEC (compromission d'email professionnel)Whaling (fraude au dirigeant)Ingénierie sociale

I

IOC (indicateur de compromission)

Une preuve qu'une faille de sécurité s'est produite. Les IOC incluent les adresses IP malveillantes, noms de domaine, URL, empreintes de fichiers et adresses email utilisés dans les attaques. Des outils comme Luminir utilisent des bases d'IOC pour détecter les menaces connues.

Associés :Renseignement sur les menaces Malware (logiciel malveillant)

M

Malware (logiciel malveillant)

Un logiciel malveillant conçu pour endommager, perturber ou accéder sans autorisation à un système informatique. Il en existe plusieurs types : virus, rançongiciels, chevaux de Troie, logiciels espions et vers. Les emails de phishing sont un vecteur de diffusion privilégié.

Associés :Rançongiciel (ransomware)Cheval de TroiePhishing

P

Phishing

Une cyberattaque où des criminels usurpent l'identité d'organisations légitimes par email, SMS ou sites web afin de dérober des informations sensibles : mots de passe, numéros de carte bancaire ou données personnelles. Le phishing est la forme la plus courante d'attaque par ingénierie sociale.

Exemple

Un email se faisant passer pour votre banque vous demandant de « vérifier votre compte » en cliquant sur un lien menant à un faux site.

Associés :Spear phishing Smishing Vishing

Pretexting (prétexte)

Une technique d'ingénierie sociale où l'attaquant invente un scénario (un prétexte) pour engager la victime et lui soutirer des informations. L'attaquant se renseigne sur sa cible pour bâtir une histoire crédible.

Exemple

Quelqu'un appelle un employé en prétendant venir des RH et demande son numéro de sécurité sociale pour une « vérification de paie ».

Associés :Ingénierie sociale Vishing

Q

Quishing

Phishing par QR code : une technique de phishing où des URL malveillantes sont intégrées dans des QR codes. Une fois scanné, le QR code redirige les victimes vers de faux sites conçus pour voler leurs identifiants.

Exemple

Un faux autocollant sur un horodateur, avec un QR code menant à une page de paiement conçue pour voler vos informations bancaires.

Associés :Phishing Smishing

R

Rançongiciel (ransomware)

Un type de logiciel malveillant qui chiffre les fichiers de la victime et exige une rançon en échange de la clé de déchiffrement. Il est souvent diffusé par des emails de phishing contenant des pièces jointes ou des liens malveillants.

Exemple

Une pièce jointe qui, une fois ouverte, chiffre tous les fichiers de l'ordinateur et affiche une demande de rançon en Bitcoin.

Associés :Malware (logiciel malveillant)Phishing

Renseignement sur les menaces

Des informations sur les cybermenaces actuelles et potentielles, collectées et analysées pour aider les organisations à comprendre les risques et à prendre des décisions de sécurité éclairées. Elles incluent les méthodes d'attaque, les acteurs malveillants et les indicateurs de compromission.

Associés :IOC (indicateur de compromission)DMARC

S

Spear phishing

Une attaque de phishing ciblée visant une personne ou une organisation précise. Contrairement au phishing de masse, le spear phishing s'appuie sur des informations personnelles relatives à la cible pour rendre le message plus convaincant.

Exemple

Un email qui vous appelle par votre nom, mentionne votre entreprise et votre poste, et vous demande d'approuver une fausse facture.

Associés :Phishing Whaling (fraude au dirigeant)BEC (compromission d'email professionnel)

Smishing

Phishing par SMS : une forme de phishing qui utilise les messages texte (SMS) pour inciter les victimes à cliquer sur des liens malveillants ou à divulguer des informations personnelles. Le terme combine « SMS » et « phishing ».

Exemple

Un SMS prétendant venir d'un service de livraison : « Votre colis n'a pas pu être livré. Suivez-le ici : [lien malveillant] ».

Associés :Phishing Vishing Quishing

SPF (Sender Policy Framework)

Une méthode d'authentification des emails qui précise quels serveurs de messagerie sont autorisés à envoyer des emails au nom d'un domaine. SPF aide à prévenir l'usurpation d'adresse en permettant aux serveurs destinataires de vérifier l'expéditeur.

Associés :DMARC DKIM Usurpation d'adresse email

U

Usurpation d'adresse email

La création de messages email avec une adresse d'expéditeur falsifiée. L'usurpation est couramment utilisée dans les attaques de phishing pour faire croire que l'email provient de sources fiables (banques, employeurs, administrations).

Associés :Phishing DMARC SPF (Sender Policy Framework)DKIM

V

Vishing

Phishing vocal : une attaque par ingénierie sociale menée par appel téléphonique. Les attaquants se font passer pour des entités légitimes (banques, administrations, support technique) afin d'extorquer des informations sensibles.

Exemple

Un appel téléphonique de quelqu'un se faisant passer pour le service anti-fraude de votre banque et vous demandant de confirmer votre numéro de compte.

Associés :Phishing Smishing Ingénierie sociale

W

Whaling (fraude au dirigeant)

Une attaque de spear phishing visant spécifiquement les hauts dirigeants (PDG, directeur financier, etc.). Ces attaques sont très personnalisées et impliquent souvent de fausses demandes urgentes liées aux opérations de l'entreprise.

Exemple

Un email semblant provenir du PDG demandant au directeur financier de virer en urgence de l'argent vers un compte de « nouveau fournisseur ».

Associés :Spear phishing BEC (compromission d'email professionnel)Fraude au président

Protégez-vous de ces menaces

Transférez les emails suspects à verifier@luminir.io et obtenez une analyse instantanée par IA.