Historique et exigences de la conformité FISMA
Le FISMA est nécessaire pour les agences fédérales, mais il peut également affecter les normes de conformité requises par votre entreprise si vous travaillez pour une agence fédérale.
Que signifie FISMA ? FISMA signifie Federal Information Security Management Act, qui a été adopté par le Congrès en 2002 et modifié en 2014. Cette loi exige que les agences fédérales respectent certaines normes de sécurité pour protéger les données privées des citoyens.
Qu’est-ce que FISMA ?
En 2002, le Congrès a adopté le E-Government Act, une loi vaste et de grande portée visant à améliorer la manière dont les agences gouvernementales gèrent, stockent et transmettent leurs informations à l’ère numérique. Plus précisément, la loi visait à promouvoir la gestion électronique des informations gouvernementales, à utiliser Internet pour ouvrir des voies à la participation des citoyens et à améliorer la manière dont ces agences peuvent utiliser la technologie numérique pour collaborer avec d’autres agences.
La partie la plus importante de cette loi (ou du moins la partie la plus connue) est probablement le Federal Information Security Management Act (FISMA). En vertu du FISMA, les agences fédérales sont tenues de « développer, documenter et mettre en œuvre un programme à l’échelle de l’agence pour assurer la sécurité des informations pour les informations et systèmes qui soutiennent les opérations et les actifs de l’agence, y compris ceux fournis ou gérés par une autre agence, un entrepreneur ou d’autres sources. »
Cette définition peut sembler un peu large – et elle l’est. Mais son importance réside dans le fait que c’était la première loi fédérale à déclarer expressément que les agences étaient non seulement censées tirer parti de la technologie numérique dans le cadre de leur activité, mais qu’elles devaient également respecter des normes plutôt strictes pour construire leurs propres systèmes de sécurité de l’information et mettre en œuvre des mesures de sécurité pour protéger les données sensibles.
La loi originale, adoptée en 2002, a instauré une surveillance des efforts officiels de modernisation des TI du gouvernement. La compétence en matière d’infrastructure technique a été confiée au Office of Management and Budget (OMB). En vertu du FISMA, les réglementations en matière de cybersécurité sont définies par le National Institute of Standards and Technology (NIST), qui publie des spécifications et des mises à jour qui guident les agences gouvernementales et les entrepreneurs. Ces spécifications informent des cadres de sécurité étendus tels que FedRAMP, CMMC, et le Cadre de Gestion des Risques.
En 2014, le Congrès a amendé la loi pour la moderniser à la lumière des menaces et des technologies plus avancées. La mise à jour de 2014 a ajouté quelques nouvelles directives :
- Codification du rôle du Department of Homeland Security dans la gouvernance des politiques de sécurité des systèmes du pouvoir exécutif fédéral qui ne sont pas liées à la sécurité nationale
- Clarification de l’autorité de l’OMB en ce qui concerne la surveillance des agences fédérales de sécurité et de leurs pratiques de sécurité informatique
- Changements dans une section de la loi concernant les rapports inefficaces
Qu’est-ce que la Conformité FISMA ?
Il existe certaines étapes spécifiques qu’une organisation peut suivre pour se conformer à FISMA :
- Utilisation des Contrôles Répertoriés dans les Publications Spéciales de l’Institut National des Normes et de la Technologie : FISMA suppose la mise en place de contrôles de sécurité au sein de l’infrastructure d’une agence ou de partenaires entrepreneurs. Les documents clés incluent NIST SP 800-53 (contrôles de sécurité pour les agences fédérales), NIST SP 800-171 (protection de l’Information Non Classifiée Contrôlée), NIST SP 800-37 (le Cadre de Gestion des Risques), FIPS 199 (normes pour la catégorisation des systèmes fédéraux) et FIPS 200 (exigences minimales de sécurité pour les systèmes fédéraux).
- Inventaire des Systèmes Informatiques : Le cœur de la conformité FISMA consiste à créer un catalogue de tous les systèmes informatiques utilisés par une agence ou un entrepreneur. Cela inclut la technologie intégrée et la technologie des fournisseurs.
- Catégorisation des Risques pour les Systèmes : Conformément au FIPS 199, les agences et les entreprises doivent catégoriser leurs systèmes en fonction des catégories du FIPS 199, qui classent les exigences de sécurité du système sur une échelle de faible, modéré et élevé. Chaque niveau impliquera généralement différentes exigences pour l’agence.
- Création d’un Plan de Sécurité du Système : Un plan de sécurité est un plan complet visant à cartographier les contrôles de sécurité et les approches pour la maintenance, les mises à jour et les évaluations. Les cadres tels que CMMC et FedRAMP incluent une exigence de plan de sécurité pour répondre aux réglementations FISMA.
- Certification et Accréditation : Poursuivre la conformité FISMA grâce à un processus d’accréditation géré par l’OMB. L’OMB exige de nouvelles évaluations de certification tous les trois ans.
En plus de ces exigences, le NIST suggère que les organisations qui recherchent la conformité suivent le processus en sept étapes décrit dans le Cadre de Gestion des Risques. Ces étapes sont les suivantes :
- Préparation à la gestion des risques en alignant les ressources et les priorités organisationnelles autour de l’évaluation et de la documentation des risques, de la préparation de plans de gestion des risques et de la conception d’un programme de gestion des risques.
- Catégorisation de tous les systèmes informatiques de l’organisation selon les catégories définies dans le FIPS 199 (faible, modéré et élevé).
- Sélection des contrôles nécessaires à partir du NIST 800-53 en fonction des évaluations des risques (y compris les contrôles requis au-delà de la conformité FISMA).
- Mise en œuvre de ces contrôles et documentation de la mise en œuvre pour une surveillance et une optimisation futures.
- Évaluation des contrôles et de la mise en œuvre pour déterminer la fonctionnalité appropriée et mesurer les résultats de cette mise en œuvre.
- Autorisation de l’exploitation du système par des cadres supérieurs et des responsables informatiques qui comprennent le profil de risque de l’organisation et la posture en matière de cybersécurité.
- Surveillance continue de tous les contrôles pour les changements opérationnels ou les risques, ou en préparation pour les mises à niveau.
Avantages de la Conformité FISMA
La conformité FISMA est indispensable pour les agences gouvernementales, et les avantages de la conformité FISMA sont nombreux. En mettant en œuvre et en maintenant les contrôles de sécurité recommandés par FISMA, les organisations sont en mesure de protéger leurs systèmes d’information et les données qui y sont stockées contre tout accès, modification ou destruction non autorisés.
Avec des mesures de sécurité appropriées en place, les organisations conformes à FISMA peuvent avoir plus confiance dans la sécurité de leurs données, ce qui leur permet de se concentrer sur leurs opérations principales et leur mission au lieu de s’inquiéter de la sécurité. FISMA aide à rendre les organisations plus efficaces en rationalisant le processus de sécurité, en fournissant des processus plus structurés et reproductibles, et en garantissant des contrôles de sécurité plus cohérents sur l’ensemble des systèmes. Enfin, le processus de conformité lui-même est relativement simple et économique, ce qui signifie que les organisations peuvent souvent devenir rapidement et facilement conformes à FISMA.
Quelles sont les Différences Entre FISMA et FedRAMP ?
Le Programme Fédéral de Gestion et d’Autorisation des Risques (FedRAMP) est un cadre fédéral de conformité en matière de cybersécurité visant les fournisseurs de services cloud proposant des produits ou services aux agences gouvernementales.
Tout comme FISMA, FedRAMP s’appuie sur le NIST 800-53 pour définir les contrôles de sécurité nécessaires à la conformité. Il utilise également les FIPS 199 et FIPS 200 pour définir les niveaux de sécurité et les technologies de sécurité appropriées telles que le chiffrement et la cryptographie. FedRAMP est parfois appelé “FISMA pour le cloud”.
Cependant, FedRAMP introduit plusieurs exigences différentes par rapport à FISMA, notamment les suivantes :
- Parrainage de l’Agence: Fondamentalement, FedRAMP applique des normes de conformité similaires à FISMA aux fournisseurs de services cloud (fournisseurs) travaillant avec des agences plutôt qu’aux agences elles-mêmes. En tant que telles, ces exigences s’appliquent aux produits cloud utilisés par les agences, et ces agences fédérales doivent parrainer les fournisseurs de services cloud pour l’Autorisation d’Opération FedRAMP en fonction de leurs besoins technologiques.
- Évaluations par Tiers: Contrairement à FISMA, FedRAMP exige que les fournisseurs de solutions cloud (CSP) soient soumis à des audits réguliers par des organisations d’évaluation tierces. Ces entreprises de sécurité certifiées effectuent des évaluations objectives et équitables des CSP pour garantir le respect des réglementations.
- Gouvernance: FedRAMP et FISMA relèvent tous deux de la compétence de l’OMB. Cependant, FedRAMP inclut davantage d’organisations dans sa structure de gouvernance. Le Bureau de Gestion de Projet FedRAMP et le Conseil d’Autorisation Conjointe incluent des représentants de plusieurs agences, notamment l’OMB, le Département de la Sécurité Intérieure (DHS), le NIST et le Département de la Défense.
FedRAMP joue donc un rôle important pour garantir que les produits et services cloud, dont l’utilisation se développe rapidement sur le marché gouvernemental, respectent les exigences de FISMA.
Intégration de FISMA avec le Cadre de Cybersécurité du NIST
Les organisations peuvent intégrer FISMA avec le Cadre de Cybersécurité du NIST en utilisant chaque composant du Cadre pour déterminer leurs besoins en matière de sécurité. FISMA fournit aux agences fédérales des directives sur la manière d’établir, de mettre en œuvre et de gérer un programme de cybersécurité complet. En incorporant les composants essentiels de FISMA – la gestion des risques, la sécurité de l’information, les tests et évaluations de sécurité, et les exigences de reporting – les organisations peuvent développer un programme de cybersécurité complet qui répond à leurs besoins commerciaux uniques et qui est adapté à leur environnement spécifique.
Le Cadre de Cybersécurité du NIST peut ensuite être utilisé pour fournir aux organisations un ensemble standardisé d’objectifs de performance pour chaque composant, ce qui leur permet de mesurer leur posture de sécurité et de suivre leurs progrès. Enfin, les organisations peuvent surveiller leur conformité aux exigences de FISMA en utilisant le Cadre de Cybersécurité du NIST comme point de référence. Cette approche intégrée garantira que les organisations respectent les exigences nécessaires pour protéger leurs systèmes et leurs données contre des activités malveillantes.
Sanctions en Cas de Violation de la Conformité à FISMA
Les violations de la conformité à FISMA peuvent entraîner des sanctions graves et des conséquences telles que des amendes, des sanctions ou des poursuites pénales. Les violations des normes sont considérées comme une infraction fédérale, et les agences fédérales peuvent imposer diverses sanctions, notamment des amendes civiles, des sanctions pénales et d’autres mesures administratives coercitives.
Les sanctions potentielles peuvent aller d’avertissements formels et d’amendes financières à des peines d’emprisonnement, en fonction de la gravité de la violation. Les organisations doivent veiller à se conformer aux réglementations de FISMA pour éviter les lourdes sanctions associées à la non-conformité. De plus, les organisations peuvent faire l’objet de poursuites légales supplémentaires en cas de négligence dans le traitement des problèmes qui conduisent à une violation de la conformité à FISMA.
Respect des Normes FISMA et Contribution au Service National
La partie la plus importante des normes telles que FISMA (et même FedRAMP) est qu’elles fournissent un niveau élevé de sécurité pour les agences qui gèrent des informations opérationnelles critiques pour les agences gouvernementales ainsi que des informations personnelles relatives aux citoyens américains. Par conséquent, travailler avec des agences gouvernementales signifie que les entrepreneurs peuvent être amenés à manipuler de telles informations, et il est de leur devoir de les protéger.
La plate-forme Kiteworks est un système de gestion de contenu basé sur le cloud qui permet aux organisations de respecter les normes de conformité sans compromettre les fonctionnalités de niveau entreprise. Cela inclut le respect de réglementations complexes telles que FISMA et FedRAMP.
Pour en savoir plus sur Kiteworks, contactez-nous pour une démonstration gratuite adaptée à vos opérations.