tiers prestataire de services informatique [PROJET de Règlement DORA du 24 septembre 2020 pour le secteur financier (Digital Operational Resilience Act)] :

une entreprise qui fournit des services numériques et de données, y compris les fournisseurs de services d’informatique en nuage, de logiciels, de services d’analyse de données, de centres de données, mais à l’exclusion des fournisseurs de composants matériels et des entreprises agréées en vertu du droit de l’Union qui fournissent des services de communications électroniques au sens de l’article 2, point 4), de la directive UE « CCEE3 n° 2018/1972 du 12 décembre 2018 « Code des Communications Electroniques Européen ».

vulnérabilité [glossaire technique de l’ANSSI] :

Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser. Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système.

système d’exploitation [PROJET de Règlement DMA du 15 décembre 2020 (Digital Market Act)] :

un logiciel système qui contrôle les fonctions de base du matériel informatique ou du logiciel et permet d’y faire fonctionner des applications logicielles.

extorsion [article 312-1 du Code pénal] :

le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque.

L’extorsion est punie de sept ans d’emprisonnement et de 100 000 euros d’amende.

authenticité [wikipédia « objectif de sécurité des systèmes d’information« ] :

Le système d’information représente un patrimoine essentiel de l’organisation, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu »

La sécurité des systèmes d’information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l’usage de code d’accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l’utilisateur n’est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l’authenticité de l’identifiant. Cela permet de gérer les droits d’accès aux ressources concernées et maintenir la confiance dans les relations d’échange.
3. Intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l’accès aux ressources du système d’information doit être permanent et sans faille durant les plages d’utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.