Glossaire des cadres

Le Secteur des Systèmes de Transport (TSS) représente un vaste réseau interconnecté et complexe de systèmes et de biens facilitant le déplacement des passagers et du fret. Reconnaissant la nature critique de ce secteur pour les opérations quotidiennes et l'économie du pays, l'Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) a désigné le TSS comme l'un des secteurs d'infrastructure critique de la nation.

FAIR (Factor Analysis of Information Risk) est un cadre de gestion des risques spécifiquement conçu pour comprendre, analyser et quantifier les risques d'information en termes financiers. Il est différent des méthodes traditionnelles d'évaluation qualitative des risques et se concentre sur la quantification des risques en termes de fréquence probable et de magnitude probable des pertes futures.

Le BSI IT-Grundschutz offre une approche systématique de la gestion de la sécurité de l'information, en fournissant à la fois une méthodologie et un catalogue de mesures de sécurité adaptées aux différents aspects des environnements informatiques.

Le cadre MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances accessible dans le monde entier regroupant les tactiques et techniques des adversaires, fondée sur des observations réelles. Il sert de base au développement de modèles de menace spécifiques et de méthodologies dans le secteur privé, le gouvernement et la communauté des produits et services de cybersécurité.

Le Cadre de Conformité de Sécurité de la Fondation de Sécurité de l'Internet des Objets (IoTSF) est un ensemble de directives et de bonnes pratiques visant à assurer la conception, le développement et le déploiement sécurisés des dispositifs de l'IoT (Internet des Objets) et de leurs écosystèmes associés.

Le cadre de contrôle interne COSO, souvent simplement appelé COSO, est un cadre largement reconnu conçu pour améliorer la capacité d'une organisation à atteindre ses objectifs grâce à l'application efficace de contrôles internes. Ce cadre fournit des conseils aux organisations pour concevoir et évaluer l'efficacité des systèmes de contrôle interne.

Le cadre de gestion des risques d'entreprise (ERM) COSO, souvent simplement appelé COSO ERM, est un cadre largement accepté et utilisé pour concevoir, mettre en œuvre, conduire et améliorer la gestion des risques d'entreprise au sein des organisations. Il aligne la gestion des risques avec la stratégie d'entreprise, en stimulant la performance.

Développé et recommandé par le Centre australien de cybersécurité (ACSC), le cadre Essential Eight propose un ensemble de stratégies d'atténuation fondamentales conçues pour prévenir les attaques de logiciels malveillants, l'accès non autorisé et l'exfiltration de données.

Les contrôles du Centre pour la sécurité de l'Internet (CIS) et les benchmarks CIS sont un ensemble de bonnes pratiques conçues pour aider les organisations à renforcer leur posture de sécurité. Ces contrôles, développés par une communauté d'experts en informatique, se concentrent sur une série d'actions prioritaires qui constituent la base de tout bon programme de cybersécurité, aidant les organisations à protéger leurs systèmes et leurs données contre les menaces cybernétiques les plus omniprésentes.

CMMC est un cadre introduit par le département de la Défense des États-Unis (DoD). Il s'agit d'une norme unifiée pour la mise en œuvre de la cybersécurité dans l'ensemble de la base industrielle de défense (DIB), qui se compose de plus de 300 000 entreprises dans la chaîne d'approvisionnement du DoD.

L'Alliance pour la Sécurité du Cloud (CSA) est une organisation à but non lucratif dédiée à la définition et à la sensibilisation aux meilleures pratiques pour assurer un environnement de cloud computing sécurisé. À travers ses diverses initiatives, projets de recherche et groupes de travail, la CSA fournit des conseils complets aux entreprises et aux particuliers exploitant les services cloud.

Les Contrôles Généraux de l'Informatique (CGI) sont des contrôles critiques qui soutiennent la fiabilité des systèmes et des informations au sein d'une organisation. Ils englobent généralement une série de politiques et de procédures qui assurent le fonctionnement efficace et sécurisé des systèmes informatiques d'une organisation et préservent l'intégrité des données.

Le travail de l'ETSI dans la cryptographie quantique sécurisée implique la recherche et le développement de normes résistantes aux menaces cryptographiques potentielles posées par l'informatique quantique. Ce domaine de la cryptographie se concentre sur la création d'algorithmes et de protocoles qui resteraient sécurisés même à l'ère des ordinateurs quantiques, qui pourraient potentiellement casser de nombreux systèmes cryptographiques actuellement utilisés.

Cyber Essentials est un programme soutenu par le gouvernement britannique visant à aider les organisations à se protéger contre les menaces cybernétiques courantes. Il offre un ensemble de contrôles techniques de base que les organisations peuvent mettre en œuvre pour réduire considérablement leur vulnérabilité aux cyberattaques.

L'ETSI EN 303 645 est une norme de cybersécurité qui établit une base de sécurité pour les produits de consommation connectés à Internet et constitue la base des futurs systèmes de certification IoT. Développée par l'Institut Européen des Normes de Télécommunications (ETSI), cette norme vise à répondre aux préoccupations généralisées concernant la sécurité des appareils de l'Internet des objets (IoT).

Le Groupe de Spécification de l'Industrie de l'ETSI sur la sécurisation de l'intelligence artificielle (ISG SAI) se concentre sur la sécurisation de l'IA à la fois du point de vue de l'utilisation et de l'adversaire, visant à construire une base normalisée pour des déploiements d'IA robustes et sécurisés.

Le cadre ETSI MEC (European Telecommunications Standards Institute Mobile Edge Computing) est un cadre de normalisation qui permet des capacités de l'environnement de services informatiques à la périphérie des réseaux mobiles. Ce cadre vise à apporter des capacités de cloud computing dans le Réseau d'Accès Radio (RAN) et à permettre le déploiement efficace de nouvelles applications et services.

ETSI NFV (Virtualisation des Fonctions Réseau) est un cadre conceptuel proposé par l'Institut Européen des Normes de Télécommunications. Il vise à transformer la manière dont les services de réseau sont déployés sur les réseaux de télécommunication en utilisant la technologie de virtualisation informatique standard.

ETSI TC Cyber est un comité technique au sein de l'Institut Européen des Normes de Télécommunication (ETSI) qui se concentre sur la normalisation dans le domaine de la cybersécurité. Son travail implique le développement de normes, de spécifications techniques et de rapports pour garantir des niveaux élevés de sécurité pour les services, équipements et infrastructures des Technologies de l'Information et de la Communication (TIC).

ETSI TS 103 645 est une norme européenne (secteur de la normalisation des télécommunications) qui fournit un ensemble d'exigences de sécurité de base pour les dispositifs de l'Internet des objets (IoT) destinés aux consommateurs. C'est l'une des premières normes visant spécifiquement à assurer un niveau minimum de sécurité pour les produits IoT destinés à un usage grand public.

L'Essentiel 8 est un ensemble de stratégies et de contrôles de cybersécurité de base développés par le Centre australien de la cybersécurité (ACSC). Il est conçu pour aider les organisations à protéger leurs systèmes contre un large éventail de menaces cybernétiques en priorisant et en mettant en œuvre des stratégies de mitigation essentielles.

La Federal Information Processing Standards Publication 199 (FIPS 199) est un ensemble de normes pour catégoriser les informations et les systèmes d'information collectés ou maintenus par ou pour le compte des agences fédérales.

Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est conçu pour promouvoir l'adoption de services cloud sécurisés par l'ensemble du gouvernement fédéral. Il fournit une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des technologies cloud.

La loi fédérale sur la gestion de la sécurité de l'information (FISMA) est une législation des États-Unis qui définit un cadre complet pour protéger les informations, les opérations et les actifs gouvernementaux contre les menaces naturelles ou d'origine humaine.

HITRUST, qui signifie Health Information Trust Alliance, est une entreprise privée qui a collaboré avec des leaders du secteur de la santé, de la technologie et de la sécurité de l'information pour établir le HITRUST Common Security Framework. Le HITRUST CSF est un cadre de sécurité complet et certifiable utilisé par les organisations de santé pour gérer efficacement la conformité réglementaire et la gestion des risques.

Les meilleures pratiques actuelles (BCP) du groupe de travail d'ingénierie Internet (IETF) sont une série de documents qui capturent le consensus de l'IETF sur une gamme de questions techniques et organisationnelles. Elles visent à fournir des orientations, des explications et des recommandations sur les meilleures pratiques pour faciliter le bon fonctionnement de l'Internet et informer les utilisateurs et les techniciens sur les normes opérationnelles préférées.

ISA/IEC 62443 est une série de normes qui fournissent un cadre flexible pour aborder et atténuer les vulnérabilités de sécurité actuelles et futures dans les systèmes d'automatisation et de contrôle industriels (IACS). Ces normes ont été développées par la Commission électrotechnique internationale (CEI) et l'International Society of Automation (ISA).

ISO 13485 est une norme reconnue internationalement qui définit les exigences pour un système de gestion de la qualité spécifique à l'industrie des dispositifs médicaux. Elle est conçue pour être utilisée par les organisations impliquées dans la conception, la production, l'installation et l'entretien des dispositifs médicaux et des services associés.

ISO 14040 est une norme reconnue internationalement qui se concentre sur les principes et le cadre pour l'évaluation du cycle de vie (ACV) des produits et services. Cette ACV englobe toutes les étapes, de l'extraction des matières premières au traitement, à la distribution, à l'utilisation, à la réparation et à la maintenance, jusqu'à l'élimination finale ou au recyclage.

L'ISO 14044 est une norme internationalement acceptée qui précise les exigences et les lignes directrices spécifiques pour l'évaluation du cycle de vie (ECV) liée à la performance environnementale des produits, en tenant compte de toutes les étapes, de l'extraction des matières premières à l'élimination finale ou au recyclage. Elle s'appuie sur les principes établis dans l'ISO 14040.

ISO 20121 est une norme internationale qui spécifie les exigences d'un système de gestion de la durabilité des événements pour améliorer la durabilité des événements.

L'ISO 22000 est une norme internationale pour les systèmes de management de la sécurité des aliments. Elle fournit une approche globale pour que les producteurs alimentaires identifient et contrôlent les dangers liés à la sécurité des aliments.

ISO/IEC 22301 est une norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de la continuité des activités (SMCA) documenté. Cette norme est conçue pour aider les organisations à se protéger, à réduire la probabilité de survenance et à assurer la reprise de leurs activités après des incidents perturbateurs.

ISO 26000 est une norme internationale développée pour fournir des conseils sur la responsabilité sociale. Elle offre aux organisations un cadre complet pour comprendre et mettre en œuvre des pratiques et des principes socialement responsables, favorisant la durabilité et contribuant positivement à la société.

L'ISO 28000 est une norme internationale qui spécifie les exigences pour un système de gestion de la sécurité, en particulier pour la chaîne d'approvisionnement. Elle est conçue pour aider les organisations à gérer les risques, les menaces et les vulnérabilités en matière de sécurité dans la chaîne d'approvisionnement, y compris la logistique.

ISO 31000 est une norme internationale qui fournit des principes, un cadre et un processus pour la gestion des risques. Elle offre des conseils sur les principes de gestion des risques et la mise en œuvre de stratégies de gestion des risques, visant à aider les organisations à identifier, évaluer et gérer les risques dans divers aspects de leurs opérations.

ISO 37001 est une norme internationale qui spécifie les exigences et fournit des conseils pour établir, mettre en œuvre, maintenir, revoir et améliorer un système de gestion anti-corruption. Cette norme est conçue pour aider les organisations dans la prévention, la détection et la réponse à la corruption, favorisant une culture d'intégrité, de transparence et de conformité.

ISO 50001 est une norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de management de l'énergie (SME). La norme vise à permettre aux organisations de suivre une approche systématique pour améliorer continuellement la performance énergétique, y compris l'efficacité énergétique, l'utilisation et la consommation.

ISO 8601 is an international standard that specifies the format for representing dates and times. It aims to provide a clear and consistent way to express dates and times across different countries and cultures, avoiding ambiguity and misinterpretation.

ISO 9001 est un cadre de gestion de la qualité reconnu au niveau international, conçu pour aider les organisations à répondre de manière constante aux besoins et aux attentes de leurs clients ainsi qu'aux exigences légales et réglementaires applicables, tout en améliorant continuellement leurs processus et leurs performances globales.

ISO/IEC 11179 is an international standard for metadata registries. It provides a framework for the representation of metadata in order to facilitate the correct and proper use and interpretation of data.

ISO/IEC 11801 est une norme internationale qui spécifie les systèmes de câblage de télécommunications à usage général (câblage structuré) adaptés à un large éventail d'applications (téléphonie analogique et RNIS, diverses normes de communication de données, systèmes de contrôle des bâtiments, automatisation des usines). Elle couvre à la fois le câblage en cuivre équilibré et le câblage en fibre optique.

ISO/IEC 15288 est une norme reconnue mondialement pour l'ingénierie des systèmes et des logiciels. Elle propose un cadre complet pour les processus de cycle de vie des systèmes, incluant à la fois les composants logiciels et matériels.

ISO/IEC 15408, populairement connu sous le nom de Common Criteria (CC), est une norme internationale qui fournit un cadre pour évaluer les propriétés de sécurité des produits et systèmes des technologies de l'information (TI).

ISO/IEC 15415 est une norme internationale qui spécifie les paramètres de qualité et les méthodologies pour évaluer les caractéristiques optiques des symboles de codes-barres bidimensionnels (2D), tels que les codes QR, Data Matrix et PDF417.

ISO/IEC 17025 est une norme mondiale pour les laboratoires d'essais et d'étalonnage. Elle décrit les exigences générales pour la compétence, l'impartialité et le fonctionnement cohérent des laboratoires.

ISO/IEC 19770 est une norme internationale qui spécifie les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration d'un système de gestion des actifs informatiques.

L'ISO/IEC 20000-1 est une norme internationale qui spécifie les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de gestion des services.

ISO/IEC 20243-1, également connu sous le nom de norme Open Trusted Technology Provider™ (O-TTPS), est une norme internationale conçue pour atténuer le risque d'introduction de produits contaminés et contrefaits dans la chaîne d'approvisionnement. Elle se concentre sur l'intégrité des produits COTS (Commerciaux sur Étagère) des Technologies de l'Information et de la Communication (TIC) et fournit un ensemble de lignes directrices pour les meilleures pratiques organisationnelles en matière de fabrication, de sourcing et d'intégrité des produits.

L'ISO/IEC 24734 est une norme internationale qui spécifie la méthode pour tester et mesurer la productivité des appareils d'impression numérique, y compris les imprimantes à fonction unique et multifonction, quelle que soit la technologie utilisée (par exemple, jet d'encre, laser). Elle fournit un ensemble de documents de test standardisés, des procédures de configuration des tests et les exigences de rapport pour les résultats des tests.

ISO/IEC 24748 est une série de normes internationales fournissant des conseils sur la gestion du cycle de vie, y compris les termes et définitions, les processus et les modèles conceptuels. Elle fait partie de la suite de normes d'ingénierie des systèmes et des logiciels et est étroitement liée aux processus définis dans ISO/IEC/IEEE 15288 et ISO/IEC/IEEE 12207.

ISO/IEC 27003 fait partie de la famille de normes ISO/IEC 27000, connue pour fournir des recommandations de bonnes pratiques sur la gestion de la sécurité de l'information au sein d'une organisation. Plus précisément, l'ISO/IEC 27003 se concentre sur les lignes directrices pour la mise en œuvre d'un système de gestion de la sécurité de l'information (ISMS) comme décrit dans l'ISO/IEC 27001, offrant des détails supplémentaires pour aider dans le processus de conception et de mise en œuvre.

ISO/IEC 27004 est une norme internationale qui fournit des lignes directrices destinées à aider les organisations à évaluer la performance et l'efficacité d'un Système de Management de la Sécurité de l'Information (SMSI) mis en œuvre sur la base de l'ISO/IEC 27001. Elle offre des conseils sur la mesure et l'évaluation de la sécurité de l'information au sein de l'organisation.

ISO/IEC 27005 est une norme internationale dédiée à la gestion des risques de la sécurité de l'information. Elle fournit des lignes directrices pour la gestion des risques de sécurité de l'information dans une organisation, soutenant les exigences d'un Système de Management de la Sécurité de l'Information (SMSI) défini dans ISO/IEC 27001.

ISO/IEC 27017 provides guidelines on the information security aspects of cloud computing, recommending information security controls for cloud service providers and customers. It builds on the existing controls in ISO/IEC 27002 with additional implementation guidance specific to cloud services.

ISO/IEC 27018 fournit des lignes directrices et des contrôles pour protéger les informations personnelles identifiables (PII) dans l'environnement de l'informatique en nuage public.

L'ISO/IEC 27037 est une norme internationale fournissant des directives pour l'identification, la collecte, l'acquisition et la préservation des preuves électroniques, qui font partie du processus de récupération des preuves numériques. Ce cadre est crucial pour assurer l'intégrité et l'authenticité des preuves numériques, qui peuvent être utilisées dans des procédures judiciaires.

ISO/IEC 27400, intitulé "Internet des objets (IoT) – Sécurité et confidentialité pour l'IoT", est une norme internationale qui fournit des lignes directrices pour la sécurité et la confidentialité de l'IoT, y compris des considérations pour la conception, le développement, la mise en œuvre et l'utilisation des systèmes et services IoT.

L'ISO/IEC 29147 est une norme internationale qui fournit des lignes directrices pour les processus de divulgation des vulnérabilités. Elle présente des recommandations sur la manière dont les organisations doivent informer les fournisseurs des vulnérabilités potentielles dans leurs produits et sur la façon dont les fournisseurs doivent traiter et gérer ces divulgations.

L'ISO/IEC 30111 est une norme internationale qui décrit la gestion appropriée des informations sur les vulnérabilités potentielles dans les produits. Elle fournit un cadre sur la manière dont les organisations doivent gérer le processus de réception, d'investigation et de résolution des problèmes concernant les vulnérabilités dans un produit ou un service en ligne.

L'ISO/IEC 38500 est une norme internationale offrant un cadre de gouvernance efficace des technologies de l'information (TI). Elle vise à aider les organisations à comprendre et à remplir leurs obligations légales, réglementaires et éthiques concernant l'utilisation de leurs TI.

ISO/IEC 42001 est une norme internationale révolutionnaire conçue pour assurer le développement, le déploiement et la gestion responsables des systèmes d'intelligence artificielle (IA). Elle fournit aux organisations un cadre complet pour aborder les risques éthiques, juridiques et opérationnels associés à l'IA, favorisant ainsi la confiance et la transparence dans les technologies d'IA.

L'objectif de l'ISO/IEC/IEEE 29119 est de définir un ensemble de normes internationalement convenues pour les tests de logiciels qui peuvent être utilisées par toute organisation impliquée dans le développement de logiciels. Il couvre des aspects tels que les processus de test, la documentation de test, les techniques de test et la gestion des tests, visant à fournir un guide complet pour des tests de logiciels efficaces et efficients.

ISO/SAE 21434, "Véhicules routiers — Ingénierie de la cybersécurité," est une norme qui établit des lignes directrices et des meilleures pratiques pour la gestion des risques de cybersécurité concernant l'ingénierie des systèmes de véhicules routiers. Elle aborde la préoccupation croissante pour la cybersécurité des véhicules dans le contexte de la technologie automobile de plus en plus connectée et automatisée.

La directive sur la sécurité des réseaux et de l'information, entrée en vigueur en 2016, oblige les États membres de l'UE à élaborer et adopter une stratégie nationale de cybersécurité (NCSS) pour faire face aux menaces actuelles et émergentes en matière de cybersécurité. Pour soutenir les efforts de ces États membres, l'Agence de l'Union européenne pour la cybersécurité (ENISA) fournit des lignes directrices sur la manière de développer, mettre en œuvre et mettre à jour une NCSS.

La loi Sarbanes-Oxley, souvent abrégée en SOX, est une loi fédérale des États-Unis adoptée en 2002 en réponse à des faillites et fraudes d'entreprises qui ont entraîné des pertes financières substantielles pour les investisseurs institutionnels et individuels au début des années 2000. La SOX a été conçue pour améliorer la transparence et la responsabilité dans les rapports financiers et pour protéger les investisseurs et le public contre les pratiques financières frauduleuses au sein des entreprises cotées en bourse.

La loi sur la protection de la vie privée promeut et protège la vie privée des individus en Australie. Elle régule le traitement des informations personnelles par les organisations du secteur public fédéral et du secteur privé.

La Loi sur la protection des données 2018 (DPA) offre aux individus des droits concernant leurs informations personnelles et établit également des exigences que le gouvernement et les organisations doivent suivre lors de la collecte et du traitement de ces données.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne sur la protection de la vie privée qui régit la manière dont les organisations du secteur privé collectent, utilisent et divulguent des renseignements personnels dans le cadre d'activités commerciales.

Le Modèle de Maturité de la Sécurité de l'Infrastructure (BSIMM) est un modèle basé sur des données qui offre une vue approfondie des initiatives de sécurité des logiciels. BSIMM n'est ni une norme ni une liste de contrôle, mais plutôt une réflexion des pratiques actuelles observées dans les programmes de sécurité des logiciels réels. En évaluant les initiatives de sécurité des logiciels de plusieurs organisations, BSIMM offre un point de comparaison pour guider et comparer les pratiques de sécurité des logiciels.

Le Modèle de Maturité des Capabilités en Cybersécurité (C2M2) est un cadre conçu pour évaluer et améliorer les capacités de cybersécurité des organisations. Il se concentre sur la mise en œuvre et la gestion des pratiques de cybersécurité associées à la technologie de l'information (TI), à la technologie opérationnelle (TO) et aux actifs et environnements d'information.

La publication spéciale NIST 800-115, "Guide technique pour les tests et évaluations de la sécurité de l'information", fournit des lignes directrices aux organisations sur la manière de réaliser des tests et des évaluations de la sécurité de leurs systèmes d'information. Elle couvre diverses méthodologies, techniques et processus liés aux évaluations de la sécurité.

Publication spéciale 800-137 du NIST, « Surveillance continue de la sécurité de l'information (ISCM) pour les systèmes et organisations d'information fédéraux », fournit des conseils et des meilleures pratiques pour établir, mettre en œuvre et maintenir un programme de surveillance continue de la sécurité de l'information dans les agences et organisations fédérales.

NIST Special Publication 800-145, "The NIST Definition of Cloud Computing," provides a comprehensive framework for understanding and defining cloud computing. It serves as a valuable resource for organizations navigating the cloud landscape.

Le NIST 800-172 fournit des exigences de sécurité renforcées pour protéger les informations non classifiées contrôlées (CUI) dans les systèmes et organisations non fédéraux. Il décrit des mesures de sécurité améliorées pour protéger les informations sensibles qui ne sont pas classifiées mais qui nécessitent néanmoins une protection.

La Publication spéciale 800-30 du NIST, "Guide pour la réalisation des évaluations des risques", fournit des conseils aux organisations pour réaliser des évaluations des risques des systèmes et des organisations d'information fédéraux. Elle amplifie les conseils donnés dans la Publication spéciale 800-39 du NIST, qui décrit le processus de gestion des risques organisationnels.

The New York Department of Financial Services (NYDFS) NYCRR 500 is a set of guidelines and requirements designed to enhance the cybersecurity posture of financial institutions operating in the state of New York.

La norme prudentielle CPS 234 est un cadre réglementaire établi par l'Australian Prudential Regulation Authority (APRA) pour renforcer la cybersécurité dans le secteur des services financiers.

Les normes d'accessibilité TIC 508 et les directives 255 sont un ensemble de directives et d'exigences établies pour garantir que la technologie de l'information et de la communication des agences fédérales soit accessible aux personnes ayant des handicaps physiques, sensoriels ou cognitifs. Ces normes sont conçues pour promouvoir l'inclusivité et l'accès égalitaire aux outils d'information et de communication numériques, permettant à tous les individus, quelles que soient leurs incapacités, de participer pleinement au monde numérique.

Le projet OWASP Application Security Verification Standard (ASVS) fournit un cadre pour la sécurité des applications web et des services web. Il établit une base de contrôle de sécurité pour les applications web dans leurs phases de conception, de développement et de test, offrant aux développeurs, testeurs et architectes une feuille de route claire pour créer des applications sécurisées.

Les objectifs de contrôle pour les technologies de l'information et les technologies connexes (COBIT) sont un cadre complet conçu pour le développement, la mise en œuvre, le suivi et l'amélioration des pratiques de gouvernance et de gestion des technologies de l'information (TI). Il offre une perspective commerciale globale pour la gouvernance des TI, reliant les objectifs commerciaux aux objectifs des TI.

TX-RAMP a été établi par le Département des Ressources Informatiques du Texas pour fournir une approche standardisée pour l'évaluation de la sécurité, l'autorisation et la surveillance continue des services de cloud computing qui traitent, stockent ou transmettent les données d'une agence d'État.

La protection des infrastructures d'information critiques (CIIP) concerne les mesures, stratégies et activités visant à assurer la sécurité, la fiabilité et la résilience des infrastructures d'information critiques. Ces infrastructures, souvent considérées comme l'épine dorsale des services et fonctions essentiels des nations, nécessitent une protection spéciale contre diverses menaces cybernétiques pour garantir le bien-être sociétal et économique.

Les Normes de la Commission Fédérale du Commerce pour la Protection des Informations Client sont un cadre réglementaire destiné à garantir la sécurité et la confidentialité des informations clients détenues par les institutions financières et autres entités.

SOC 1® est conçu pour fournir aux utilisateurs spécifiques des informations sur les contrôles d'une organisation de services pertinentes pour le contrôle interne financier de leurs clients. Un rapport SOC 1 est souvent demandé par les clients d'une organisation de services et leurs auditeurs.

SOC 3® est conçu pour fournir aux utilisateurs généraux un rapport concis et de haut niveau sur les contrôles d'une organisation de services en matière de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de vie privée.

La politique de sécurité des Services d'Information sur la Justice Criminelle (CJIS) est un ensemble de normes strictes qui régissent la création, la visualisation, la modification, la transmission, la diffusion, le stockage et la destruction des Informations de Justice Criminelle (CJI). Ces normes garantissent que les CJI restent disponibles, confidentielles et intégrales.

StateRAMP est conçu pour aider les gouvernements des États et locaux ainsi que les institutions publiques à collaborer avec les fournisseurs de services cloud qui ont mis en œuvre de solides pratiques de sécurité de l'information et de protection des données.

Trusted Information Security Assessment Exchange(TISAX) est un cadre adapté à l'industrie automobile pour assurer la confidentialité, l'intégrité et la disponibilité des informations sensibles. Il fournit une méthode standardisée pour évaluer et échanger des informations de sécurité dans la chaîne d'approvisionnement automobile.

La série de normes UL 2900, souvent appelée le cadre UL 2900, a été développée par Underwriters Laboratories (UL) pour fournir une base permettant d'évaluer et de certifier la sécurité des produits connectés. Cette série se concentre sur l'évaluation des vulnérabilités et des faiblesses des logiciels dans les dispositifs connectables par réseau, en considérant à la fois le produit et l'environnement organisationnel.