La loi FISMA (Federal Information Security Management Act) est un exemple d’exigence légale de cybersécurité qui s’applique aux agences publiques américaines et à leurs fournisseurs notamment dans le domaine du Cloud. C’est une loi importante, citée à titre d’exemple dans le programme du CISSP et en particulier dans le domaine 1 « sécurité et gestion des risques ». Promulguée dans sa première version en 2002, la loi a été révisée en 2014. On retrouve cette loi dans les programmes de certifications individuelles consacrées au Cloud, que ce soit le CSSP ou le CSSK. Le référentiel principal pour la conformité FISMA est le NIST SP 800-53. D’autres exemples en France et en Europe sont proches de ce type de conformité : voir par exemple pour plus de détails la conférence «les tendances juridiques et réglementaires » à Bruxelles ou les obligations des fournisseurs de services numériques – FSN.

Le référentiel 800-53 est un document important produit et régulièrement mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et la sécurité associée. Au-delà des Etats-Unis, ce référentiel est aussi beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework qui est aussi très répandu en dehors des Etats-Unis.

Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est de plus en plus utilisé par les grands groupes, y compris européens. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 27000 ou le catalogue NIST 800-53 pour tous les domaines d’activités. Il est maintenant au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP par exemple.

 

Le NIST américain publie un référentiel pour améliorer la gestion des risques liés au traitement de données personnelles. Le document suit la même trame que le NIST CSF, centré sur la cyber sécurité et qui rencontre beaucoup de succès, y compris en Europe. C’est un cadre flexible et très utile pour définir et mettre en œuvre d’une manière très pragmatique un programme « Data Privacy » orienté risques, adapté à ses exigences légales et à ses métiers. Il complète ainsi parfaitement d’autres cadres organisationnels comme l’ISO 27701. Le DPO européen peut s’en inspirer pour étayer son traitement des risques dans le cadre de sa check-list de conformité au Règlement Général sur la Protection des données.

Le principe « Zero Trust » (ZT) est un concept régulièrement évoqué en cybersécurité. Il s’agit de ne pas donner des droits d’accès à des utilisateurs ou à des équipements seulement sur des critères de localisation périmétrique (par exemple Internet ou réseau interne). Ce changement de paradigme est très lié au besoin des métiers d’accéder à des ressources depuis des équipements divers (tablettes, smartphones, ordinateurs portables voire objets connectés). C’est aussi la conséquence de l’utilisation massive du Cloud, public et privé. Le NIST américaine travaille beaucoup sur ces concepts. Google communique aussi régulièrement sur leur BeyondCorp. L’article ci-dessous propose une synthèse des travaux du groupe de travail publiant le document NIST 800-27 (Zero Trust Architecture).