Glossaire

Le vocabulaire, décrypté

Les termes techniques et réglementaires qu'on utilise dans le livre blanc, les mentions légales et les comparatifs. Chaque définition va au plus court sans sacrifier la précision. Si un terme manque, écrivez-nous — bonjour@documents-securises.fr.

Cryptographie Authentification et identité Conformité et droit Opérations et sécurité

Cryptographie

Chiffrement symétrique: Une seule clé sert à chiffrer et à déchiffrer. Rapide et bien adapté aux gros volumes de données. Problème : il faut transmettre cette clé à l'autre partie sans qu'elle fuite.
Chiffrement asymétrique: Une paire de clés — publique et privée. Ce qui est chiffré avec l'une se déchiffre avec l'autre. La clé publique peut circuler librement ; la clé privée, jamais. Plus lent que le symétrique, donc réservé à de petites quantités (souvent : chiffrer la clé symétrique d'un document).
Chiffrement hybride: Combinaison des deux approches : on chiffre le document avec une clé symétrique aléatoire (rapide), puis on chiffre cette clé avec la clé publique du destinataire. C'est le modèle utilisé par documents-securises.fr, PGP, TLS, S/MIME, etc.
AES-256-GCM AES: Standard de chiffrement symétrique, clé 256 bits, mode GCM (Galois/Counter Mode) qui combine chiffrement et authentification dans la même opération. Si un octet du ciphertext est modifié, le déchiffrement échoue.
RSA: Algorithme de chiffrement asymétrique le plus répandu, inventé en 1977. Les clés sont en général de 2048 ou 4096 bits. RSA-4096 est considéré comme sûr pour plusieurs décennies.
RSA-OAEP: Schéma de remplissage (padding) qui rend l'usage de RSA résistant à certaines attaques sur les messages courts. « OAEP » = Optimal Asymmetric Encryption Padding. Toujours accompagné d'un algorithme de hachage (ici SHA-256).
KEK Key Encryption Key: Clé qui chiffre d'autres clés. Dans notre architecture, la KEK est la clé symétrique unique par document : elle chiffre le contenu et, elle-même, est chiffrée (wrappée) sous la clé publique de chaque destinataire autorisé.
DEK Data Encryption Key: Terme équivalent à KEK dans d'autres littératures : la clé qui chiffre effectivement les données. Dans certains systèmes à plusieurs niveaux, on distingue DEK (chiffre la donnée) et KEK (chiffre la DEK). Pour nous les deux termes désignent la même clé par document.
Wrap / unwrap: Envelopper (wrap) une clé = la chiffrer avec une autre clé. La déballer (unwrap) = faire l'opération inverse avec la clé qui la protège. Dans notre flux, chaque KEK est wrappée sous la clé publique RSA du destinataire.
HMAC HMAC-SHA256: Hash-based Message Authentication Code. Sceau cryptographique attaché à un message pour prouver qu'il n'a pas été altéré et qu'il provient d'une partie qui détient la clé HMAC. Utilisé dans nos chunks pour garantir l'intégrité inter-chunks.
SHA-256: Fonction de hachage cryptographique (hash) qui produit une empreinte de 256 bits pour n'importe quelle entrée. Mêmes entrées → même hash ; la moindre modification change le hash entièrement. Non-réversible.
Nonce: Number used once. Valeur aléatoire utilisée une seule fois dans une opération cryptographique. En AES-GCM, un nonce de 96 bits par bloc garantit que chiffrer deux fois le même contenu avec la même clé donne des ciphertexts différents.
Argon2id: Fonction de dérivation de clé (KDF) résistante aux attaques par GPU/ASIC. Utilisée pour transformer un mot de passe en clé symétrique. Les paramètres usuels (mémoire, itérations, parallélisme) ajustent le coût de brute-force.

Authentification et identité

E2EE End-to-End Encryption · Chiffrement de bout en bout: Les données sont chiffrées sur l'appareil de l'expéditeur et ne sont déchiffrées que sur l'appareil du destinataire. Aucune partie intermédiaire (serveur, hébergeur, opérateur réseau) ne peut les lire en clair.
Zero-knowledge: Propriété d'un service incapable techniquement de lire les données de ses utilisateurs. C'est la conséquence la plus forte du E2E : même contraint par une réquisition, le prestataire ne peut livrer que du ciphertext illisible.
TLS 1.3: Version actuelle du protocole qui chiffre les communications web (l'« S » de HTTPS). Sépare l'établissement de session et le chiffrement des données. Élimine les algorithmes obsolètes des versions précédentes.
MFA / 2FA Multi-factor authentication · Two-factor authentication: Authentification combinant au moins deux facteurs parmi : quelque chose que vous savez (mot de passe), quelque chose que vous possédez (téléphone, clé FIDO), quelque chose que vous êtes (biométrie).
SSO Single Sign-On: Un seul compte d'entreprise donne accès à plusieurs services. L'utilisateur s'authentifie une fois auprès du fournisseur d'identité (IdP) ; les applications tierces lui font confiance via un protocole fédéré (SAML ou OIDC).
SAML: Security Assertion Markup Language. Protocole de fédération d'identité en XML, historique mais toujours massivement déployé en entreprise. L'IdP émet une assertion signée que l'application vérifie.
OIDC OpenID Connect: Protocole de fédération moderne bâti sur OAuth 2.0, JSON et les JWT. Plus léger et plus simple à intégrer que SAML, dominant dans les stacks récentes.
IdP Identity Provider: Fournisseur d'identité : le service qui détient les comptes et authentifie les utilisateurs pour le compte d'autres applications. Exemples : Google Workspace, Microsoft Entra ID (ex-Azure AD), Okta, Ping.
SCIM System for Cross-domain Identity Management: Protocole de provisioning automatisé : l'IdP synchronise les créations, modifications et suppressions de comptes vers les applications fédérées. Évite d'avoir à gérer les utilisateurs dans chaque service séparément.

Conformité et droit

RGPD GDPR · Règlement (UE) 2016/679: Règlement européen sur la protection des données personnelles, en vigueur depuis mai 2018. Définit les obligations des responsables de traitement et des sous-traitants, les droits des personnes, et les sanctions en cas de manquement.
Responsable de traitement: L'entité qui décide pourquoi et comment les données personnelles sont traitées. Pour documents-securises.fr, c'est le Client qui utilise le service avec ses propres clients. Little Omega est sous-traitant.
Sous-traitant Processor: L'entité qui traite les données pour le compte du responsable, selon ses instructions. Encadré par l'article 28 du RGPD, qui impose un contrat écrit (DPA).
DPA Data Processing Agreement: Accord de traitement des données. Contrat obligatoire entre responsable et sous-traitant, imposé par l'article 28 du RGPD. Notre DPA est disponible à
DPO Délégué à la protection des données: Personne chargée de veiller à la conformité RGPD au sein d'une organisation. Point de contact privilégié pour les demandes d'exercice des droits et les autorités de contrôle.
AIPD DPIA · Analyse d'impact: Analyse d'impact relative à la protection des données. Obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les personnes (données sensibles, grande échelle, surveillance…).
LCEN: Loi n° 2004-575 pour la confiance dans l'économie numérique. Article 6 : impose à tout éditeur de site de publier ses mentions légales (éditeur, hébergeur, directeur de publication).
CNIL Commission nationale de l'informatique et des libertés: Autorité française de contrôle indépendante en matière de protection des données personnelles. Peut prononcer des sanctions administratives (jusqu'à 4 % du chiffre d'affaires mondial).
eIDAS Règlement UE 910/2014 · eIDAS 2: Cadre européen pour les services de confiance électroniques : signature, cachet, horodatage, recommandé. Définit des niveaux « simple », « avancé » et « qualifié ». Le niveau qualifié confère valeur probante devant un tribunal.
NIS2 Directive (UE) 2022/2555: Directive européenne de cybersécurité en vigueur depuis 2023. Élargit le périmètre de NIS1 (énergie, transport, santé, infrastructure numérique, administration, finance, prestataires de services numériques…) et impose : gouvernance du risque par la direction, notification d'incident (alerte 24 h, rapport 72 h), sécurité de la chaîne d'approvisionnement, gestion des vulnérabilités. Sanctions jusqu'à 10 M€ ou 2 % du CA mondial pour les « entités essentielles ».
SOC 2 SOC 2 Type I · SOC 2 Type II: Attestation d'audit américaine (cadre AICPA) pour les prestataires de services, reposant sur cinq Trust Services Criteria : sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée. Type I = constat à un instant donné ; Type II = observation sur 6 à 12 mois de fonctionnement réel. Très souvent exigée par les grands comptes américains à leurs fournisseurs B2B.
ISO 27001 ISO/IEC 27001:2022: Norme internationale pour un système de management de la sécurité de l'information (SMSI). Certification délivrée par un organisme accrédité après audit initial puis audits de suivi annuels. Définit les exigences pour établir, maintenir et améliorer en continu la sécurité. Complétée par ISO 27002, catalogue des contrôles détaillés.
Horodatage qualifié: Horodatage électronique émis par un prestataire de services de confiance qualifié au sens d'eIDAS. Offre une présomption légale d'exactitude de la date et de l'intégrité du document horodaté. Utile pour une traçabilité opposable.
Signature électronique qualifiée: Signature eIDAS de niveau le plus élevé, émise par un prestataire qualifié avec un dispositif sécurisé (QSCD). Équivaut juridiquement à une signature manuscrite.
Cachet électronique: Équivalent de la signature mais pour une personne morale (entreprise). Prouve l'origine et l'intégrité d'un document émis au nom d'une organisation.
SecNumCloud: Qualification délivrée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) garantissant qu'un cloud français respecte les exigences de souveraineté et de sécurité les plus élevées. Souvent exigée par l'État et les OIV.
NF Z42-013: Norme française d'archivage électronique à valeur probante. Définit les exigences techniques et organisationnelles pour conserver des documents électroniques comme preuves recevables dans le temps.
HDS Hébergeur de Données de Santé: Certification ASIP Santé (devenu Agence du numérique en santé) requise pour héberger des données de santé à caractère personnel en France.
Cloud Act: Loi américaine de 2018 permettant aux autorités US d'exiger l'accès à des données détenues par une entreprise américaine, y compris lorsqu'elles sont stockées à l'étranger. Source principale de préoccupation sur la souveraineté des clouds dominés par les hyperscalers US.
Clauses contractuelles types SCC · Standard Contractual Clauses: Modèles de clauses validés par la Commission européenne, insérés dans un contrat pour encadrer un transfert de données hors UE en l'absence de décision d'adéquation. Article 46 du RGPD.

Opérations et sécurité

Chiffrement au repos At-rest encryption: Chiffrement des données lorsqu'elles sont stockées sur disque. Protège en cas de vol de matériel ou d'accès non autorisé au stockage. Ne protège pas si le service lui-même est compromis (la clé est sous son contrôle).
Chiffrement en transit In-transit encryption: Chiffrement pendant le transport réseau, typiquement TLS. Protège contre l'écoute passive mais pas contre un intermédiaire capable de terminer la session TLS (MITM).
Défense en profondeur: Principe d'empiler plusieurs couches de sécurité indépendantes. Si une couche cède, les autres continuent à protéger. Exemple : E2EE + TLS + double vérification + logs horodatés.
Principe du moindre privilège Least privilege: Chaque compte, service ou processus ne dispose que des permissions strictement nécessaires à sa fonction. Réduit l'impact d'une compromission.
Modèle de menace Threat model: Description explicite des adversaires contre lesquels un système se protège, et de ceux contre lesquels il ne se protège pas. Le meilleur modèle est celui qui est écrit, partagé et lu avant d'être testé.
Traçabilité opposable: Historique d'accès suffisamment robuste (intégrité, horodatage, authenticité) pour être produit comme preuve devant un tribunal. En France, cela suppose généralement un horodatage qualifié eIDAS.
HSM Hardware Security Module: Boîtier matériel dédié à la génération, au stockage et à l'utilisation de clés cryptographiques sensibles. Les clés ne sortent pas du HSM ; toutes les opérations de signature ou déchiffrement se font à l'intérieur.
SOPS: Secrets Operations, outil open-source de Mozilla pour chiffrer des fichiers de configuration (env, YAML, JSON) avec des clés PGP ou KMS. Permet de versionner des secrets dans Git sans les exposer en clair.
KMS Key Management Service: Service de gestion centralisée des clés cryptographiques (génération, rotation, révocation, audit). Exemples : AWS KMS, Google Cloud KMS, HashiCorp Vault. Peut s'appuyer sur des HSM.
Incident de sécurité: Violation de la confidentialité, de l'intégrité ou de la disponibilité des données. En cas d'incident touchant des données personnelles, l'article 33 du RGPD impose une notification à l'autorité de contrôle sous 72 heures.
Programme de divulgation responsable Responsible disclosure · Bug bounty: Politique permettant à des chercheurs en sécurité de signaler des vulnérabilités sans risque juridique, en échange d'un engagement à ne pas les publier avant correction. Voir notre programme sur /securite.