Termes couramment mal utilisés en matière de cybersécurité

Les mots sont durs. L'anglais est difficile. La façon dont nous parvenons à communiquer quoi que ce soit est presque un miracle.

Parfois, j'aimerais être Oscar Wilde ou Mark Twain ou l'un des autres grands auteurs qui semblent être capables de décrire sans effort un personnage ou un scénario afin que le lecteur puisse parfaitement imaginer ce qu'ils signifient.

Au lieu de cela, je crains de ressembler davantage à Shakespeare qui a inventé des mots et en a tordu d'autres pour les adapter à son mètre insensé, de sorte que les gens moyens comme moi ont du mal à comprendre les significations voulues (d'ailleurs, j'aime Shakespeare).

Malheureusement, mon domaine de prédilection semble rempli de confrères shakespeariens - des personnes qui utilisent des mots en jetant de la soupe à l'alphabet contre un mur et en lisant les résultats comme on pourrait lire des feuilles de thé, mais avec moins de précision.

Qu'est-ce que cela signifie vraiment ?

Lorsque j'ai créé la base de données des termes de cybersécurité, qui est l'épine dorsale du glossaire de la cybersécurité du NIST, j'ai été étonné de la confusion qui régnait même à propos de termes omniprésents comme « risque » et « sécurité ». Il n'y a toujours pas de réel consensus sur la signification du mot « cybersécurité » !

J'ai donc compilé une liste de termes couramment mal utilisés dans le domaine de la cybersécurité (ce sont des descriptions non officielles qui se veulent informatives) :

Données contre informations contre connaissances

Données est généralement considéré comme les bits et les octets qui composent l'information. Informations transforme plusieurs bits et octets en quelque chose d'utile. Par exemple, un capteur de température peut lire "102", mais informations nous dit qu'il fait 102 degrés Fahrenheit sur un capteur de température qui était dans la bouche d'un humain. Connaissance est ce qui permet l'information pour passer à l'action. Il dit que 102 degrés Fahrenheit pour un être humain est beaucoup trop chaud. Les lignes entre les données , informations et connaissance sont floues, mais il y en a qui soutiennent farouchement ces lignes.

Menace contre risque

Une menace est soit utilisé pour signifier quelque chose de mal qui pourrait arriver ou une entité qui peut provoquer quelque chose de mal (également appelé un « acteur menaçant »). Risque inclut la probabilité que la mauvaise chose puisse arriver et le(s) résultat(s) potentiel(s). Les gens utilisent souvent (à tort) ces mots de manière interchangeable.

Gestion des risques

Le processus de réponse au potentiel que quelque chose de mauvais puisse arriver. Il existe généralement quatre options :accepter le risque, le transférer, l'éviter ou l'atténuer. Selon la personne à qui vous parlez, il existe au moins huit options, mais ce sont les quatre traditionnelles. Lorsqu'une personne chargée de la cybersécurité parle de gestion des risques, elle peut faire référence au processus défini dans le cadre de gestion des risques.

Cybersécurité

Fondamentalement, la protection des systèmes informatiques (y compris les réseaux, Internet et tout ce qui est « intelligent »). Cependant, il a été utilisé comme un terme générique qui englobe également l'assurance des informations, la protection des données et la confidentialité. Ce terme continuera probablement à changer jusqu'à ce que quelqu'un puisse expliquer correctement ce qu'est le « cyber ».

Assurance (ou sécurité) des informations

La protection de tous faits, nouvelles, connaissances ou parfois données, sous quelque forme que ce soit - papier, électronique, tablette de pierre, signaux, mémorisés, etc. Souvent confondus avec et placés sous le parapluie de la cybersécurité.

Norme

Beaucoup de gens appellent à tort les publications spéciales du NIST comme des normes, mais c'est un peu plus compliqué que cela. Le NIST développe des normes formelles - Federal Information Processing Standards (FIPS), telles que FIPS 200 et FIPS 140-3, par exemple. Le NIST participe également à l'élaboration de normes industrielles et internationales. Le mot standard peut également être utilisé pour désigner un niveau de qualité ou une norme acceptée. Dans ce dernier cas, les publications du NIST sont souvent utilisées comme standard . C'est une différence subtile, mais importante. Néanmoins, en général, il est préférable de s'abstenir d'appeler les publications spéciales du NIST (SP), les rapports internes/interagences (IR), les livres blancs ou tout autre élément qu'un FIPS une norme et utilisez plutôt les termes « publication », « document » ou « orientation ».

Exigences vs contrôles

Ces deux termes peuvent être utilisés pour identifier des activités, des processus, des pratiques ou des capacités spécifiques qu'une organisation peut avoir ou faire pour gérer son risque de cybersécurité. Contrôles peut être obligatoire ou non, alors que les exigences le sont généralement. Il est toujours préférable de vérifier le terme utilisé par un document. Par exemple, de nombreuses personnes se réfèrent aux exigences du NIST SP 800-171 en tant que contrôles , ce qui est incorrect.

Audit contre évaluation

En cybersécurité, le terme audit a souvent une connotation plus formelle et négative que dans certaines autres disciplines. Audits sont effectués après un incident tel qu'une violation de données (généralement un audit interne), à ​​la demande d'un client (généralement un audit externe réalisé par le client), ou pour obtenir une certification (un audit tiers). Évaluations ressemblent généralement, mais pas toujours, à un bilan de santé amical. Englobant n'importe quel nombre d'activités, les évaluations peuvent être étroites ou larges, avec autant de rigueur que l'entreprise évaluée le souhaite, ou est appropriée à la situation. Une exception à cette règle générale est dans le programme Cybersecurity Maturity Model Certification (CMMC), qui utilise le mot évaluation comme méthode formelle d'évaluation d'une entreprise.

Conformité

Conformité fait généralement référence à la satisfaction d'une exigence (interne ou externe, parfois réglementaire) et est souvent accompagnée d'une certification ou d'une attestation quelconque. Les gens utilisent souvent des expressions telles que « conforme au NIST ». Cela peut être trompeur car beaucoup l'interprètent comme signifiant que le NIST applique une exigence ou certifie ou atteste de la sécurité des produits ou des processus d'une entreprise. Ce que l'on entend généralement par « conforme au NIST » est que l'entreprise a utilisé les pratiques et les procédures des publications du NIST, souvent pour répondre à certaines exigences. Bien que cela puisse être considéré comme une conformité activité, il est généralement préférable d'éviter toute confusion en indiquant à la place quelle règle ou exigence fait l'objet de la conformité. Par exemple, on peut suivre NIST SP 800-171 pour être conforme à DFARS. Une exception à cette règle concerne les algorithmes et modules cryptographiques, auquel cas la terminologie correcte est validée et conforme indique que le produit global n'a pas été formellement évalué.

Les mots en anglais évoluent presque aussi rapidement que les mèmes sur Internet - un million de shakespeariens reprennent la langue anglaise pour être massacrés, manipulés et pliés dans un script à peine reconnaissable. Dans le domaine de la cybersécurité, il semble que cela se fasse avec un abandon inconsidéré. Mais comprendre certains de ces termes clés et leur utilisation vous aidera à comprendre et à communiquer vos besoins en matière de cybersécurité.