confidentialité [wikipedia objectif sécurité système information]

confidentialité [wikipédia « objectif de sécurité des systèmes d’information« ] :

Le système d’information représente un patrimoine essentiel de l’organisation, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu »

La sécurité des systèmes d’information vise les objectifs suivants (C.A.I.D.) :

  1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
  2. Authenticité : les utilisateurs doivent prouver leur identité par l’usage de code d’accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l’utilisateur n’est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l’authenticité de l’identifiant. Cela permet de gérer les droits d’accès aux ressources concernées et maintenir la confiance dans les relations d’échange.
  3. Intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
  4. Disponibilité : l’accès aux ressources du système d’information doit être permanent et sans faille durant les plages d’utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

Partagez sur

Il est difficile, pour les juristes comme pour les professionnel(le)s du numérique et de la sécurité des systèmes d’information de s’y retrouver dans le maquis des définitions légales, en vigueur ou à venir. Le dictionnaire LEGAL que nous vous proposons inclut les définitions des projets de Règlement et de Directive UE (très nombreuses mais pas toujours pertinentes…) et certaines définitions propres au droit français. Lorsque nos lois sont muettes, nous vous proposerons des définitions issues de notre pratique contractuelle.

Tapez un mot clé, un numéro de Directive/Règlement UE ou cherchez par ordre alphabétique : vous devriez trouver une définition légale.

Et à partir d’une définition, cliquez sur le lien qui vous est proposé pour accéder au texte légal qui vous intéresse.

A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
Generic selectors
Exact matches only
Cherchez dans le titre
Cherchez dans le contenu
Post Type Selectors

service de coffre-fort numérique [Loi République Numérique n°2016-1321 du 7 octobre 2016] :

un service de coffre-fort numérique est un service qui a pour objet :

1) La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;

2) La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ;

3) L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136 ;

4) De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

5) De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret.

Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE.

Ce service de coffre-fort numérique peut bénéficier d’une certification établie selon un cahier des charges proposé par l’autorité nationale de la sécurité des systèmes d’information après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre chargé du numérique.

Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l’Etat sont définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés.

Partagez sur

Algorithme de chiffrement par flot [Guide de sélection d’algorithmes cryptographiques – ANSSI – 8 mars 2021] :

un algorithme de chiffrement par flot (synchrone) permet de chiffrer un message clair de taille arbitraire en générant une suite chiffrante de même taille à partir d’une clé de taille k bits et d’un vecteur d’initialisation de taille n bits, puis en combinant message clair et suite chiffrante par une opération de XOR. Le résultat constitue le chiffré. Les suites chiffrantes produites par un algorithme de chiffrement par flot à l’état de l’art sont indiscernables de sorties d’une source d’aléa idéale, et ce même lorsque l’adversaire dispose de la liberté de choisir les vecteurs d’initialisation.

Partagez sur

données de validation [PROJET de Règlement IA du 21 avril 2021] :

les données utilisées pour fournir une évaluation du système d’IA entraîné et pour régler ses paramètres non entraînables et son processus d’apprentissage, notamment, afin d’éviter tout surajustement; le jeu de données de validation pouvant être un jeu de données distinct ou faire partie du jeu de données d’apprentissage, selon une division variable ou fixe.

Partagez sur

communication de prospection directe [PROJET Règlement e-Privacy v1 du 10 janvier 2017] :

toute forme de publicité, tant écrite qu’orale, envoyée à un ou plusieurs utilisateurs finaux, identifiés ou identifiables, de services de communications électroniques, y compris au moyen de systèmes de communication et d’appel automatisés, avec ou sans intervention humaine, par courrier électronique, par SMS, etc.

Partagez sur

sécurité des réseaux et des systèmes d’information [PROJET de Directive NIS2 du 16 décembre 2020 (Network Information Security)] :

la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles.

Partagez sur