Glossaire de la sécurité de l'information

Ce glossaire répond aux questions les plus fréquentes sur la sécurité de l'information au Québec. Chaque définition commence par l'essentiel — le format le plus utile pour les moteurs de recherche et les assistants IA.

ISO 27001

L'ISO 27001 est la norme internationale de gestion de la sécurité de l'information. Elle définit les exigences pour établir, mettre en œuvre et maintenir un système de gestion de la sécurité de l'information (SGSI) certifiable par un auditeur externe.

En savoir plus : Service certification ISO 27001

Loi 25

La Loi 25 modernise la protection des renseignements personnels au Québec. Elle impose le consentement éclairé, la transparence, la sécurité des données, la notification d'incidents et la désignation d'un responsable de la protection des renseignements personnels (RPRP).

En savoir plus : Service conformité Loi 25

Pentest

Un pentest (test d'intrusion) est une simulation d'attaque autorisée visant à identifier et exploiter les vulnérabilités d'un système, réseau ou application avant qu'un attaquant malveillant ne le fasse.

En savoir plus : Service pentest

SGSI

Le système de gestion de la sécurité de l'information (SGSI) est le cadre documenté — politiques, processus, rôles et contrôles — qu'une organisation met en place pour gérer les risques liés à ses informations, conformément à l'ISO 27001.

En savoir plus : Certification ISO 27001

OWASP ASVS

L'OWASP Application Security Verification Standard (ASVS) est un référentiel de contrôles de sécurité pour applications web, classés en trois niveaux de rigueur. Il sert de base aux audits de sécurité applicative.

En savoir plus : Audit de sécurité web

SOC 2

Le SOC 2 (Service Organization Control 2) est un rapport d'audit américain basé sur les Trust Services Criteria (sécurité, disponibilité, intégrité, confidentialité, vie privée). Les fournisseurs de services infonuagiques l'utilisent pour rassurer leurs clients.

En savoir plus : Conformité & certification

PCI DSS

Le PCI DSS (Payment Card Industry Data Security Standard) est l'ensemble d'exigences de sécurité pour les organisations qui traitent, stockent ou transmettent des données de cartes de paiement.

En savoir plus : Conformité & certification

vCISO

Un vCISO (Chief Information Security Officer virtuel) offre une direction stratégique en sécurité de l'information à temps partiel, sans embauche à temps plein. Il pilote la gouvernance, la priorisation des risques et la planification des initiatives de sécurité.

En savoir plus : Accompagnement sur mesure

SIEM

Un SIEM (Security Information and Event Management) centralise et corrèle les journaux d'événements de sécurité provenant de multiples sources (serveurs, pare-feu, applications) pour détecter les incidents et faciliter l'investigation.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole email qui empêche l'usurpation de domaine en s'appuyant sur SPF et DKIM. Il réduit le phishing et améliore la délivrabilité des courriels.

RPRP

Le responsable de la protection des renseignements personnels (RPRP) est la personne désignée par une organisation pour veiller à la conformité à la Loi 25. Il agit comme point de contact pour les personnes concernées et la Commission d'accès à l'information.

En savoir plus : Conformité Loi 25

CVSS

Le CVSS (Common Vulnerability Scoring System) est un standard ouvert pour évaluer la gravité des vulnérabilités informatiques sur une échelle de 0 à 10. Les rapports de pentest utilisent souvent le CVSS pour prioriser les correctifs.

En savoir plus : Tests d'intrusion