Glossaire cybersécurité
Les définitions essentielles pour comprendre le phishing, la sécurité email et la cybersécurité en entreprise.
B
BEC (Business Email Compromise)
Fraude par compromission de messagerie professionnelle. L'attaquant accède à un compte email légitime ou usurpe l'identité d'un dirigeant pour demander un virement, modifier un RIB fournisseur ou exfiltrer des données. Le BEC représente les pertes financières les plus élevées de toutes les formes de cybercriminalité selon le FBI.
BIMI (Brand Indicators for Message Identification)
Standard email qui affiche le logo vérifié de l'expéditeur dans la boîte de réception du destinataire. BIMI nécessite une politique DMARC stricte et un certificat VMC (Verified Mark Certificate). Il renforce la confiance des destinataires et réduit le risque qu'ils tombent dans un phishing usurpant votre marque.
C
Credential stuffing
Attaque automatisée consistant à tester massivement des couples identifiant/mot de passe volés lors de fuites de données sur d'autres services en ligne. L'attaque exploite le fait que de nombreux utilisateurs réutilisent les mêmes mots de passe sur plusieurs sites.
D
DKIM (DomainKeys Identified Mail)
Protocole qui ajoute une signature cryptographique aux emails sortants, permettant au serveur destinataire de vérifier que le message n'a pas été modifié en transit et qu'il provient bien du domaine annoncé. DKIM fonctionne en complément de SPF.
DMARC (Domain-based Message Authentication)
Protocole qui s'appuie sur SPF et DKIM pour indiquer aux serveurs destinataires comment traiter les emails qui échouent à l'authentification : les accepter, les mettre en quarantaine ou les rejeter. Une politique DMARC stricte (p=reject) est la meilleure protection contre l'usurpation de domaine.
I
M
Malware
Terme générique désignant tout logiciel malveillant : virus, vers, chevaux de Troie, ransomwares, spywares, keyloggers. Les malwares peuvent être distribués par email (pièce jointe piégée), par téléchargement involontaire (drive-by download) ou via des supports USB infectés.
MFA (Authentification multifacteur)
Méthode de sécurité exigeant deux ou plusieurs preuves d'identité pour accéder à un compte : quelque chose que l'utilisateur connaît (mot de passe), possède (téléphone, clé physique) ou est (biométrie). Le MFA bloque la majorité des tentatives de phishing même si le mot de passe est compromis.
N
NIS2 (Directive Network and Information Security)
Directive européenne de cybersécurité entrée en application en octobre 2024, élargissant les obligations de sécurité à un plus grand nombre d'entreprises et de secteurs. NIS2 impose des mesures de gestion des risques, de signalement d'incidents et de formation du personnel, avec des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires.
P
Phishing
Technique de fraude en ligne consistant à envoyer des emails, SMS ou messages trompeurs imitant une source de confiance (banque, fournisseur, collègue) pour inciter la victime à révéler des informations sensibles, cliquer sur un lien malveillant ou effectuer un virement. Le phishing est la première cause de cyberattaque en France : 91 % des incidents commencent par un email frauduleux.
Q
Quishing
Phishing par QR code (QR + phishing). L'attaquant remplace un QR code légitime par un code malveillant qui redirige vers un site de vol d'identifiants. En forte augmentation depuis 2024, le quishing contourne les filtres email classiques car le lien malveillant est encodé dans l'image du QR code.
R
Ransomware
Logiciel malveillant qui chiffre les fichiers d'un système et exige une rançon pour les déchiffrer. Les ransomwares se propagent souvent via des emails de phishing contenant une pièce jointe piégée. Le coût moyen d'une attaque ransomware pour une PME française dépasse 150 000 €, incluant la rançon, l'interruption d'activité et la restauration.
RGPD (Règlement général sur la protection des données)
Règlement européen encadrant le traitement des données personnelles. En cas de fuite de données consécutive à un phishing, le RGPD impose de notifier la CNIL dans les 72 heures et les personnes concernées. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
S
Spear phishing
Variante ciblée du phishing où l'attaquant personnalise son message en utilisant des informations spécifiques sur la victime (nom, poste, projets en cours) pour rendre l'attaque plus crédible. Contrairement au phishing de masse, le spear phishing vise une personne ou un groupe restreint, avec un taux de réussite nettement plus élevé.
Smishing
Phishing par SMS (SMS + phishing). L'attaquant envoie un message texte contenant un lien malveillant, souvent en se faisant passer pour La Poste, l'Assurance Maladie ou un service de livraison. Les SMS bénéficient d'un taux d'ouverture de 98 %, ce qui en fait un vecteur d'attaque redoutable.
SPF (Sender Policy Framework)
Protocole d'authentification email qui permet au propriétaire d'un domaine de spécifier quels serveurs sont autorisés à envoyer des emails en son nom. Un enregistrement SPF correctement configuré empêche l'usurpation de votre domaine dans les emails frauduleux.
SIEM (Security Information and Event Management)
Système centralisant la collecte, l'analyse et la corrélation des logs de sécurité de tous les équipements et applications d'une entreprise. Un SIEM permet de détecter rapidement les comportements anormaux, comme un compte compromis suite à un phishing qui tente d'accéder à des ressources inhabituelles.
V
Vishing
Phishing par téléphone (voice + phishing). L'attaquant appelle sa victime en se faisant passer pour une banque, un support technique ou un fournisseur. En 2026, les deepfakes vocaux rendent le vishing particulièrement dangereux : l'IA peut reproduire la voix d'un dirigeant en quelques secondes d'échantillon audio.
W
Whaling
Forme de spear phishing visant spécifiquement les dirigeants et cadres supérieurs d'une organisation. L'attaquant se fait passer pour un partenaire commercial, un avocat ou un autre dirigeant pour obtenir des virements importants ou des informations stratégiques. Les montants en jeu peuvent atteindre plusieurs centaines de milliers d'euros.
Z
Zero Trust
Modèle de sécurité qui ne fait confiance à aucun utilisateur ou appareil par défaut, même à l'intérieur du réseau de l'entreprise. Chaque accès est vérifié, authentifié et autorisé en continu. Le Zero Trust réduit l'impact d'un phishing réussi en limitant les accès latéraux dans le système d'information.
Approfondissez vos connaissances
Retrouvez nos articles et guides pour aller plus loin sur chaque sujet.
Ingénierie sociale
Ensemble de techniques de manipulation psychologique exploitant les biais cognitifs humains (urgence, autorité, réciprocité, rareté) pour pousser une personne à agir contre son intérêt : cliquer sur un lien, communiquer un mot de passe ou effectuer un virement. Le phishing est la forme la plus courante d'ingénierie sociale.