Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Qu'est-ce que la conformité FISMA ?

Qu'est-ce que la conformité FISMA ?

Mar 17, 2021

Il ne devrait pas être surprenant que le gouvernement fédéral des États-Unis prenne la cybersécurité très au sérieux. Après tout, les agences fédérales gèrent d'énormes réserves de données sensibles, y compris des informations liées à la sécurité nationale et internationale et à la santé publique, ainsi que les informations personnelles de la plupart des résidents du pays.

FISMA, signifiant la Federal Information Security Management Act, fournit un cadre complet et un ensemble d'exigences pour aider les agences fédérales à établir une approche solide et basée sur le risque de la cybersécurité.

Aucune agence fédérale n'est exemptée des directives établies par la FISMA, donc si vous gérez des données pour une agence fédérale ou fournissez d'autres services soumis à la conformité FISMA, il est important d'acquérir une solide compréhension de la FISMA et de son impact sur vos opérations quotidiennes.

Demandez une démo individuelle :

Aperçu de la conformité FISMA

FISMA a été promulguée en tant que partie de la E-Government Act de 2002 et mise à jour en 2014 avec des modifications importantes.

Portée de FISMA

Les exigences FISMA s'appliquent à toutes les agences gouvernementales américaines, ainsi qu'aux agences étatiques qui administrent des programmes fédéraux tels que l'assurance-chômage, les prêts étudiants, Medicare et Medicaid.

La loi s'applique également aux entreprises privées qui ont des relations contractuelles avec ces agences d'État, soutiennent un programme fédéral ou reçoivent des subventions fédérales. Les entités privées dont le seul lien avec le gouvernement fédéral est d'être bénéficiaire d'une subvention sont souvent prises au dépourvu, mais elles sont tenues de mettre en œuvre les contrôles de sécurité de l'information fédéraux de FISMA.

Avantages de la conformité FISMA

Les agences gouvernementales à tous les niveaux ont été ciblées plus fréquemment par des cybercriminels ces dernières années; des documents divulgués du Pentagone sont l'un des derniers de plusieurs violations de données de haut profil. Les fuites de données coûtent aux agences des sommes considérables d'argent et peuvent causer des dommages aux personnes dont les informations privées sont compromises.

Pour les organisations non gouvernementales, la conformité FISMA leur permet de devenir des contractants pour les agences fédérales. De plus, suivre volontairement les exigences FISMA peut aider les organisations à réduire les risques pour leurs données sensibles, ce qui à son tour les aide à éviter les dommages financiers et autres associés à une fuite de données.

Pénalités pour violations de la conformité FISMA

Le non-respect de la FISMA peut entraîner une série de conséquences indésirables, y compris :

  • Censure par le Congrès
  • Réduction du financement fédéral
  • Renforcement de la surveillance gouvernementale
  • Dommages à la réputation

Téléchargez l'eBook :

Directives et normes connexes

FISMA and OMB Guidelines

Le Bureau de la gestion et du budget (OMB) a publié des directives en avril 2010 qui exigent que les agences fournissent des informations systèmes en temps réel aux auditeurs FISMA pour permettre une surveillance continue des systèmes d'information réglementés par FISMA. Les directives de l'OMB comprennent plusieurs exigences décrites dans les normes de traitement de l'information fédérale (FIPS) de l'Institut national des normes et de la technologie (NIST).

Deux normes de sécurité FIPS sont requises par FISMA :

  • FIPS 199 (Normes pour la catégorisation de sécurité des informations fédérales et des systèmes d'information) répond à l'exigence de la FISMA de développer des normes pour catégoriser les informations et les systèmes d'information. FIPS 199 exige un « cadre commun et une compréhension » qui favorisent une gestion efficace et une supervision des programmes de sécurité de l'information, ainsi qu'un rapportage cohérent au OMB et au Congrès concernant l'adéquation et l'efficacité des politiques, procédures et pratiques de sécurité de l'information.
  • FIPS 200 (Exigences de sécurité minimales pour les informations fédérales et les systèmes d'information) établit les « niveaux minimaux de diligence raisonnable pour la sécurité de l'information » pour les agences fédérales. L'objectif ici est d'établir une approche cohérente, comparable et reproductible pour « la sélection et la spécification des contrôles de sécurité pour les systèmes d'information qui répondent aux exigences de sécurité minimales » définies par les directives.

Normes FISMA et NIST

Plusieurs normes NIST sont directement en corrélation avec la conformité FISMA, y compris :

  • NIST SP 800-39 (Guide pour l'application du Risk Management Framework aux systèmes d'information fédéraux) — Ce document fournit des orientations pour la mise en œuvre d'un programme intégré de gestion des risques de sécurité de l'information afin de protéger les actifs organisationnels, les individus, d'autres organisations et les États-Unis dans leur ensemble contre les risques résultant de l'exploitation et de l'utilisation des systèmes d'information fédéraux. Il décrit une approche de la gestion des risques « structurée mais flexible » de manière intentionnellement large. Des directives spécifiques visant à mettre en œuvre ces programmes sont fournies dans les normes et lignes directrices NIST de soutien.
  • NIST SP 800-37 (Guide pour l'application du Risk Management Framework aux systèmes d'information fédéraux : une approche du cycle de vie de la sécurité) — Ce document propose un « processus discipliné, structuré et flexible pour gérer les risques de sécurité et de confidentialité. » Il comprend des informations sur la catégorisation de la sécurité de l'information, la sélection des contrôles, la mise en œuvre, l'évaluation, les autorisations de système et de contrôles communs, et la surveillance continue.
  • NIST SP 800-30 (Guide pour la réalisation d'évaluations des risques) — Ce document fournit des détails sur l'attribution de catégories de gestion des risques et la détermination des mesures appropriées en réponse à ces risques. Il propose un cadre pour la réalisation du processus d'évaluation des risques, y compris comment se préparer, mener et communiquer les résultats d'une évaluation.
  • NIST SP 800-53 (Contrôles de sécurité et de confidentialité pour les systèmes et organisations d'information fédéraux) — Ce document répertorie les contrôles de sécurité et de confidentialité pour tous les systèmes d'information fédéraux à l'exception de ceux liés à la sécurité nationale. Il décrit les étapes du Cadre de Gestion des Risques liées à la sélection des contrôles de sécurité conformément aux exigences de sécurité de FIPS 200.
  • NIST SP 800-53A (Guide pour l'évaluation des contrôles de sécurité dans les systèmes et organisations d'information fédéraux) — Ce document énumère des directives pour élaborer des plans d'évaluation de sécurité et de confidentialité « efficaces ». Il fournit également des procédures pour évaluer l'efficacité des contrôles de sécurité et de confidentialité utilisés dans les systèmes d'information.

FISMA et FedRAMP

Le Federal Risk and Authorization Management Program (FedRAMP) est similaire à FISMA car il fournit des normes pour les agences concernant les données fédérales vulnérables. Cependant, FedRAMP se concentre sur les données basées sur le cloud et offre une voie pour les agences qui doivent valider les services de cloud computing pour la conformité FISMA.

FedRAMP fournit également des orientations pour la gestion des risques et la validation des services cloud utilisés par les agences fédérales. Étant donné la dépendance croissante d'aujourd'hui sur le cloud, de nombreuses solutions logicielles modernes conformes à FISMA incluent des fonctionnalités pour la conformité avec FedRAMP.

Exigences FISMA

Les sept exigences suivantes de la FISMA représentent certains des éléments les plus cruciaux de la loi.

Maintenez un inventaire du système d'information

Un inventaire de système d'information inventory doit inclure tous les systèmes ou réseaux pouvant accéder aux données des agences fédérales, y compris ceux qui ne sont pas exploités par (ou sous le contrôle de) l'agence elle-même, ainsi que les interfaces entre les systèmes. NIST SP 800-18, Revision 1 (Guide pour l'élaboration de plans de sécurité pour les systèmes d'information fédéraux) fournit des orientations pour déterminer comment regrouper les systèmes d'information et leurs limites.

Catégorisez les systèmes d'information

La FISMA exige la catégorisation des systèmes d'information et des données en fonction de l'impact que pourrait avoir leur compromission :

  • Impact faible — Une dégradation de la capacité opérationnelle à un niveau et une durée tels que l'organisation est toujours capable d'effectuer ses fonctions principales, mais avec une efficacité notablement réduite. Exemples incluent :
    • Dommages mineurs aux actifs organisationnels
    • Perte financière mineure
    • Dommages mineurs aux individus
  • Impact modéré — Une dégradation significative de la capacité de la mission à un degré et une durée tels que l'organisation est toujours capable d'effectuer ses fonctions principales, mais avec l'efficacité des fonctions considérablement réduite. Des exemples incluent :
    • Dommages importants aux actifs organisationnels
    • Perte financière significative
    • Un préjudice significatif pour les individus qui n'implique pas de perte de vie ou de blessures graves et menaçant la vie
  • Impact élevé — Une dégradation sévère ou une perte de capacité opérationnelle à un point tel que l'organisation n'est pas en mesure d'effectuer une ou plusieurs de ses fonctions principales. Exemples incluent :
    • Dommages importants aux actifs organisationnels
    • Perte financière majeure
    • Dommages graves ou catastrophiques aux individus impliquant une perte de vie ou des blessures graves menaçant la vie

FIPS 199 et SP 800-60 fournissent des informations sur la catégorisation des systèmes d'information et des données.

Concevez et maintenez un plan de sécurité système

NIST SP 800-18 fournit des directives pour le développement et la mise en œuvre d'un plan de sécurité, ainsi que pour l'établissement d'un plan de révision afin d'évaluer périodiquement la sécurité opérationnelle.

Réalisez des évaluations des risques

NIST SP 800-37 et NIST SP 800-30 fournissent des informations sur la réalisation d'évaluations des risques afin d'analyser les menaces actuelles, d'anticiper les nouvelles et de choisir des contrôles de sécurité qui réduiront le risque à un niveau acceptable.

Utilisez les contrôles de sécurité appropriés

FIPS 200 fournit des détails sur la sélection des contrôles de sécurité de base et l'application de conseils personnalisés et de contrôles supplémentaires selon les besoins, en fonction de l'évaluation des risques.

NIST SP 800-53 répertorie les contrôles de sécurité que les agences doivent envisager de mettre en œuvre. Ces contrôles peuvent être appliqués de manière flexible afin qu'ils s'alignent sur la mission et l'environnement opérationnel de l'agence, à condition que l'agence documente les contrôles sélectionnés dans son plan de sécurité système.

Effectuez une surveillance continue

NIST SP 800-37 et SP 800-53A établissent les directives pour la surveillance continue du système de sécurité. La surveillance dans ce contexte inclut les catégories Intégrité du Système (SI), Gestion de la Configuration (CM), Réponse aux Incidents (IR) et Audit (AU).

Réalisez des revues annuelles

Pour maintenir la conformité FISMA, les agences doivent réaliser des revues annuelles de leurs programmes de sécurité de l'information. Ces revues sont menées par des inspecteurs généraux, des directeurs de l'information (CIOs) et d'autres responsables de programmes fédéraux.

Une fois les évaluations réalisées, les agences communiquent les résultats à l'OMB, qui prépare un rapport annuel officiel de conformité FISMA à soumettre au Congrès.

Obtenez la Certification et l'Accréditation (C&A)

Les agences doivent obtenir la FISMA Certification and Accreditation (C&A) par un processus qui comprend quatre phases :

  1. Initiation et planification
  2. Certification
  3. Accréditation
  4. Surveillance continue

C&A n'est pas un événement unique ; l'OMB exige une recertification et une réaccréditation périodiques pour les agences réglementées par la FISMA.

Meilleures pratiques FISMA

Pour aider votre organisation à atteindre et maintenir la conformité FISMA, suivez ces meilleures pratiques :

  • Obtenez une vue d'ensemble de haut niveau des données sensibles que vous stockez et traitez.
  • Effectuez des évaluations des risques périodiques pour identifier, prioriser et remédier aux lacunes de la sécurité de l'information.
  • Évaluez régulièrement l'efficacité de vos contrôles de sécurité et politiques pour protéger vos systèmes.
  • Maintenez des preuves de la manière dont vous vous conformez à la FISMA.
  • Surveillez les mises à jour de FISMA.
  • Menez une formation continue des employés pour maintenir votre équipe à jour concernant à la fois les exigences FISMA et les menaces de cybersécurité.

Comment Netwrix peut aider

Savoir simplement la réponse à la question « Qu'est-ce que la conformité FISMA ? » ne vous fournit pas les stratégies nécessaires pour mettre en œuvre des changements dans votre entreprise. Cela ne vous donne certainement pas le budget que les modifications de l'OMB peuvent exiger.

Netwrix offre des solutions d'audit de conformité compliance audit solutions qui vous aident à sécuriser votre entreprise et à satisfaire les auditeurs. Avec des modèles prêts à l'emploi, des normes de construction renforcées, des password policies et plus encore, vous pouvez démarrer votre stratégie de conformité FISMA.

Si vous êtes prêt à récupérer vos nuits et week-ends en réduisant l'effort de préparation des audits jusqu'à 85% tout en prouvant que votre organisation répond aux exigences de conformité FISMA, demandez une démo gratuite avec Netwrix dès aujourd'hui.

FAQ

1. Qu'est-ce que FISMA ?

FISMA est l'acronyme de Federal Information Security Management Act. Il s'agit d'une loi fédérale américaine qui fournit un cadre complet visant à protéger les informations sensibles.

2. Qui doit se conformer au FISMA ?

Les règles FISMA s'appliquent à toutes les agences gouvernementales fédérales américaines, ainsi qu'aux agences étatiques qui administrent des programmes fédéraux. Elles s'appliquent également aux entreprises privées impliquées dans des relations contractuelles avec ces agences étatiques, y compris celles qui fournissent des services, soutiennent un programme fédéral ou reçoivent des fonds de subventions fédérales.

3. Quelles sont les pénalités pour non-conformité à la FISMA ?

Les agences gouvernementales et les entreprises privées associées peuvent faire face à plusieurs pénalités pour non-conformité avec FISMA, y compris :

  • Censure par le Congrès
  • Réduction du financement fédéral
  • Dommages à la réputation
  • Renforcement de la surveillance gouvernementale

4. Quelle est la relation entre NIST et FISMA ?

Le NIST (National Institute of Standards and Technology) publie plusieurs guides pour aider les organisations à atteindre et maintenir la conformité avec la FISMA.

5. Qu'est-ce que la certification FISMA ?

Il ne suffit pas pour les organisations d’agir conformément à la FISMA. Une fois que vous avez mis en place les contrôles appropriés, vous devez prouver que vous suivez les normes FISMA. L’OMB établit le processus de certification and accreditation, qui doit être répété régulièrement.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Mike Tierney

Ancien vice-président du Succès Client

Ancien VP of Customer Success chez Netwrix. Il possède un parcours diversifié construit sur 20 ans dans l'industrie du logiciel, ayant occupé les postes de PDG, COO et VP Product Management dans plusieurs entreprises axées sur la sécurité, la conformité et l'augmentation de la productivité des équipes informatiques.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité