Conformité FISMA aux Etats-Unis
La loi FISMA (Federal Information Security Management Act) est un exemple d’exigence légale de cybersécurité qui s’applique aux agences publiques américaines et à leurs fournisseurs notamment dans le domaine du Cloud. C’est une loi importante, citée à titre d’exemple dans le programme du CISSP et en particulier dans le domaine 1 « sécurité et gestion des risques ». Promulguée dans sa première version en 2002, la loi a été révisée en 2014. On retrouve cette loi dans les programmes de certifications individuelles consacrées au Cloud, que ce soit le CSSP ou le CSSK. Le référentiel principal pour la conformité FISMA est le NIST SP 800-53. D’autres exemples en France et en Europe sont proches de ce type de conformité : voir par exemple pour plus de détails la conférence «les tendances juridiques et réglementaires » à Bruxelles ou les obligations des fournisseurs de services numériques – FSN.
Corpus documentaire de conformité
Le référentiel principal est le NIST 80O-53 qui est un catalogue de mesures de sécurité assez détaillé. Ce référentiel est régulièrement revu et mis à jour par le NIST. Des exemples de référentiels équivalents sont l’ISO 27002 (norme plus générale et centrée sur le cadre organisationnel) et la Cloud Control Matrix (CCM) de la Cloud Security Alliance, utilisée par exemple pour la certification STAR. Les autres documents qui constituent le corpus de référence pour se mettre en conformité sont :
- Les FIPS 199 et 200 pour la catégorisation des systèmes et les exigences associées, complétés par les documents plus récents que sont les NIST 800-60 (volumes 1 et 2).
- LE RMF pour les tâches de gestion de risques.
- Le NIST 800-30 pour le cadre d’analyse et de traitement des risques.
- Le NIST 800-47 pour l’interconnexion des systèmes.
- Le NIST 800-160 pour l’ingénierie. On retrouve ces concepts fondamentaux liés à la conception sécurisée dans la norme ISO 19249.
- La supervision permanente organisationnelle et technique (Information Security Continous Monitoring) qui a le vent en poupe en cybersécurité (NIST 800-137) L’idée est d’industrialiser le suivi de la conformité à l’aide d’outils qui communiquent entre eux afin d’améliorer la posture de protection en termes de prévention, de détection et de réaction. Le protocole SCAP est un exemple d’initiative importante de ce domaine.
- Le NIST 800-18 pour le développement des programmes de sécurité.
Principes
La loi impose aux agences publiques et leurs dirigeants la mise en œuvre d’une véritable posture dans le domaine de la cybersécurité, au travers notamment des points suivants :
- Planification des programmes et des plans d’action de sécurité.
- Clarification des rôles et des responsabilités.
- Revues et contrôles périodiques des mesures.
- Homologation des systèmes avec une décision au plus haut niveau de l’agence sur l’autorisation de mise en exploitation du système. C’est un principe qu’on retrouve en France dans le référentiel général de sécurité.
Sans surprise, l’approche est centrée sur la maitrise de ses risques et la mise en œuvre de mesures adaptées, en évitant une approche trop « check-list ».
Vous pouvez nous contacter à contact at prosica.fr pour toute question sur nos services de conseil et d'audit ou à formation at prosica.fr pour les demandes d’inscription aux formations. Notre catalogue de formation est téléchargeable ici.
FISM
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
CISSP, RéférentielNIST, CCSP, CCSK, Conformité, FISMA, RGS