Lexique GRC

Glossaire des risques numériques

Les termes essentiels de la gouvernance, des risques et de la conformité — expliqués clairement pour les RSSI, DSI et Directions.

A B C D E G H I L K M N O P R S T V

ANSI (Algérie)

Agence Nationale de Sécurité Informatique. Autorité algérienne chargée de la cybersécurité opérationnelle. Les organisations sont tenues de lui déclarer les incidents graves en vertu de la loi 25/11.

ANPDP

Autorité Nationale de Protection des Données à caractère Personnel. Autorité algérienne qui contrôle la conformité à la loi 18-07. Les organisations doivent déclarer certains traitements et lui notifier les violations de données.

Actif numérique

Toute ressource ayant de la valeur pour l'organisation et nécessitant une protection : système, application, données, réseau, infrastructure.

Analyse d'impact (DPIA)

Étude permettant d'évaluer les risques qu'un traitement de données personnelles fait peser sur les droits et libertés des personnes. Obligatoire pour certains traitements selon la loi 18-07.

ANSSI Algérie

Agence Nationale de Sécurité des Systèmes d'Information. Autorité algérienne responsable de la sécurité des systèmes d'information.

Audit de sécurité

Évaluation formelle et systématique des mesures de sécurité d'une organisation, en comparaison avec un référentiel (RNSI, ISO 27001).

Auditabilité

Capacité d'un système à enregistrer, conserver et restituer l'historique complet des actions effectuées : qui a fait quoi, quand, sur quel actif. L'auditabilité est une exigence fondamentale du RNSI et de la loi 18-07 pour les traitements sensibles. Phylapp journalise chaque action utilisateur et chaque modification de risque pour garantir cette traçabilité.

Base légale

Fondement juridique qui autorise un traitement de données. La loi 18-07 en prévoit plusieurs : consentement, exécution d'un contrat, obligation légale, intérêt légitime.

Bilan de maturité GRC

Évaluation du niveau de maturité d'une organisation sur les dimensions Gouvernance, Risques et Conformité. Phylapp génère ce bilan automatiquement à l'issue d'un audit.

Cartographie des risques

Représentation visuelle des risques d'une organisation selon leur probabilité et leur impact. Outil central de la démarche GRC.

Conformité

État d'une organisation qui respecte les exigences réglementaires, légales et normatives applicables à son secteur.

Continuité d'activité (PCA)

Plan permettant à une organisation de poursuivre ses activités critiques en cas d'incident majeur.

Contrôle de sécurité

Mesure technique ou organisationnelle mise en place pour réduire un risque identifié. Les référentiels ISO 27001 et RNSI définissent des listes de contrôles.

Criticité

Niveau d'importance stratégique d'un actif ou d'un risque pour l'organisation, évalué selon son impact potentiel sur la continuité d'activité, la conformité réglementaire ou la réputation. Un actif est dit critique lorsque sa compromission aurait des conséquences majeures (indisponibilité d'un SI vital, fuite de données sensibles, sanction ANPDP). La criticité est l'un des paramètres centraux de priorisation dans Phylapp.

Cybersécurité

Ensemble des pratiques, technologies et processus conçus pour protéger les systèmes, réseaux et données contre les attaques numériques.

Déclaration d'applicabilité (SoA)

Document ISO 27001 listant tous les contrôles de l'Annexe A, indiquant ceux retenus ou exclus, avec justification.

Décret 26/07

Décret algérien de 2026 précisant les modalités d'application du RNSI pour les Opérateurs d'Importance Vitale : calendrier de mise en conformité, niveaux d'exigence par secteur, obligations de reporting auprès des autorités et sanctions applicables.

DPO (Data Protection Officer)

Délégué à la protection des données. Responsable de la conformité de l'organisation avec les obligations légales de protection des données (loi 18-07, 25/11).

DSI

Directeur des Systèmes d'Information. Responsable de l'infrastructure informatique et des applications au sein d'une organisation.

Écart de conformité

Différence entre l'état actuel d'une organisation et les exigences d'un référentiel (RNSI, ISO 27001). L'analyse des écarts est le point de départ de tout plan de traitement.

Évaluation de la maturité

Mesure du niveau de déploiement et d'efficacité des pratiques de sécurité d'une organisation, généralement sur une échelle de 0 (inexistant) à 5 (optimisé).

Exposition au risque

Niveau de risque global auquel est exposée une organisation, calculé en agrégeant les risques bruts pondérés par les mesures de sécurité en place.

Gouvernance

Ensemble des règles, processus et responsabilités définissant comment une organisation est dirigée et contrôlée, notamment en matière de risques SI.

GRC (Gouvernance, Risques, Conformité)

Approche intégrée combinant la gouvernance d'entreprise, la gestion des risques et la conformité réglementaire. Phylapp est une plateforme GRC.

Hébergement souverain

Hébergement de données sur des infrastructures localisées en Algérie, sous juridiction algérienne. Exigé pour certaines catégories de données par la loi 18-07 et le RNSI.

Habilitation

Autorisation formelle accordée à une personne pour accéder à des informations ou systèmes classifiés. Outil de contrôle d'accès dans la gestion des risques SI.

Impact

Conséquence d'un risque sur l'organisation si la menace se matérialise. Évalué sur une échelle (faible, modéré, élevé, critique) dans la matrice de risque.

ISO 27001

Norme internationale définissant les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). La version actuelle est ISO 27001:2022.

ISO 27005

Norme internationale fournissant des lignes directrices sur la gestion des risques de sécurité de l'information, en support de l'ISO 27001.

Loi 18-07

Loi algérienne du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel. Équivalent du RGPD pour l'Algérie. Complétée par la loi 25/11 et le décret 26/07.

Loi 25/11

Loi algérienne relative à la cybersécurité des systèmes d'information. Elle définit les obligations de protection des SI, les responsabilités des dirigeants, le signalement des incidents et les sanctions applicables aux organisations publiques et privées.

KPI (Key Performance Indicator)

Indicateur clé de performance. En GRC, les KPI mesurent l'efficacité des mesures de sécurité : taux de résolution des incidents, pourcentage de contrôles conformes, délai moyen de traitement.

KRI (Key Risk Indicator)

Indicateur clé de risque. Signal d'alerte qui prévient qu'un risque est sur le point de se matérialiser ou que le niveau d'exposition dépasse un seuil acceptable.

Matrice de risque

Outil de représentation des risques sur deux axes : vraisemblance (probabilité) et impact. Permet de prioriser les risques à traiter.

Menace

Événement potentiel, interne ou externe, pouvant causer un préjudice à une organisation (attaque ransomware, erreur humaine, panne, inondation).

Mesure de traitement

Action mise en place pour réduire, transférer, accepter ou éviter un risque identifié.

NIS2 (Network and Information Security 2)

Directive européenne sur la cybersécurité des réseaux et systèmes d'information. Concerne les organisations algériennes opérant sur le marché européen ou ayant des filiales en Europe.

Norme

Document de référence établissant des règles, des lignes directrices ou des caractéristiques pour des activités. En sécurité : ISO 27001, ISO 27005, IEC 62443. À distinguer du référentiel réglementaire (RNSI) qui est obligatoire.

Notification d'incident

Obligation légale de déclarer un incident de sécurité aux autorités compétentes. La loi 25/11 impose la notification à l'ANSI dans des délais définis. La loi 18-07 impose la notification des violations de données à l'ANPDP sous 72h.

OIV (Opérateur d'Importance Vitale)

Organisation dont les activités sont indispensables au bon fonctionnement de la nation ou à la satisfaction de besoins essentiels de la population. Soumis aux exigences les plus strictes du RNSI.

Orchestration (sécurité)

Coordination automatisée des outils, processus et équipes de sécurité pour accélérer la détection, la réponse et la remédiation des incidents. Phylapp orchestre le SI existant (SIEM, CMDB, IAM, scanners de vulnérabilités) sans remplacer les outils en place : il agrège leurs données, corrèle les événements et pilote les plans de traitement de bout en bout.

PDCA (Plan-Do-Check-Act)

Cycle d'amélioration continue utilisé dans les systèmes de management (ISO 27001). Planifier les actions, les mettre en œuvre, vérifier les résultats, ajuster.

Propagation du risque

Mécanisme par lequel un risque sur un actif se propage aux actifs qui en dépendent, créant un effet de cascade. Exemple : la compromission d'un Active Directory (actif d'infrastructure) se propage aux applications métier qui l'utilisent pour l'authentification, puis aux données clients qu'elles traitent. Phylapp modélise ces dépendances pour évaluer l'impact réel d'un incident au-delà du point d'entrée initial.

PCI-DSS

Payment Card Industry Data Security Standard. Norme de sécurité imposée aux organisations qui traitent des paiements par carte bancaire. Applicable aux banques et commerçants algériens acceptant les paiements internationaux.

Plan de traitement des risques (PTR)

Document formalisant les actions décidées pour chaque risque identifié : réduction, transfert, acceptation ou refus. Pièce centrale de la démarche ISO 27005 et RNSI.

Politique de sécurité (PSSI)

Politique de Sécurité des Systèmes d'Information. Document de référence définissant les objectifs, règles et responsabilités en matière de sécurité au sein d'une organisation.

Risque brut

Niveau de risque évalué avant la prise en compte des mesures de sécurité existantes.

Risque résiduel

Niveau de risque subsistant après l'application des mesures de traitement. C'est ce risque que la Direction doit accepter ou continuer à traiter.

RNSI

Référentiel National de Sécurité des Systèmes d'Information. Cadre réglementaire algérien définissant les exigences de sécurité pour les organismes, notamment les OIV.

RSSI

Responsable de la Sécurité des Systèmes d'Information. Pilote la stratégie de cybersécurité et la démarche GRC d'une organisation.

SOC (Security Operations Center)

Centre opérationnel de sécurité. Équipe et infrastructure dédiées à la surveillance en temps réel des menaces, à la détection des incidents et à la réponse.

SMSI

Système de Management de la Sécurité de l'Information. Ensemble de politiques, processus et contrôles permettant de gérer la sécurité de l'information de manière systématique.

Scénario de risque

Description d'un événement indésirable pouvant affecter un actif, combinant une menace et une vulnérabilité. Les scénarios RNSI sont préconfigurés dans Phylapp.

Tableau de bord GRC

Interface centralisée présentant les indicateurs clés de gouvernance, de risques et de conformité. Permet à la Direction de piloter la posture de sécurité en temps réel.

Traçabilité

Capacité à reconstituer l'historique des actions effectuées sur un système ou une donnée. Exigée par le RNSI et la loi 18-07 pour les traitements sensibles.

Traitement des données

Toute opération effectuée sur des données personnelles : collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication. Encadré par la loi 18-07.

Vulnérabilité

Faiblesse d'un actif ou d'une mesure de sécurité pouvant être exploitée par une menace. Exemple : mot de passe faible, absence de patch, configuration incorrecte.

Vraisemblance

Probabilité qu'un risque se matérialise. Avec l'impact, c'est l'un des deux axes de la matrice de risque.

Un terme manque dans ce lexique ?

Contactez-nous pour enrichir le glossaire ou pour toute question sur nos concepts GRC.

Nous contacter