Glossaire
Termes cybersécurité
Les définitions essentielles pour comprendre la sécurité de votre application web. Un vocabulaire clair, destiné aux dirigeants et CTO de PME.
2FA/MFA (Authentification Multi-Facteurs)
Méthode d'authentification exigeant au moins deux preuves d'identité distinctes : quelque chose que l'on sait (mot de passe), que l'on possède (téléphone) ou que l'on est (biométrie). Le MFA réduit drastiquement le risque de compromission de compte, même en cas de fuite de mot de passe.
AES (Advanced Encryption Standard)
Algorithme de chiffrement symétrique adopté comme standard par le NIST, utilisé mondialement pour protéger les données sensibles. AES opère avec des clés de 128, 192 ou 256 bits et est considéré comme sûr contre toutes les attaques connues. Il est utilisé dans TLS, le chiffrement de disque, et la protection des bases de données.
Agent IA
Système autonome utilisant un LLM pour prendre des décisions, appeler des outils et exécuter des tâches sans intervention humaine directe. Les agents IA introduisent des risques spécifiques : exécution de code non contrôlée, accès excessif aux données et manipulation via prompt injection. Leur surface d'attaque est proportionnelle au nombre d'outils auxquels ils ont accès.
ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information)
Autorité nationale française en matière de cybersécurité, rattachée au SGDSN. L'ANSSI publie des guides de bonnes pratiques, qualifie des prestataires de sécurité et coordonne la réponse aux incidents majeurs en France. Ses recommandations (guide d'hygiène informatique, SecNumCloud) font référence pour les PME françaises souhaitant structurer leur sécurité.
API (Application Programming Interface)
Interface permettant à deux systèmes logiciels de communiquer entre eux. Les API REST et GraphQL sont les cibles principales des audits de sécurité web car elles exposent directement les données et la logique métier. Une API mal sécurisée est souvent le vecteur d'attaque le plus critique.
APT (Advanced Persistent Threat)
Cyberattaque sophistiquée et prolongée, généralement menée par un groupe étatique ou parrainé par un État, visant une cible spécifique. Les APT combinent ingénierie sociale, exploitation de zero-days et mouvement latéral pour maintenir un accès persistant au réseau de la victime. Les groupes APT28 (Russie) et Lazarus (Corée du Nord) comptent parmi les plus actifs.
Attaque de chaîne d'approvisionnement
Attaque qui cible les dépendances logicielles, les outils de build ou les processus CI/CD pour compromettre une application en amont de sa distribution. Les attaques de supply chain (SolarWinds, xz-utils, event-stream) touchent des milliers d'organisations simultanément. La vérification des dépendances et la signature du code sont les principales défenses.
Attaque par désérialisation
Attaque exploitant le processus de conversion de données sérialisées en objets pour exécuter du code malveillant. La désérialisation non sécurisée peut mener à une exécution de code à distance, une élévation de privilèges ou un déni de service. Elle figure dans le Top 10 OWASP et touche particulièrement Java, PHP et Python.
Audit de sécurité logiciel de paie
Audit ciblé sur les flux, rôles, documents et APIs d'un produit de paie. Il sert à vérifier que les fiches de paie, exports, données de rémunération et accès administratifs sont suffisamment protégés et correctement séparés entre clients et utilisateurs.
Audit de sécurité SIRH
Revue de sécurité ciblée sur un logiciel RH ou un SIRH afin de vérifier les accès, rôles, exports, documents, APIs, webhooks et séparations entre tenants. L'objectif est de repérer les chemins d'exposition réels avant un incident, un audit client ou une demande de conformité.
Audit passif
Méthodologie d'audit de sécurité en lecture seule, sans aucune modification ni perturbation du système cible. L'revue externe analyse la configuration, les en-têtes, les endpoints exposés et le code accessible publiquement. C'est l'approche principale de CleanIssue : zéro disruption, résultats en 48h.
BOLA (Broken Object Level Authorization)
Faille n°1 du Top 10 OWASP API Security, qui correspond à un contrôle d'accès insuffisant au niveau des objets. BOLA est la version API de l'IDOR : l'attaquant manipule les identifiants d'objets dans les requêtes API pour accéder aux données d'autres utilisateurs. Elle est systématiquement recherchée lors des audits d'API.
Clickjacking (détournement de clic)
Attaque qui incite un utilisateur à cliquer sur un élément invisible ou déguisé dans une page web, déclenchant une action non souhaitée. Le clickjacking utilise des iframes transparentes superposées pour tromper l'utilisateur. La protection repose sur les en-têtes X-Frame-Options et la directive frame-ancestors de la CSP.
Cloisonnement SIRH
Principe de séparation stricte entre entreprises, établissements, équipes RH, managers et salariés dans un SIRH. Un cloisonnement insuffisant peut permettre à un client, un manager ou un collaborateur d'accéder à des données qui ne lui appartiennent pas.
CNIL (Commission Nationale de l'Informatique et des Libertés)
Autorité française de protection des données personnelles, chargée de veiller au respect du RGPD en France. La CNIL peut mener des contrôles, prononcer des mises en demeure et infliger des amendes. En 2023, elle a prononcé plus de 40 millions d'euros de sanctions.
Container Escape (évasion de conteneur)
Attaque qui permet de sortir de l'environnement isolé d'un conteneur pour accéder au système hôte sous-jacent. L'évasion de conteneur exploite des vulnérabilités du runtime (runc, containerd) ou des mauvaises configurations (mode privileged, capabilities excessives). Elle est particulièrement critique en environnement multi-tenant cloud.
CORS (Cross-Origin Resource Sharing)
Mécanisme de sécurité du navigateur qui contrôle quels domaines peuvent accéder aux ressources d'une API. Une configuration CORS trop permissive (Access-Control-Allow-Origin: *) sur des endpoints authentifiés peut exposer des données sensibles. La vérification de la politique CORS fait partie de tout audit de sécurité applicative.
CSP (Content Security Policy)
En-tête HTTP de sécurité qui définit les sources autorisées pour le chargement de scripts, styles, images et autres ressources dans une page web. La CSP est la défense principale contre les attaques XSS car elle empêche l'exécution de scripts non approuvés. Une CSP mal configurée (unsafe-inline, wildcards) offre peu de protection réelle.
CSRF (Cross-Site Request Forgery)
Attaque qui force un utilisateur authentifié à exécuter une action non désirée sur une application web. Le CSRF exploite la confiance qu'un site accorde au navigateur de l'utilisateur. Les protections incluent les tokens anti-CSRF et l'attribut SameSite des cookies.
CVE (Common Vulnerabilities and Exposures)
Identifiant unique attribué à chaque vulnérabilité de sécurité connue publiquement (ex: CVE-2024-XXXXX). Les CVE permettent aux équipes de sécurité de référencer et suivre les failles de manière non ambiguë. La base CVE est maintenue par le MITRE.
CVSS (Common Vulnerability Scoring System)
Système standardisé de notation de la sévérité des vulnérabilités, de 0 à 10. Le score CVSS prend en compte la complexité d'exploitation, l'impact sur la confidentialité, l'intégrité et la disponibilité. Il est utilisé dans tous les rapports d'audit professionnels.
CWE (Common Weakness Enumeration)
Catalogue communautaire des types de faiblesses logicielles et matérielles. Chaque CWE décrit un pattern de vulnérabilité (ex: CWE-79 pour le XSS, CWE-89 pour l'injection SQL). Il permet de classifier et comparer les failles de manière standardisée.
DAST (Dynamic Application Security Testing)
Méthode de test de sécurité qui analyse une application en cours d'exécution en simulant des attaques depuis l'extérieur. Le DAST détecte les vulnérabilités exploitables en conditions réelles : erreurs de configuration, en-têtes manquants, injections. Il complète le SAST en trouvant les failles visibles uniquement au runtime.
Data Poisoning (empoisonnement de données)
Attaque qui consiste à corrompre les données d'entraînement ou d'indexation d'un modèle d'IA pour altérer son comportement. Le data poisoning peut biaiser les réponses d'un LLM, contourner ses garde-fous ou introduire des portes dérobées. Cette menace est particulièrement pertinente pour les systèmes RAG et les modèles fine-tunés sur des données d'entreprise.
Défense en profondeur
Stratégie de sécurité qui superpose plusieurs couches de contrôles indépendantes pour protéger un système. La défense en profondeur combine WAF, CSP, validation d'entrées, chiffrement et monitoring pour qu'une seule faille ne suffise pas à compromettre l'ensemble. C'est un principe fondamental recommandé par l'ANSSI et le NIST.
Dependency Confusion (confusion de dépendances)
Attaque de supply chain qui exploite la résolution de noms de paquets pour substituer une dépendance interne par un paquet malveillant publié sur un registre public. La confusion de dépendances a touché Apple, Microsoft et PayPal en 2021 via npm, PyPI et RubyGems. La protection passe par le scoping des paquets, les registres privés et la vérification des sources.
DevSecOps
Approche qui intègre la sécurité dans chaque étape du cycle de développement logiciel, de la conception au déploiement. Le DevSecOps automatise les tests de sécurité (SAST, DAST, SCA) dans les pipelines CI/CD pour détecter les vulnérabilités au plus tôt. Cette approche réduit le coût de remédiation et accélère la mise en production sécurisée.
Données collaborateurs
Ensemble des données personnelles traitées par un logiciel RH : identité, contrat, salaire, justificatifs, évaluations, absences, coordonnées bancaires ou données disciplinaires. Leur exposition crée un risque direct de conformité, de réputation et de confiance client.
DORA (Digital Operational Resilience Act)
Règlement européen sur la résilience opérationnelle numérique du secteur financier, applicable dès janvier 2025. DORA impose aux entités financières de tester leur résistance aux cyberattaques, gérer les risques tiers et signaler les incidents majeurs. Il concerne banques, assureurs et prestataires IT critiques.
Fonction de hachage
Fonction mathématique qui transforme une donnée de taille quelconque en une empreinte de taille fixe, de manière irréversible. Les fonctions de hachage (SHA-256, bcrypt, Argon2) sont utilisées pour le stockage de mots de passe, la vérification d'intégrité et les signatures. MD5 et SHA-1 sont considérés comme obsolètes et ne doivent plus être utilisés pour des fonctions de sécurité.
Gestion des secrets
Ensemble de pratiques et d'outils pour stocker, distribuer et renouveler les informations sensibles (clés API, tokens, mots de passe) de manière sécurisée. La gestion des secrets évite d'exposer des credentials dans le code source, les variables d'environnement en clair ou les logs. Des outils comme HashiCorp Vault, AWS Secrets Manager ou Doppler sont utilisés à cet effet.
HDS (Hébergement de Données de Santé)
Certification obligatoire en France pour tout hébergeur traitant des données de santé à caractère personnel. La certification HDS garantit un niveau de sécurité renforcé : chiffrement, traçabilité, plan de continuité. Elle est délivrée par des organismes accrédités par le COFRAC.
HMAC (Hash-based Message Authentication Code)
Mécanisme cryptographique qui combine une fonction de hachage avec une clé secrète pour vérifier l'intégrité et l'authenticité d'un message. Le HMAC est utilisé pour signer les webhooks, valider les JWT et protéger les communications API. C'est le standard recommandé pour vérifier qu'une requête n'a pas été altérée en transit.
HSTS (HTTP Strict Transport Security)
En-tête HTTP qui force le navigateur à utiliser exclusivement HTTPS pour communiquer avec le serveur. HSTS protège contre les attaques de type downgrade et le stripping SSL en empêchant toute connexion HTTP non chiffrée. Il est recommandé d'inclure la directive preload pour une protection dès la première visite.
IAM (Gestion des identités et des accès)
Ensemble de processus et technologies pour gérer les identités numériques et contrôler qui accède à quelles ressources. L'IAM couvre l'authentification, l'autorisation, la gestion des rôles et le provisionnement des comptes. Une mauvaise configuration IAM (rôles trop permissifs, pas de MFA) est l'une des causes principales de compromission cloud.
IDOR (Insecure Direct Object Reference)
Vulnérabilité de contrôle d'accès où un utilisateur peut accéder à des ressources d'autres utilisateurs en modifiant un identifiant dans la requête (ID numérique, UUID). Les IDOR sont fréquentes dans les API REST et permettent de consulter, modifier ou supprimer les données d'autrui. C'est l'une des failles les plus trouvées lors des audits de PME.
Ingénierie sociale
Ensemble de techniques de manipulation psychologique visant à tromper des individus pour obtenir des informations confidentielles ou un accès non autorisé. L'ingénierie sociale inclut le phishing, le pretexting, le vishing et le tailgating. C'est le vecteur d'attaque initial dans plus de 80% des compromissions, selon le rapport Verizon DBIR.
Injection de commandes
Vulnérabilité qui permet d'exécuter des commandes système arbitraires sur le serveur via des entrées utilisateur non assainies. L'injection de commandes survient lorsque l'application transmet des données utilisateur directement à un shell système (exec, system, popen). Elle donne un accès complet au serveur et constitue une faille critique.
Injection LDAP
Attaque qui manipule les requêtes LDAP en injectant des caractères spéciaux dans les champs de saisie. L'injection LDAP peut permettre de contourner l'authentification, d'accéder à des informations d'annuaire ou de modifier des entrées. Elle touche les applications qui utilisent LDAP ou Active Directory pour la gestion des identités.
Injection SQL
Technique d'attaque consistant à injecter du code SQL malveillant dans les requêtes d'une application. L'injection SQL peut permettre de lire, modifier ou supprimer des données, voire de prendre le contrôle du serveur. C'est la vulnérabilité n°1 historique du classement OWASP.
Injection XPath
Attaque qui injecte des expressions XPath malveillantes dans les requêtes de navigation XML. L'injection XPath peut permettre de contourner l'authentification ou d'extraire des données sensibles depuis des documents XML. Elle est analogue à l'injection SQL mais cible les bases de données XML et les fichiers de configuration.
ISO 27001
Norme internationale qui définit les exigences pour un système de management de la sécurité de l'information (SMSI). La certification ISO 27001 démontre qu'une organisation gère ses risques de sécurité de manière structurée et continue. Elle est de plus en plus demandée par les clients grands comptes et dans les appels d'offres, y compris pour les PME.
Jailbreak (contournement de garde-fous IA)
Technique visant à contourner les restrictions et les garde-fous d'un LLM pour lui faire produire du contenu interdit ou dangereux. Les jailbreaks exploitent des failles dans l'alignement du modèle via des prompts soigneusement construits. Pour les entreprises, un jailbreak réussi sur un chatbot peut exposer des données internes ou produire des réponses préjudiciables.
JWT (JSON Web Token)
Standard ouvert pour la transmission sécurisée d'informations entre deux parties sous forme de jeton JSON signé. Les JWT sont largement utilisés pour l'authentification et l'autorisation dans les API et les SPA. Les erreurs courantes incluent l'absence de vérification de signature, l'algorithme none et les secrets faibles.
LFI (Local File Inclusion)
Vulnérabilité qui permet à un attaquant de lire ou d'inclure des fichiers locaux du serveur via la manipulation de paramètres. Le LFI peut exposer le code source, les fichiers de configuration contenant des secrets, ou les logs systèmes. Combiné avec d'autres failles, il peut mener à une exécution de code à distance.
LLM (Large Language Model)
Modèle d'intelligence artificielle entraîné sur de vastes corpus de texte, capable de comprendre et générer du langage naturel. Les LLM (GPT, Claude, Mistral) sont de plus en plus intégrés dans les applications d'entreprise, créant de nouvelles surfaces d'attaque. Leur sécurisation nécessite une attention particulière aux injections de prompt, aux fuites de données et aux hallucinations.
Mass Assignment (affectation en masse)
Vulnérabilité qui permet à un attaquant de modifier des champs d'un objet qui ne devraient pas être accessibles, en ajoutant des paramètres non prévus dans la requête. Le mass assignment peut permettre l'élévation de privilèges (ajout d'un rôle admin) ou la modification de données sensibles. Fréquente dans les frameworks comme Laravel, Rails et Django.
MCP (Model Context Protocol)
Protocole standardisé permettant aux LLM de se connecter à des outils, API et bases de données externes de manière structurée. Le MCP élargit les capacités des agents IA mais crée de nouvelles surfaces d'attaque : accès non autorisé aux données, exécution de commandes et exfiltration. L'audit de sécurité des configurations MCP est devenu essentiel en 2026.
MFA Fatigue (fatigue MFA)
Technique d'attaque qui bombarde un utilisateur de notifications MFA push jusqu'à ce qu'il en accepte une par lassitude ou erreur. La fatigue MFA a été utilisée dans les compromissions d'Uber et de Cisco en 2022. Les contre-mesures incluent le number matching, la limitation du nombre de tentatives et les clés FIDO2.
NIS2 (Network and Information Security Directive)
Directive européenne renforçant les obligations de cybersécurité pour les entités essentielles et importantes. NIS2 élargit le périmètre de NIS1 à de nouveaux secteurs (santé, énergie, transports, numérique) et impose des mesures de gestion des risques et de notification d'incidents.
NTLM Relay
Attaque réseau qui intercepte et retransmet les authentifications NTLM pour usurper l'identité d'un utilisateur sur un autre service. Le NTLM relay exploite la faiblesse du protocole d'authentification NTLM de Microsoft, encore largement utilisé en environnement Active Directory. Cette technique est couramment employée lors des tests d'intrusion internes.
Open Redirect (redirection ouverte)
Vulnérabilité qui permet à un attaquant de rediriger un utilisateur vers un site malveillant via un paramètre d'URL non validé. Les redirections ouvertes sont exploitées dans les campagnes de phishing car l'URL de départ semble légitime. Elles peuvent aussi servir de tremplin pour contourner des filtres SSRF.
OWASP (Open Web Application Security Project)
Organisation à but non lucratif qui produit des référentiels de sécurité applicative reconnus mondialement. Le Top 10 OWASP est la liste de référence des vulnérabilités web les plus critiques. CleanIssue structure ses audits autour de cette méthodologie.
Pass-the-Hash
Technique d'attaque qui utilise le hash du mot de passe d'un utilisateur (sans le connaître en clair) pour s'authentifier sur d'autres services. Le pass-the-hash est possible lorsque les systèmes acceptent le hash NTLM comme preuve d'authentification. Cette technique est un vecteur majeur de mouvement latéral dans les réseaux d'entreprise Windows.
Path Traversal (traversée de répertoire)
Attaque qui exploite une validation insuffisante des chemins de fichiers pour accéder à des fichiers en dehors du répertoire autorisé. Le path traversal utilise des séquences comme ../ pour remonter dans l'arborescence du serveur. Il peut exposer des fichiers de configuration, des clés privées ou le code source de l'application.
PCI-DSS (Payment Card Industry Data Security Standard)
Standard de sécurité pour toute entreprise traitant des données de cartes bancaires. PCI-DSS impose 12 exigences couvrant le réseau, le chiffrement, le contrôle d'accès et la surveillance. La non-conformité expose à des amendes et à la perte du droit de traiter les paiements.
Pentest (Test d'intrusion)
Simulation d'attaque autorisée visant à identifier les vulnérabilités exploitables d'un système. Contrairement à un revue externe, le pentest implique des tentatives actives d'exploitation. Il nécessite une autorisation écrite préalable et un périmètre défini.
Politique RLS Supabase
Règle de Row Level Security définie dans PostgreSQL/Supabase pour limiter quelles lignes peuvent être lues ou modifiées. Dans un SaaS RH, une politique RLS incomplète peut exposer des données d'autres clients, d'autres équipes ou d'autres salariés sans que le front-end le rende visible.
Principe du moindre privilège
Principe de sécurité qui consiste à n'accorder à chaque utilisateur, processus ou système que les permissions strictement nécessaires à son fonctionnement. Le moindre privilège réduit la surface d'attaque et limite l'impact d'une compromission. Son application rigoureuse est essentielle pour les politiques RLS, les rôles IAM et les permissions d'API.
Prompt Injection (injection de prompt)
Attaque qui manipule un modèle de langage (LLM) en injectant des instructions malveillantes dans les données qu'il traite. L'injection de prompt peut forcer un chatbot à ignorer ses consignes, divulguer des données confidentielles ou exécuter des actions non autorisées. C'est la faille n°1 du Top 10 OWASP LLM Security.
Prototype Pollution
Vulnérabilité spécifique à JavaScript qui permet de modifier le prototype d'objets globaux, affectant le comportement de toute l'application. La pollution de prototype peut mener à des contournements d'authentification, des injections XSS ou des exécutions de code. Elle est fréquente dans les applications Node.js utilisant des fonctions de merge profond non sécurisées.
Questionnaire sécurité client
Liste de questions envoyée par un prospect ou client avant signature pour vérifier la sécurité d'un prestataire SaaS. Dans les logiciels RH, ces questionnaires portent souvent sur la séparation des données, l'authentification, les journaux, les sauvegardes, les sous-traitants et les tests de sécurité.
Race Condition (condition de concurrence)
Vulnérabilité qui survient lorsque le résultat d'une opération dépend de l'ordre d'exécution de processus concurrents. Les race conditions permettent de contourner les limites de solde, dupliquer des transactions ou bypasser des vérifications d'autorisation. Elles sont particulièrement critiques dans les systèmes de paiement et les API fintech.
RAG (Retrieval-Augmented Generation)
Architecture qui enrichit les réponses d'un LLM en y intégrant des données extraites d'une base de connaissances externe. Le RAG est utilisé pour créer des chatbots d'entreprise capables de répondre sur des documents internes. Les risques incluent l'injection de prompt indirecte via les documents indexés et la fuite de données confidentielles.
Ransomware (rançongiciel)
Logiciel malveillant qui chiffre les données d'une victime et exige une rançon pour les déchiffrer. Les ransomwares modernes pratiquent la double extorsion : chiffrement des données et menace de publication. Les PME sont des cibles privilégiées car elles disposent rarement de sauvegardes hors ligne et de plans de réponse aux incidents.
Rate Limiting (limitation de débit)
Mécanisme de défense qui limite le nombre de requêtes qu'un utilisateur ou une adresse IP peut envoyer dans un intervalle donné. Le rate limiting protège contre le brute force, le credential stuffing et les abus d'API. Son absence est une des failles les plus courantes dans les API de PME, souvent exploitée pour l'énumération de comptes.
RCE (Exécution de code à distance)
Vulnérabilité permettant à un attaquant d'exécuter du code arbitraire sur un serveur distant sans accès physique. Le RCE est considéré comme l'une des failles les plus critiques car il donne un contrôle total sur le système cible. Des CVE récentes dans Log4j, Laravel et Confluence illustrent l'ampleur de ce risque.
RFI (Remote File Inclusion)
Vulnérabilité qui permet d'inclure un fichier hébergé sur un serveur distant dans l'exécution d'une application. Le RFI permet directement l'exécution de code à distance en injectant un script malveillant. Cette faille est principalement présente dans les applications PHP mal configurées.
RGPD / GDPR (Règlement Général sur la Protection des Données)
Règlement européen encadrant la collecte et le traitement des données personnelles, en vigueur depuis mai 2018. Le RGPD impose des obligations strictes aux entreprises : consentement, droit d'accès, notification de violation sous 72h. Les sanctions peuvent atteindre 4% du CA mondial.
RGPD Article 32 (Sécurité du traitement)
Article du RGPD qui impose aux responsables de traitement de mettre en place des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles. L'article 32 cite le chiffrement, la pseudonymisation, la résilience des systèmes et les tests réguliers comme mesures attendues. C'est la base juridique invoquée par la CNIL lors de sanctions pour défaut de sécurité.
RLS (Row Level Security)
Mécanisme de contrôle d'accès au niveau des lignes d'une base de données. Le RLS permet de restreindre les données visibles par chaque utilisateur, directement au niveau de la base. C'est une brique essentielle pour les applications utilisant Supabase ou PostgreSQL.
RSA (Rivest-Shamir-Adleman)
Algorithme de chiffrement asymétrique fondé sur la difficulté de factoriser de grands nombres premiers. RSA est utilisé pour l'échange de clés, les signatures numériques et les certificats TLS. Les clés RSA de 2048 bits minimum sont requises pour une sécurité adéquate en 2026.
Sandboxing (bac à sable)
Technique d'isolation qui exécute un programme ou un processus dans un environnement restreint pour limiter les dégâts en cas de compromission. Le sandboxing est utilisé dans les navigateurs, les conteneurs Docker et les fonctions serverless pour confiner le code potentiellement dangereux. Il constitue une couche essentielle de défense en profondeur.
SAST (Static Application Security Testing)
Méthode de test de sécurité qui analyse le code source ou compilé sans exécuter l'application. Le SAST détecte les vulnérabilités comme les injections, les XSS et les fuites de secrets directement dans le code. Il s'intègre dans les pipelines CI/CD et est complémentaire du DAST qui teste l'application en cours d'exécution.
Sécurité Kubernetes
Ensemble des pratiques de sécurisation des clusters Kubernetes : politiques réseau, RBAC, Pod Security Standards, scan d'images et runtime monitoring. Kubernetes introduit une surface d'attaque complexe avec ses API, ses secrets, ses service accounts et ses communications inter-pods. Des erreurs de configuration courantes (RBAC trop permissif, secrets en clair) exposent les données de production.
Sécurité recrutement
Ensemble des mesures de sécurité appliquées à un logiciel de recrutement ou ATS : protection des CV, pièces jointes, notes internes, accès recruteurs, portails candidats et intégrations tierces. C'est un sujet sensible car les données candidats circulent souvent entre plusieurs équipes et prestataires.
SOC 2 (System and Organization Controls)
Cadre d'audit développé par l'AICPA qui évalue les contrôles de sécurité, disponibilité, intégrité et confidentialité d'un prestataire de services. Le rapport SOC 2 Type II est souvent exigé par les clients américains ou les entreprises SaaS pour prouver la maturité de leur posture de sécurité. Il est complémentaire d'ISO 27001 sur le marché international.
SSRF (Server-Side Request Forgery)
Attaque qui pousse le serveur à exécuter des requêtes vers d'autres systèmes internes ou externes depuis sa propre position réseau. Les SSRF permettent souvent d'accéder à des métadonnées cloud (AWS IMDS), des services internes non exposés, ou des bases de données. Fréquente dans les fonctionnalités qui acceptent une URL fournie par l'utilisateur (webhook, preview d'image, export).
SSTI (Server-Side Template Injection)
Vulnérabilité qui permet d'injecter du code dans les moteurs de templates côté serveur (Jinja2, Twig, Blade). Le SSTI survient lorsque des données utilisateur sont insérées directement dans un template sans assainissement. Elle peut mener à la lecture de fichiers, l'exécution de commandes système et la compromission complète du serveur.
TLS (Transport Layer Security)
Protocole cryptographique qui sécurise les communications sur internet en chiffrant les données échangées entre un client et un serveur. TLS (successeur de SSL) protège contre l'interception, la modification et l'usurpation des données en transit. La version TLS 1.3, recommandée depuis 2018, offre de meilleures performances et une sécurité renforcée.
Validation des entrées
Processus de vérification et d'assainissement de toutes les données fournies par l'utilisateur avant leur traitement par l'application. La validation des entrées est la première ligne de défense contre les injections SQL, XSS, command injection et autres attaques par injection. Elle doit être appliquée côté serveur, la validation côté client étant facilement contournable.
Vibe Coding (programmation assistée par IA)
Pratique de développement où le code est généré quasi-intégralement par un LLM (Cursor, Lovable, Bolt) avec peu de supervision humaine. Le vibe coding produit des applications fonctionnelles mais souvent truffées de vulnérabilités : RLS absentes, secrets en dur, validation côté client uniquement. Les études montrent que 62% des applications vibe-codées contiennent des failles critiques.
WAF (Web Application Firewall)
Pare-feu applicatif qui filtre et surveille le trafic HTTP entre internet et une application web. Le WAF protège contre les attaques courantes (XSS, injection SQL, CSRF) en analysant les requêtes en temps réel. Il ne remplace pas la correction des vulnérabilités dans le code.
Webhook
Mécanisme de callback HTTP permettant à une application d'envoyer des notifications en temps réel à une autre. Les webhooks doivent être sécurisés par signature HMAC pour garantir l'authenticité des requêtes. Un webhook non vérifié peut être exploité pour injecter des données frauduleuses.
XSS (Cross-Site Scripting)
Attaque par injection de scripts malveillants dans une page web vue par d'autres utilisateurs. Le XSS permet de voler des sessions, rediriger des utilisateurs ou modifier le contenu affiché. C'est l'une des vulnérabilités les plus fréquentes du Top 10 OWASP.
XXE (XML External Entity)
Vulnérabilité qui exploite le traitement de documents XML pour lire des fichiers locaux, effectuer des requêtes réseau ou provoquer un déni de service. L'injection XXE survient lorsqu'un parseur XML accepte les entités externes sans restriction. Elle est particulièrement dangereuse dans les API SOAP et les fonctions d'import de fichiers.
Zero Trust (confiance zéro)
Modèle de sécurité qui part du principe qu'aucun utilisateur, appareil ou réseau ne doit être considéré comme fiable par défaut. Le zero trust impose une vérification systématique de l'identité et du contexte pour chaque accès, même depuis le réseau interne. Ce modèle remplace progressivement l'approche périmétrique traditionnelle dans les architectures modernes.
Besoin d'une revue externe de votre SaaS RH ?
Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.
Parler de votre audit