La loi FISMA (Federal Information Security Management Act) est un exemple d’exigence légale de cybersécurité qui s’applique aux agences publiques américaines et à leurs fournisseurs notamment dans le domaine du Cloud. C’est une loi importante, citée à titre d’exemple dans le programme du CISSP et en particulier dans le domaine 1 « sécurité et gestion des risques ». Promulguée dans sa première version en 2002, la loi a été révisée en 2014. On retrouve cette loi dans les programmes de certifications individuelles consacrées au Cloud, que ce soit le CSSP ou le CSSK. Le référentiel principal pour la conformité FISMA est le NIST SP 800-53. D’autres exemples en France et en Europe sont proches de ce type de conformité : voir par exemple pour plus de détails la conférence «les tendances juridiques et réglementaires » à Bruxelles ou les obligations des fournisseurs de services numériques – FSN.
Le référentiel 800-53 est un document important produit et mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et de la sécurité associée. C’est aussi un document central pour les certifications de sécurité Cloud de type FedRamp. Au-delà des Etats-Unis, ce référentiel est beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework et du référentiel CIS.
Les standards américains FIPS (Federal Information Processing Standards) sont des normes et des lignes directrices pour les systèmes d’information des agences publiques, élaborées par le National Institute of Standards and Technology (NIST). De nombreuses entreprises privées utilisent aussi ces standards, par exemple les fournisseurs de Cloud public pour les modules HSM (Hardware Security Module) stockant les clés. Certains documents FIPS sont obligatoires pour les agences publiques américaines en application de la loi FISMA. La norme FIPS 140 spécifie les exigences de sécurité auxquelles doit satisfaire un module cryptographique.
