Glossary

The world of SaaS security and governance can be complex. Use our glossary as a resource for understanding common terms, acronyms, and services within the SaaS and AI security industry.

Ensemble des politiques et outils qui contrôlent qui peut accéder à quelles applications et données, et avec quel niveau de privilège.

Prise de contrôle d'un compte légitime par un attaquant (mot de passe volé, hameçonnage, absence de MFA) pour en abuser.

Standard de communication permettant à des agents IA d'interagir et de se déléguer des tâches de façon structurée.

Logiciel autonome propulsé par un LLM qui exécute des tâches, prend des décisions et agit sur des systèmes tiers avec peu d'intervention humaine.

Boîte à outils (LangChain, CrewAI…) pour construire, orchestrer et outiller des agents IA autonomes.

Convention définissant comment un agent IA découvre, appelle et sécurise l'accès aux outils et données externes.

Outil conversationnel (ChatGPT, Copilot, Claude…) qui assiste les utilisateurs, mais peut exposer des données sensibles s'il n'est pas encadré.

Intermédiaire entre les utilisateurs et les applications cloud qui applique des politiques de sécurité, souvent limité au trafic réseau.

Ensemble des pratiques protégeant les données, applications et infrastructures hébergées dans le cloud.

Détection continue des mauvaises configurations et des risques de conformité dans les environnements cloud (IaaS/PaaS).

Écart progressif entre la configuration réelle d'un système et son état sécurisé de référence, source de failles.

Incident où des données confidentielles sont consultées, exfiltrées ou divulguées sans autorisation.

Discipline visant à encadrer l'IA générative pour éviter fuites de données, shadow AI et risques de conformité.

Cadre qui gère les identités numériques et régit leur accès aux ressources tout au long de leur cycle de vie.

Multiplication incontrôlée des comptes, autorisations et accès à travers les applications SaaS.

Identification et réduction continue des identités et accès exploitables par un attaquant.

Bonnes pratiques (MFA activé, comptes inactifs supprimés, moindre privilège) qui réduisent le risque lié aux identités.

Service qui authentifie les utilisateurs et fournit leur identité aux applications (Microsoft Entra, Okta, Google…).

Évaluation et réduction des risques associés aux comptes, privilèges et accès des utilisateurs.

Protection des identités humaines et non humaines contre le vol, l'abus et l'élévation de privilèges.

Surveillance visant à repérer et contrer les attaques ciblant les identités et les accès.

Modèle d'IA entraîné sur d'immenses corpus de texte, capable de comprendre et de générer du langage naturel.

Application (souvent un assistant IA) qui se connecte à des serveurs MCP pour accéder à des outils et données externes.

Service exposant des outils, données ou actions à des agents IA via le Model Context Protocol.

Standard ouvert qui connecte les modèles d'IA à des outils et sources de données de façon sécurisée et structurée.

Mécanisme exigeant au moins deux preuves d'identité (mot de passe + code/clé), rendant le vol de compte bien plus difficile.

Compte de service, clé API, jeton ou robot qui accède à des systèmes sans utilisateur humain, souvent mal surveillé.

Standard permettant à une application d'accéder à des données chez un tiers sans partager le mot de passe, via des jetons.

Couche d'authentification bâtie sur OAuth 2.0 qui vérifie l'identité de l'utilisateur en plus d'autoriser l'accès.

Outil qui génère, stocke et remplit des mots de passe forts et uniques dans un coffre chiffré.

Comptes dotés de droits élevés (admin, super-admin) dont la compromission a un impact critique.

Respect des cadres réglementaires (Loi 25, PIPEDA, RGPD, SOC 2…) dans l'usage des applications SaaS.

Accumulation incontrôlée d'applications SaaS dans une organisation, souvent hors de la visibilité de la TI.

Architecture combinant sécurité réseau et connectivité livrées depuis le cloud.

Filtre le trafic web sortant pour bloquer les sites et téléchargements malveillants.

Standard XML permettant l'authentification unique (SSO) entre un fournisseur d'identité et des applications.

Usage d'outils d'IA non approuvés par des employés, exposant données sensibles et propriété intellectuelle hors de tout contrôle.

Matériel, logiciels ou services utilisés sans l'approbation ni la connaissance de la TI.

Applications SaaS adoptées par des employés sans l'aval de la TI — angle mort fréquent de sécurité.

Découverte, évaluation et encadrement des applications SaaS non approuvées.

Permet de se connecter une seule fois pour accéder à plusieurs applications, centralisant le contrôle des accès.

Processus d'identification, de classement et de priorisation des failles de sécurité d'un système.