34 définitions claires des termes que vous croisez dans nos schémas, fiches produit et rapports d'audit. Chaque terme renvoie à son contexte d'usage chez SYLink.
Doctrines et réglementations qui encadrent la cybersécurité — UE, ANSSI, secteur public.
Certification obligatoire pour héberger des données de santé en France.
La certification HDS (référentiel ANS/ANSSI) est obligatoire pour tout acteur qui héberge ou traite des données de santé pour le compte d'établissements de santé.
Elle couvre la sécurité physique, logique, la résilience et la gouvernance des accès.
Norme internationale de management de la sécurité de l'information. Souvent exigée par les clients/donneurs d'ordre.
ISO 27001 spécifie les exigences pour mettre en place, exploiter, surveiller et améliorer un Système de Management de la Sécurité de l'Information (SMSI).
Elle est de plus en plus exigée par les grands donneurs d'ordre — privés comme publics — comme prérequis aux marchés.
SYLink Audit produit un mapping ISO 27001 automatique avec plan d'action priorisé.
Loi française qui impose des obligations cyber renforcées aux OIV (audits, supervision, notification).
La LPM 2014, complétée par les lois successives, encadre la cybersécurité des Opérateurs d'Importance Vitale : analyse de risque, audit régulier, supervision homologuée, notification obligatoire des incidents.
Directive UE 2024 qui élargit les obligations cyber aux entités essentielles et importantes (PME ETI).
NIS2 remplace la directive NIS de 2016. Elle élargit considérablement le périmètre : 18 secteurs concernés (énergie, santé, transport, finance, eau, numérique, fabrication...) et seuils abaissés (entités importantes ≥ 50 salariés).
Obligations : analyse de risque, gouvernance, gestion d'incidents, reporting sous 24h, formation, audit, sanctions financières en cas de manquement.
Tous les outils SYLink sont mappés NIS2 dans les rapports d'audit pour faciliter la conformité.
Organisations dont la défaillance compromettrait la nation : énergie, santé, transports, finance, etc.
Désignés par décret, les OIV sont les organisations dont la défaillance ou la compromission cyber aurait un impact majeur sur la sécurité ou l'économie de la Nation.
Soumis à la LPM, ils ont des obligations cyber renforcées : analyse de risque, supervision dans des SOC homologués, notification, plan de reprise testé.
Périmètre étendu d'OIV introduit par la directive NIS, élargi par NIS2.
Les OSE sont une notion européenne (directive NIS) qui élargit la liste des opérateurs critiques au-delà des OIV nationaux. NIS2 fusionne et étend cette catégorie en "entités essentielles" et "entités importantes".
Qualification ANSSI des cabinets d'audit cyber. Exigée pour les audits OIV et certains marchés publics.
Un prestataire PASSI est qualifié par l'ANSSI pour réaliser des audits selon une méthodologie homologuée. La qualification est exigée pour les audits LPM des OIV.
SYLink est PASSI-ready : nos rapports sont compatibles avec les attentes ANSSI et reconductibles par un PASSI qualifié.
Doctrine de sécurité applicable aux administrations et services de l'État.
La PSSIE fixe les règles de sécurité informatique applicables à l'ensemble des ministères et établissements publics. Elle est complétée par les politiques sectorielles (HDS pour la santé, par exemple).
Les architectures SYLink sont mappées PSSIE dans les rapports destinés aux administrations.
Règlement UE qui encadre le traitement des données personnelles. Sanctions jusqu'à 4 % du CA mondial.
Le RGPD impose des principes (minimisation, consentement, portabilité), des obligations de sécurité (chiffrement, pseudonymisation), un DPO pour certaines structures et la notification des fuites sous 72h.
L'autorité française est la CNIL. Les sanctions peuvent atteindre 4 % du chiffre d'affaires mondial.
Référentiel ANSSI pour la sécurité des téléservices publics.
Le RGS définit les règles de sécurité applicables aux téléservices et systèmes d'information de l'État et de ses partenaires.
Il couvre l'authentification, le chiffrement, la signature électronique et l'horodatage.
Visa ANSSI pour les offres cloud souveraines, immunes aux lois extra-territoriales.
SecNumCloud est le référentiel ANSSI qui qualifie les offres cloud sur des critères de souveraineté : hébergement européen, équipes EU, immunité au Cloud Act, contrôle juridique.
C'est le seul label officiel français pour distinguer un cloud souverain d'un cloud opéré localement par un acteur sous droit extra-européen.
Les rôles et structures qui font la cybersécurité d'une organisation.
L'autorité française en cybersécurité. Elle qualifie les produits, certifie les prestataires (PASSI, SecNumCloud) et publie la doctrine de référence.
Service du Premier ministre rattaché au SGDSN. L'ANSSI définit la doctrine cyber française, qualifie les produits (visa de sécurité, certification CSPN), et certifie les prestataires (PASSI, SecNumCloud, PVID, etc.).
Elle pilote la transposition française des directives européennes (NIS, NIS2, eIDAS), publie les référentiels (PSSIE, RGS, IGI 1300) et coordonne la réponse aux incidents majeurs.
Les architectures SYLink sont conçues selon la doctrine ANSSI : on-premise par défaut, mode air-gap natif, conformité RGS et PSSIE attestée.
Centre de supervision réseau 24/7. Veille sur la qualité de service, les pannes et les performances.
Un NOC (Network Operations Center) supervise l'infrastructure réseau d'une organisation : disponibilité, performance, qualité de service, alertes proactives.
Souvent confondu avec le SOC, il est complémentaire : le NOC veille sur la santé opérationnelle, le SOC sur les menaces.
Le NOC SYLink supervise les équipements (Box, Pro, sondes DPI) et déclenche l'intervention d'un partenaire intégrateur en cas de défaillance.
Le responsable cyber d'une organisation. Définit la stratégie de sécurité, arbitre les investissements, rend des comptes à la direction.
Le RSSI est la personne responsable, dans une organisation, de la définition et de la mise en œuvre de la stratégie de cybersécurité. Il rend généralement compte à la Direction Générale ou à la DSI.
Ses missions : analyse de risque, choix d'architecture, conformité réglementaire (NIS2, ISO 27001), pilotage des audits, gestion des incidents et acculturation des équipes.
SYLink livre ses rapports d'audit et plans d'action dans un format directement exploitable par le RSSI ou son équivalent (DSI dans les structures plus petites).
Centre de supervision sécurité 24/7. Détecte les attaques, qualifie les alertes et coordonne la réponse aux incidents.
Un SOC (Security Operations Center) est une équipe et une plateforme dédiées à la détection et à la réponse aux incidents de sécurité, 24h/24 et 7j/7.
Il agrège les logs et événements (SIEM), corrèle les signaux faibles, qualifie les alertes par criticité et déclenche la réponse (confinement, forensic, communication de crise).
SYLink propose un SOC mutualisé (palier PME) et un SOC dédié (palier Enterprise) — analystes français, intégration possible à votre SIEM existant.
Les briques techniques qui composent la défense cyber.
Inspection en profondeur du trafic réseau : protocoles, applications, contenus — pas seulement adresse / port.
La Deep Packet Inspection analyse le contenu réel des paquets réseau (au-delà des en-têtes) pour identifier protocoles, applications et menaces.
Une sonde DPI peut, par exemple, distinguer un appel WebRTC légitime d'un canal de commande discret (C2) qui se déguise en HTTPS.
SYLink propose 3 sondes DPI : DPI Mini (15 000 IPs, 2 ans de stockage), DPI VM (virtualisée), DPI Pro (70 000 IPs, 5 ans, time machine forensique).
Agent de sécurité installé sur les postes (PC, serveurs) qui détecte et bloque les attaques au niveau de la machine.
Un EDR remplace l'antivirus classique : il surveille en continu les processus, fichiers, connexions réseau et appels système d'un endpoint, détecte les comportements suspects et peut isoler la machine en cas d'incident.
Différence avec un antivirus : l'EDR détecte des menaces inconnues (zero-day) par analyse comportementale, pas seulement par signature.
SYLink EDR est édité en France, intègre nativement la console SYLink et fonctionne en mode souverain (pas de télémétrie sortante).
Système qui détecte ET bloque en temps réel les attaques sur le réseau.
Un IPS combine la détection (comme un NIDS) et le blocage en temps réel. Il coupe les sessions malveillantes, bloque les exploits et empêche l'exfiltration.
Souvent intégré au NGFW pour les sites de production, ou en mode autonome (sondes en coupure réseau) pour les architectures sensibles.
Les SYLink Box / Pro intègrent un IPS managé avec base de signatures maintenue en France.
Pare-feu nouvelle génération. Filtre les flux réseau ET inspecte le contenu applicatif (web, mail, fichiers).
Un NGFW (Next-Generation Firewall) combine un pare-feu classique (filtrage par adresse IP et port) avec une inspection applicative (DPI), un IPS, un antivirus de flux et le blocage URL.
Il comprend ce qui transite sur le réseau, pas seulement d'où ça vient. Il peut bloquer un téléchargement de malware, un site de phishing, ou détecter une commande de bot.
Les SYLink Box, Mini et Pro sont des NGFW français — code et signatures maintenus en France, pas de rappel cloud.
Sonde réseau qui détecte les attaques en analysant le trafic — sans interrompre les flux.
Un NIDS (Network IDS) écoute le trafic réseau en mode passif et détecte les motifs d'attaque connus (signatures) et anormaux (anomalies comportementales).
Contrairement à un IPS (qui bloque), un NIDS se contente de signaler — utile pour la time machine forensique sans risque d'impact sur la production.
SYLink déploie des sondes NIDS via DPI Mini, DPI VM ou DPI Pro selon le périmètre.
Plateforme qui agrège, corrèle et visualise les événements de sécurité de toute votre infra.
Un SIEM collecte les logs et événements de toutes les sources (pare-feu, EDR, serveurs, applications), les corrèle et déclenche des alertes en cas de motifs suspects.
C'est l'outil central d'un SOC : il rend visible ce qui se passe et permet une réponse coordonnée.
SYLink s'intègre aux SIEM du marché (Splunk, Elastic, Wazuh) via connecteurs natifs.
Tunnel chiffré entre votre poste (ou votre site) et un serveur distant. Protège les communications, masque l'IP.
Un VPN établit un tunnel chiffré entre deux points (poste-serveur ou site-site), de sorte que le trafic est illisible pour l'opérateur réseau ou un attaquant intermédiaire.
Cas d'usage : télétravail sécurisé, connexion Wi-Fi public, contournement de la géolocalisation, fédération de sites distants.
SYLink VPN est self-hosted (vous gardez les clés), Protect le décline en mode site-à-site pour les architectures multi-sites.
Tunnels chiffrés permanents entre vos différents sites (siège, agences, usines, télétravailleurs).
Un VPN inter-sites établit des tunnels chiffrés permanents entre plusieurs locaux d'une même organisation, de sorte qu'ils forment un seul réseau privé virtuel.
Avantage : même politique de sécurité partout, ressources accessibles à tous les sites comme s'ils étaient en LAN, supervision centralisée.
SYLink Protect orchestre ces tunnels avec rotation automatique des clés, supervision NOC 24/7 et bascule automatique en cas de panne.
Modes de déploiement et concepts d'infrastructure souveraine.
Isolement physique total : aucune connexion réseau entre une zone sensible et le reste du SI ou Internet.
Un système air-gappé n'a aucune connexion réseau (ni filaire, ni Wi-Fi, ni Bluetooth) avec l'extérieur. Les échanges se font par supports physiques (clé USB, disque) avec procédures contrôlées.
Utilisé pour les zones classifiées (II 901, IGI 1300), les SCADA industriels critiques, les systèmes de défense.
SYLink est conçu dès l'origine pour l'on-premise et l'air-gap : signatures et IA mises à jour par paquets hors-ligne, MCO/MCS opérés par équipes habilitées.
Maintenir un système en état de fonctionnement (correctifs, mises à jour, supervision).
Le MCO regroupe toutes les opérations qui maintiennent un système informatique en état de marche : application des correctifs, mises à jour applicatives, supervision, gestion des incidents non sécurité.
Sur les périmètres sensibles (OIV, Défense), le MCO est exigé par contrat avec des SLA précis et des équipes habilitées.
Maintenir le niveau de sécurité d'un système dans le temps (correctifs sécurité, durcissement, audits).
Le MCS regroupe les opérations spécifiques à la sécurité : application des correctifs de sécurité, durcissement des configurations, revues d'habilitation, tests d'intrusion réguliers.
Sur les zones classifiées, MCS et MCO sont distincts contractuellement et opérés par des équipes différentes.
SYLink propose le MCO et le MCS par équipes habilitées sur le territoire national.
Hébergement chez vous, sur votre infrastructure — pas dans le cloud d'un tiers.
On-premise désigne un déploiement où le logiciel et les données restent dans votre datacenter ou vos locaux, par opposition au SaaS / cloud public.
Avantages : souveraineté totale, conformité air-gap possible, immunité aux régimes extra-territoriaux (Cloud Act, FISA).
SYLink est on-premise par défaut, avec option SaaS souverain pour les structures qui le souhaitent.
Le paysage des attaques et des risques actuels.
Renseignement sur les menaces cyber : groupes d'attaquants, modes opératoires, indicateurs de compromission.
La CTI consiste à collecter, analyser et diffuser de l'information sur les menaces cyber : qui attaque, comment, avec quels outils et indicateurs.
Elle alimente les défenses (signatures, IOC, règles de détection) et permet d'anticiper plutôt que de subir.
SYLink CTI s'appuie sur 12 ans d'expertise et 30 Po de flux analysés par mois.
Partie d'Internet accessible uniquement via Tor / I2P, où s'échangent données volées et services criminels.
Le darkweb désigne la fraction d'Internet inaccessible via les navigateurs classiques, généralement via Tor ou I2P. C'est le canal privilégié des marketplaces criminelles, leak sites de ransomware et forums de cybercrime.
La surveillance darkweb permet de détecter une exposition de marque ou une fuite avant qu'elle ne devienne publique.
Données volées (identifiants, fichiers, infos clients) exposées sur le darkweb ou des marketplaces criminelles.
Les leaks regroupent toutes les fuites de données : credentials, fichiers internes, données clients, propriété intellectuelle, qui apparaissent sur des forums underground, marketplaces, sites de leak ou groupes Telegram.
Détecter une fuite tôt permet de réagir vite : changer les mots de passe compromis, prévenir les utilisateurs, lancer un takedown.
SYLink Leaks (Basic / Enterprise / VIP) surveille en continu jusqu'à 58 modules de sources et qualifie les alertes par nos analystes.
Mail / SMS / appel frauduleux qui se fait passer pour une entité de confiance pour voler vos identifiants.
Le phishing exploite l'humain pour obtenir des informations sensibles (identifiants, codes, données bancaires) via un message qui imite une entité légitime (banque, employeur, service public).
Variante ciblée : le spear-phishing, qui personnalise le message pour un individu précis (souvent un dirigeant ou un comptable).
Learn N1 sensibilise les collaborateurs à reconnaître ces tentatives ; Learn N4 forme les COMEX aux attaques sophistiquées.
Logiciel malveillant qui chiffre vos fichiers et exige une rançon pour les restaurer.
Un ransomware chiffre les fichiers d'une organisation et exige une rançon (souvent en cryptomonnaie) pour fournir la clé de déchiffrement. Variante moderne : double extorsion (chiffrement + menace de publication des données).
Vecteurs principaux : phishing, exploitation de vulnérabilités, accès distants compromis.
Les SYLink Box, EDR et la supervision SOC réduisent le risque de propagation et accélèrent la remédiation.
Phishing ciblé sur une personne précise, souvent un dirigeant. Mail très personnalisé, difficile à détecter.
Le spear-phishing vise une personne identifiée (souvent un dirigeant, RAF, comptable) avec un message très personnalisé : nom du PDG, références internes, ton crédible.
Il sert souvent à initier une fraude (virement frauduleux, accès au SI), parfois précédé de mois de reconnaissance.
La surveillance VIP (Leaks 58 modules) détecte les indicateurs de préparation : exposition de la cible, identifiants compromis, mentions sur le darkweb.
Vulnérabilité encore inconnue de l'éditeur. Pas de correctif disponible — particulièrement dangereuse.
Une zero-day est une vulnérabilité non publiée et non corrigée. Les attaquants qui la connaissent peuvent exploiter avant que l'éditeur ne réagisse.
Les défenses comportementales (EDR, sondes DPI) sont les seules à pouvoir détecter une exploitation zero-day, puisque les signatures n'existent pas encore.
Le glossaire évolue avec les retours. Dites-nous ce qui mériterait d'y figurer — acronyme, concept, doctrine.
