Le glossaire de la
cybersécurité offensive.
La cybersécurité adore ses sigles, et ils finissent par masquer des idées simples. EASM, PTaaS, SBOM, EPSS : derrière chacun se cache un concept qu’on peut expliquer en trois paragraphes, à condition de le faire en français et sans détour marketing.
C’est l’objet de ce glossaire : une définition exacte et concrète pour chaque terme, écrite par des pentesters, avec les renvois qu’il faut vers nos guides détaillés quand un paragraphe ne suffit plus.
A
B
C
CVE (Common Vulnerabilities and Exposures)
Une CVE est l’identifiant public unique d’une vulnérabilité logicielle connue, par exemple CVE-2021-44228 pour Log4Shell. Le référentiel est piloté par le MITRE.
CVSS (Common Vulnerability Scoring System)
Le CVSS note la sévérité technique d’une vulnérabilité de 0 à 10 selon des métriques standardisées : vecteur d’attaque, privilèges requis, impact sur les données.
Cyber Resilience Act (CRA)
Le Cyber Resilience Act impose la cybersécurité aux produits numériques vendus dans l’UE : sécurité dès la conception, SBOM, correctifs gratuits, marquage CE.
D
DAST (Dynamic Application Security Testing)
Le DAST teste une application en cours d’exécution, de l’extérieur, en lui envoyant des requêtes malveillantes pour détecter injections, XSS et défauts de configuration.
DORA (Digital Operational Resilience Act)
DORA est le règlement européen sur la résilience opérationnelle numérique du secteur financier, applicable depuis janvier 2025 : gestion des risques TIC, tests, TLPT.
E
EASM (External Attack Surface Management)
L’EASM désigne la découverte et la surveillance continues de tout ce qu’une organisation expose sur Internet, vu depuis la position d’un attaquant externe.
EPSS (Exploit Prediction Scoring System)
L’EPSS estime la probabilité qu’une vulnérabilité soit exploitée dans les 30 prochains jours. Il complète le CVSS pour prioriser les correctifs par le risque réel.
F
K
N
O
P
Pentest (test d’intrusion)
Un pentest, ou test d’intrusion, est une attaque simulée et encadrée contre un système, menée pour découvrir des vulnérabilités exploitables avant les attaquants.
PTaaS (Pentest as a Service)
Le PTaaS livre le test d’intrusion via une plateforme : déclenchement à la demande, résultats au fil de l’eau et retest intégré, plutôt qu’un rapport PDF annuel.
R
S
SAST (Static Application Security Testing)
Le SAST analyse le code source sans l’exécuter pour repérer les vulnérabilités au plus tôt : injections, secrets codés en dur, flux de données dangereux.
SBOM (Software Bill of Materials)
La SBOM est l’inventaire formel de tous les composants d’un logiciel, dépendances comprises. Le Cyber Resilience Act en fait une exigence réglementaire.
SCA (Software Composition Analysis)
La SCA inventorie les dépendances open source d’une application et les confronte aux vulnérabilités connues et aux risques de chaîne d’approvisionnement.
Scanner de vulnérabilités
Un scanner de vulnérabilités confronte automatiquement vos systèmes à une base de failles connues, CVE et défauts de configuration, et produit une liste priorisée.
Shadow IT
Le shadow IT désigne les systèmes, services cloud et applications déployés sans validation de la DSI. Absent de l’inventaire officiel, il échappe aux correctifs.
Subdomain takeover
Le subdomain takeover consiste à revendiquer un service cloud désaffecté vers lequel pointe encore un DNS, pour publier du contenu sous le domaine de la victime.
Surface d’attaque
La surface d’attaque regroupe tous les points d’entrée qu’un attaquant peut viser : services exposés, applications, API, comptes, dépendances et facteur humain.
T
TLPT (Threat-Led Penetration Testing)
Le TLPT est un test d’intrusion piloté par le renseignement sur la menace, imposé par DORA aux entités financières majeures : une red team encadrée par le régulateur.
Typosquatting
Le typosquatting enregistre des variantes fautives d’un nom légitime, domaine ou paquet logiciel, pour piéger ses victimes par hameçonnage ou code malveillant.