ClickCease Normes gouvernementales communes en matière de cybersécurité

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Normes gouvernementales communes en matière de cybersécurité - et ce qu'il faut faire pour s'y conformer

Le 16 janvier 2023 - L'équipe de relations publiques de TuxCare

Le secteur public, y compris les organismes d'État et fédéraux, est tout aussi exposé aux cyberattaques que le secteur privé. Pourtant, en termes d'adoption des technologies, le secteur public est connu pour être à la traîne par rapport au secteur privé, ce qui crée un environnement dans lequel certaines organisations gouvernementales ne parviennent pas à mettre en place une défense adéquate contre les acteurs menaçants..

Ces dernières années, le gouvernement fédéral et certaines organisations tierces ont introduit une série de normes pour guider les efforts du secteur public en matière de cybersécurité. Nous aborderons ici quelques-unes de ces normes et décrirons ce que les organisations du gouvernement et du secteur public (et leurs sous-traitants) peuvent faire pour s'y conformer.

Normes de cybersécurité pour le secteur public

 

Il existe une longue liste de normes de cybersécurité qui s'appliquent à un certain niveau au secteur public. Les normes ci-dessous sont des réglementations gouvernementales ou ont des implications pour les institutions du secteur public :

  • Le site Institut national des normes et de la technologie (NIST) Cadre de cybersécurité (CSF) fournit des orientations pour la gestion des risques liés à la cybersécurité. Bien qu'il n'impose aucune action spécifique, il s'agit d'une ligne directrice couramment utilisée par les agences fédérales ainsi que par les gouvernements des États et les collectivités locales. 
  • Le site Loi fédérale sur la gestion de la sécurité de l'information (FISMA) prévoit que les agences fédérales doivent mettre en œuvre et maintenir des contrôles de sécurité appropriés pour protéger leurs informations et leurs systèmes. Les agences doivent suivre le NIST CSF ainsi que d'autres directives et normes du NIST. 
  • Le site norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) s'applique aux organisations qui traitent, stockent ou transmettent des informations relatives aux cartes de paiement. Cela inclut les organisations du secteur public qui traitent des données sensibles sur les cartes de paiement. La conformité à la norme PCI exige le respect des spécifications de la norme - et la non-conformité peut entraîner des amendes. 
  • Le site Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) couvre toute organisation qui traite des informations de santé protégées (PHI). Elle exige que les organisations couvertes mettent en œuvre des contrôles de sécurité appropriés pour protéger les RPS. 
  • Le site Agence pour la cybersécurité et la sécurité des infrastructures (CISA) comprend la certification du modèle de maturité de la cybersécurité (CMMC)Il s'agit d'un cadre de cybersécurité qui est, entre autres, utilisé par le ministère de la Défense pour évaluer la posture de cybersécurité des contractants et des sous-traitants. 
  • Le site Institut national des normes et de la technologie (NIST) SP 800-53 contient des lignes directrices pour la sélection et la mise en œuvre de contrôles de sécurité pour les systèmes d'information et les organisations. Elle est utilisée par les agences fédérales, mais s'applique aussi couramment aux entrepreneurs du gouvernement travaillant sur les réseaux informatiques fédéraux.
  • Le site Organisation internationale de normalisation (ISO) 27001 et (ISO) 27002 seraient un exemple de normes non gouvernementales dont les enseignements sont pertinents pour le secteur public et qui s'appliquent donc aux organisations du secteur public car elles fournissent des lignes directrices pour la gestion de la sécurité de l'information.

Que pouvez-vous faire pour assurer la conformité ?

Selon les règles qui s'appliquent à votre organisation, les conséquences de la non-conformité sont variables. Mais, à tout le moins, les normes énumérées ci-dessus fournissent simplement de bons conseils qui valent la peine d'être suivis si vous voulez assurer la sécurité des données de votre organisation, éviter les attaques de ransomware et les temps d'arrêt. 

Cependant, il n'est pas facile de se conformer en permanence à la réglementation. Cela nécessite une approche stratégique soutenue par les bonnes ressources - et les bons outils. Voici quelques-unes des principales mesures que votre organisation doit prendre :

  • Comprendre où se situent vos obligations. De nombreuses normes sont vastes et leur application varie d'une simple recommandation à un mandat absolu qui implique des amendes, voire pire. Pour y répondre avec succès, déterminez quels sont les mandats les plus critiques et les plus spécifiques, répondez d'abord à ceux-là, puis passez aux autres. 
  • Fixer des objectifs de cybersécurité au niveau du directeur. L'adhésion de la direction est essentielle au respect des obligations de conformité. Il ne s'agit pas d'un simple exercice à cases à remplir aux niveaux inférieurs, car la conformité pratique en matière de cybersécurité est également une question de culture - et cette culture doit être transmise par le haut. 
  • Ressources adéquates pour les efforts de conformité en matière de cybersécurité. La complexité des environnements informatiques d'aujourd'hui, combinée à l'ampleur de la menace que représente la cybersécurité, s'additionne. C'est une tâche énorme. Vous ne parviendrez pas à la mener à bien avec une équipe squelettique disposant d'un financement minimal. Les ressources sont suffisantes. 
  • Commencez par les bonnes pratiques. Une bonne pratique est une bonne pratique pour une raison - qu'il s'agisse de l'AMF, de la confiance zéro ou de la surveillance et des audits constants. Ne partez pas du principe que les bonnes pratiques sont en place, et ne minimisez pas l'importance de ce qui semble être une connaissance commune. Une grande partie de ce qui est prescrit dans les normes de cybersécurité n'est que la répétition de bonnes pratiques, et ce pour une bonne raison. Appliquez quand même les principes les plus judicieux. 
  • Envisagez de faire appel à des consultants. Comme nous l'avons déjà dit, il s'agit d'un domaine complexe. Ne surestimez donc pas les capacités de vos équipes internes. Cela est particulièrement vrai si vous commencez à vous concentrer sur la conformité, car les consultants peuvent vous aider à ajouter un certain degré de perspective et de contexte à ce que vous devez réaliser. Toutefois, les consultants externes peuvent vous aider à faire le point, même si vous disposez déjà d'une équipe expérimentée.  
  • Restez en contact avec l'avant-garde. La cybersécurité est un domaine qui évolue rapidement et les acteurs de la menace améliorent rapidement leur jeu, ce qui signifie que votre technologie de cybersécurité doit également suivre le rythme. Nous avons publié une liste utile de tendances ici. 
  • Appliquez des correctifs en direct dans la mesure du possible. L'application de correctifs est au cœur de nombreux cadres de cybersécurité, mais c'est aussi l'un des aspects les plus difficiles de la conformité en matière de cybersécurité. L'application de correctifs en temps réel peut faire toute la différenceil réduit les fenêtres de maintenance et les besoins en ressources - et minimise la fenêtre entre la publication du patch et son application.

La conformité à la cybersécurité exige, sans aucun doute, un effort concerté qui s'inscrit pleinement dans la culture organisationnelle.

Votre réponse doit être complète

Pour le secteur public, cela se résume à plusieurs niveaux de normes de cybersécurité. Certaines de ces normes sont facultatives, mais il est bon de s'y conformer quand même. D'autres imposent des objectifs spécifiques, et les organisations qui sont couvertes mais ne parviennent pas à atteindre ces objectifs seront soumises à des sanctions.

Une réponse complète et globale est votre seule option. Comprenez ce que votre organisation doit faire pour rester conforme et obtenez toute l'aide possible : ressources internes, consultants et derniers outils de défense en matière de cybersécurité : y compris les correctifs en direct.

Résumé
Normes gouvernementales communes en matière de cybersécurité - et ce qu'il faut faire pour s'y conformer
Nom de l'article
Normes gouvernementales communes en matière de cybersécurité - et ce qu'il faut faire pour s'y conformer
Description
Ce que sont les normes communes de cybersécurité du gouvernement et ce que les organisations du secteur public (et leurs sous-traitants) peuvent faire pour s'y conformer.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information