Les évaluations de conformité réglementaires sont des normes ou des directives qui aident les organisations à mesurer et à évaluer leur niveau de conformité aux lois, réglementations et normes du secteur en vigueur.

Health Insurance Portability and Accountability Act (HIPAA)

La Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale américaine promulguée en 1996. La loi HIPAA établit des normes et des réglementations pour protéger la confidentialité et la sécurité des informations personnelles de santé (PHI) et des dossiers de santé électroniques (EHR) des individus dans le secteur de la santé.

La règle de protection de la vie privée HIPAA et la règle de sécurité HIPAA sont deux composantes clés de la norme HIPAA :
  • Règle de protection de la vie privée HIPAA : la règle de protection de la vie privée définit des normes pour l'utilisation et la divulgation des informations personnelles de santé (PHI) des entités couvertes, notamment les fournisseurs de soins de santé, les plans de santé et les chambres de compensation du secteur de la santé. Elle accorde aux individus certains droits sur leurs informations de santé, comme le droit d'accéder à ces informations, de demander des modifications et d'obtenir une comptabilité des divulgations. Les entités couvertes sont tenues de mettre en œuvre des mesures de protection des PHI, de donner aux patients un avis sur leurs pratiques en matière de confidentialité et d'obtenir une autorisation écrite pour certaines utilisations et divulgations des PHI.
  • Règle de sécurité HIPAA : la règle de sécurité établit des normes de sécurité pour la protection des informations personnelles de santé électroniques (ePHI). Elle exige que les entités couvertes et leurs associés commerciaux mettent en œuvre des protections administratives, physiques et techniques afin de garantir la confidentialité, l'intégrité et la disponibilité des ePHI. Ces protections incluent les évaluations des risques, les contrôles d'accès, le chiffrement, les contrôles d'audit, les plans de récupération d'urgence et la formation des employés aux risques de sécurité.

La norme HIPAA s'applique aux fournisseurs de soins de santé, aux plans de santé, aux chambres de compensation du secteur de la santé et à leurs associés commerciaux qui gèrent des PHI ou ePHI. La conformité aux réglementations HIPAA est obligatoire et la non-conformité peut entraîner des pénalités importantes, notamment des amendes financières et de potentielles accusations pénales.

La loi HIPAA inclut également des dispositions relatives à l'échange électronique d'informations de santé et établit la loi HITECH (Health Information Technology for Economic and Clinical Health), qui encourage l'adoption et l'utilisation cohérente des dossiers de santé électroniques.

Il est important de noter que ma limite de connaissances se situe en septembre 2021, il est donc recommandé de consulter les dernières informations et mises à jour auprès de sources officielles telles que le Département de la santé et des services aux personnes (HHS) des États-Unis pour obtenir les informations les plus récentes et précises concernant les normes et réglementations HIPAA.

Normes de conformité PCI DSS (Payment Card Industry Data Security Standard)

La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de conformité établies par les principales marques de cartes de paiement, notamment Visa, Mastercard, American Express, Discover et JCB. PCI DSS vise à garantir la sécurité des données du titulaire de la carte et à se protéger contre la fraude et l'accès non autorisé dans l'industrie des cartes de paiement.

Les normes de conformité PCI DSS se composent de 12 exigences de haut niveau, organisées en six objectifs de contrôle. Ces exigences décrivent les mesures de sécurité que les organisations qui gèrent des données de carte de paiement doivent mettre en œuvre :
  • Créer et conserver un réseau sécurisé
  • Protéger les données du titulaire de la carte
  • Mettre à jour un programme de gestion de la vulnérabilité.
  • Gérer une stratégie de sécurité des informations

Les exigences de conformité PCI DSS varient en fonction du niveau d'implication de l'organisation dans les transactions par carte de paiement, classé en niveaux de 1 à 4. Les commerçants et les fournisseurs de services de niveau 1 avec les volumes de transactions les plus élevés ont des exigences plus strictes et font l'objet d'audits annuels sur site par un évaluateur de sécurité qualifié (QSA). Les commerçants de niveau 2, 3 et 4 peuvent avoir différentes exigences de validation, allant de questionnaires d'auto-évaluation (SAQ) à des analyses de vulnérabilité externe.

La conformité PCI DSS est nécessaire pour les entités impliquées dans le traitement des cartes de paiement, notamment les commerçants, les fournisseurs de services et les organismes de paiement. La non-conformité peut entraîner des pénalités, des amendes, des frais de transaction accrus ou des restrictions sur l'acceptation de la carte.

Il est important de noter que bien que ces informations fournissent une vue d'ensemble des normes de conformité PCI DSS, les exigences spécifiques et les conseils peuvent évoluer au cours du temps. Par conséquent, il est recommandé de consulter le site Web officiel du PCI SSC (PCI Security Standards Council) et la dernière documentation PCI DSS pour obtenir les informations et les exigences les plus récentes.

Normes de sécurité CIS (Center for Internet Security)

VMware Aria Operations Compliance Pack for CIS est mis à jour pour prendre en charge les évaluations suivantes :
  • CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
  • CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
Pour plus de détails, reportez-vous à l'article  93135 de la base de connaissances.

Les normes de sécurité CIS (Center for Internet Security) sont un ensemble de meilleures pratiques et de directives pour la sécurisation des systèmes informatiques et des réseaux. L'organisation CIS est une entité à but non lucratif qui collabore avec des experts de divers secteurs pour développer et promouvoir des configurations et des évaluations de sécurité de manière consensuelle.

Les normes de sécurité CIS incluent deux composants principaux :
  • Contrôles CIS : les contrôles CIS sont un ensemble de 20 actions de sécurité que les organisations peuvent effectuer pour atténuer les cybermenaces les plus courantes et les plus significatives. Ces contrôles sont classés par ordre de priorité en fonction de leur efficacité dans la réduction des risques. Ils couvrent divers domaines de sécurité, notamment la gestion des actifs, le contrôle d'accès, la réponse aux incidents, la sécurité réseau et la formation aux risques de sécurité. Les contrôles CIS sont régulièrement mis à jour pour faire face aux menaces émergentes et à l'évolution des technologies.
  • Évaluations CIS : les évaluations CIS fournissent des directives de configuration détaillées pour la sécurisation de plates-formes et de systèmes technologiques spécifiques. Ces évaluations décrivent les paramètres et configurations recommandés pour les systèmes d'exploitation, les applications et les périphériques réseau afin de garantir la sécurité et de réduire les vulnérabilités. Les évaluations CIS sont créées à l'aide d'un processus consensuel impliquant la contribution d'experts en cybersécurité, de fournisseurs et de professionnels.

Les normes de sécurité CIS sont connues pour leur nature pratique et exploitable, en fournissant des instructions pas-à-pas et des recommandations de configuration spécifiques. Elles sont largement adoptées dans tous les secteurs et sont utilisées comme référence par les organisations pour évaluer, améliorer et maintenir la sécurité de leurs systèmes et réseaux informatiques.

L'organisation CIS met régulièrement à jour ses normes et évaluations de sécurité afin de faire face aux menaces émergentes, aux progrès technologiques et aux changements dans les obligations réglementaires. Les normes de sécurité CIS sont accessibles au public et les organisations peuvent les exploiter comme une ressource utile pour améliorer leur posture en matière de cybersécurité et réduire le risque de cyber-attaques.

Normes de sécurité DISA (Defense Information Systems agence)

La DISA (Defense Information Systems Agency) établit et fournit des normes et des directives de sécurité pour le Département de la Défense (DoD) des États-Unis et ses systèmes d'information. La DISA est responsable du fonctionnement sécurisé et de la défense de l'infrastructure d'informations globale du DoD.

La DISA a développé plusieurs normes et directives de sécurité pour protéger les informations sensibles et garantir l'intégrité, la disponibilité et la confidentialité des systèmes du DoD. Voici quelques-unes des normes et directives de sécurité clés fournies par la DISA :
  • Guides de mise en œuvre technique de la sécurité (STIG) : les STIG sont un ensemble de directives et de normes de configuration pour divers systèmes d'exploitation, applications et périphériques réseau. Ils fournissent des instructions détaillées sur la sécurisation et la configuration de ces systèmes afin de répondre aux exigences du DoD en matière de sécurité. Les STIG couvrent un large éventail de technologies, notamment les périphériques Windows, Linux et Cisco, les bases de données et les serveurs Web.
  • Guides des exigences de sécurité (SRG) : les SRG sont des documents complets qui décrivent les exigences de sécurité pour des plates-formes, des systèmes ou des applications spécifiques. Ils fournissent des conseils sur la sécurisation et la configuration des systèmes conformément aux stratégies de sécurité du DoD. Les SRG abordent divers domaines de sécurité, notamment le contrôle d'accès, l'identification et l'authentification, l'audit et la responsabilité, ainsi que le chiffrement.
  • Visionneuse des guides de mise en œuvre technique de la sécurité (STIG) : la DISA fournit un outil de visionneuse STIG qui aide les organisations à évaluer et à mettre en œuvre les recommandations STIG. La visionneuse STIG automatise le processus de vérification des configurations système par rapport aux exigences STIG, ce qui permet aux organisations d'identifier et de corriger les vulnérabilités de sécurité plus efficacement.
  • Gestion de la vulnérabilité et de sûreté des informations (IAVM) : la DISA maintient le programme IAVM, qui identifie et gère les vulnérabilités dans les systèmes du DoD. Les alertes IAVM fournissent des informations opportunes sur les vulnérabilités de sécurité et les correctifs. Les organisations du DoD doivent appliquer rapidement ces correctifs afin d'atténuer les risques potentiels.
  • Plan de mise en œuvre de la discipline de cybersécurité (CDIP) du DoD : le CDIP décrit la mise en œuvre et la gestion des pratiques de sécurité au sein du DoD. Il fournit des meilleures pratiques et des directives pour la gestion des risques, la protection des systèmes, la réponse aux incidents et la promotion d'une culture de sensibilisation à la cybersécurité.

Les normes et directives de sécurité DISA jouent un rôle essentiel pour garantir la sécurité et la résilience des systèmes et des ressources d'informations du DoD. Elles sont constamment mises à jour et affinées pour faire face aux menaces émergentes et s'aligner sur l'évolution des pratiques de cybersécurité. Les organisations du DoD doivent respecter ces normes afin de maintenir la sécurité de leurs systèmes et réseaux.

Normes de sécurité FISMA (Federal Information Security Management Act)

La loi FISMA (Federal Information Security Management Act) est une loi fédérale américaine promulguée en 2002. La loi FISMA établit un cadre de sécurisation des systèmes d'informations et de gestion des risques de cybersécurité au sein des agences gouvernementales et de leurs sous-traitants. La loi FISMA exige des organismes fédéraux qu'ils élaborent, mettent en œuvre et maintiennent des programmes de sécurité des informations afin de protéger les informations gouvernementales sensibles.

Bien que la FISMA ne fournit pas elle-même des normes de sécurité détaillées, elle impose aux organismes fédéraux de suivre certaines directives et normes de sécurité, y compris celles établies par le NIST (National Institute of Standards and Technology). La publication spéciale NIST 800-53, intitulée « Contrôles de sécurité et de confidentialité pour les organisations et les systèmes d'informations fédéraux », est un document clé référencé sous la loi FISMA.

La publication spéciale NIST 800-53 fournit un catalogue de contrôles de sécurité que les organismes fédéraux doivent mettre en œuvre pour protéger leurs systèmes d'information. Ces contrôles couvrent divers domaines, notamment le contrôle d'accès, la réponse aux incidents, la gestion de la configuration, le chiffrement, la sécurité réseau, ainsi que l'évaluation de la sécurité et l'autorisation. Ils sont classés en différentes familles et sont adaptés pour répondre à des exigences de sécurité spécifiques.

La loi FISMA exige que les organisations fédérales élaborent et maintiennent une approche basée sur les risques en matière de sécurité des informations. Cela implique d'effectuer des évaluations de risques, de mettre en œuvre des contrôles de sécurité en fonction des risques identifiés, de tester et d'évaluer périodiquement l'efficacité de ces contrôles et d'assurer la surveillance continue des systèmes d'informations.

Dans le cadre de la loi FISMA, les organismes fédéraux doivent également faire l'objet d'évaluations de sécurité annuelles, y compris des audits indépendants, afin d'évaluer l'efficacité de leurs programmes et contrôles de sécurité des informations. Les résultats de ces évaluations sont communiqués au Bureau de la gestion et du budget (OMB) et au Congrès des États-Unis.

La conformité FISMA est essentielle pour que les organismes fédéraux démontrent leur engagement à protéger les informations gouvernementales et à assurer la sécurité de leurs systèmes d'informations. Elle permet d'établir une approche normalisée de la sécurité des informations dans l'ensemble des entités gouvernementales et de s'aligner sur d'autres infrastructures et normes de sécurité, telles que l'infrastructure de cybersécurité NIST et l'infrastructure de gestion des risques NIST.

Il est important de noter que les exigences FISMA peuvent évoluer au cours du temps, les agences doivent donc se reporter aux dernières directives fournies par le NIST et d'autres sources d'autorité afin d'assurer la conformité avec les normes de sécurité FISMA.

Normes de sécurité de l'Organisation internationale de normalisation (ISO)

L'Organisation internationale de normalisation (ISO) est un organisme international de normalisation indépendant et non gouvernemental qui élabore et publie des normes internationales dans divers secteurs. L'ISO a également créé une série de normes de sécurité spécifiquement liées aux systèmes de gestion de la sécurité des informations (ISMS). La plus connue d'entre elles est la norme ISO/IEC 27001.

ISO/IEC 27001 : la norme ISO/IEC 27001 spécifie les conditions requises pour établir, mettre en œuvre, maintenir et améliorer continuellement un ISMS dans le contexte d'une organisation. Elle fournit une approche systématique et basée sur les risques pour gérer la sécurité des informations sensibles. Cette norme couvre divers domaines tels que l'évaluation des risques, les politiques de sécurité des informations, la gestion des actifs, le contrôle d'accès, la gestion des incidents et la conformité. La norme ISO/IEC 27001 est largement adoptée par les organisations du monde entier et sert de référence pour la gestion de la sécurité des informations.

ISO/IEC 27002 : la norme ISO/IEC 27002 (anciennement ISO/IEC 17799) est un code de pratique pour les contrôles de sécurité des informations. Elle fournit des conseils et des recommandations pour la mise en œuvre de contrôles et de protections basés sur les meilleures pratiques de gestion de la sécurité des informations. La norme ISO/IEC 27002 couvre un large éventail de domaines de sécurité, notamment la sécurité organisationnelle, la sécurité des ressources humaines, la sécurité physique et environnementale, la gestion des communications et des opérations et la conformité.

ISO/IEC 27005 : la norme ISO/IEC 27005 fournit des directives pour la réalisation d'évaluations des risques dans le contexte de la sécurité des informations. Elle offre une approche structurée pour identifier, analyser, évaluer et traiter les risques de sécurité des informations. La norme ISO/IEC 27005 aide les organisations à évaluer l'impact potentiel des risques, à déterminer la tolérance aux risques et à prendre des décisions éclairées sur la mise en œuvre des contrôles de sécurité appropriés.

ISO/IEC 27017 et ISO/IEC 27018 : ces normes se concentrent spécifiquement sur la sécurité cloud. La norme ISO/IEC 27017 fournit des directives pour la mise en œuvre de contrôles de sécurité des informations dans des environnements de Cloud Computing, tandis que la norme ISO/IEC 27018 fournit des conseils pour la protection des données personnelles dans le cloud et traite des problèmes de confidentialité liés aux services cloud.

ISO/IEC 27701 : cette norme est une extension de la norme ISO/IEC 27001 et fournit des directives pour la mise en œuvre d'un système de gestion des informations de confidentialité (PIMS). La norme ISO/IEC 27701 aide les organisations à établir et à maintenir des contrôles afin de protéger les données personnelles et de se conformer aux réglementations de confidentialité, telles que le Règlement général sur la protection des données (RGPD).

Les normes de sécurité ISO fournissent aux organisations une structure qui leur permet d'établir des pratiques efficaces de gestion de la sécurité des informations. La conformité à ces normes démontre un engagement à sécuriser les informations sensibles, à gérer les risques et à mettre en œuvre des contrôles de sécurité robustes. Les organisations peuvent demander la certification ISO par le biais d'un processus d'audit formel conduit par des organisations de certification accrédités afin de valider leur conformité aux normes de sécurité ISO.