Définition et objectif

La FISMA a été promulguée dans le cadre de l'E-Government Act de 2002. Son objectif principal est d'assurer l'efficacité des contrôles de sécurité de l'information sur les ressources d'information qui soutiennent les opérations et les actifs fédéraux. La FISMA impose le développement et la mise en œuvre de normes et de lignes directrices obligatoires pour les systèmes d'information fédéraux.

Organisme de régulation

Le National Institute of Standards and Technology (NIST) est responsable de l'établissement des normes et des lignes directrices, tandis que l'Office of Management and Budget (OMB) supervise la mise en œuvre de la loi. Le Department of Homeland Security (DHS) joue également un rôle en aidant les agences à mettre en œuvre la FISMA.

Dernière mise à jour

La FISMA a été initialement adoptée en 2002, mais elle a fait l'objet de mises à jour et de réformes importantes avec l'adoption de la loi de modernisation de la sécurité de l'information fédérale (réforme FISMA) en 2014. La loi sur la cybersécurité de 2023 mettrait à jour la FISMA pour exiger que les agences fédérales signalent tous les incidents de cybersécurité et mettent en œuvre des procédures standardisées de cybersécurité de manière régulière.

S'applique à

La FISMA s'applique à toutes les agences fédérales, leurs contractants et autres organisations qui traitent, stockent ou transmettent des informations fédérales. Elle ne s'applique pas directement au secteur privé, aux gouvernements des États et locaux ou aux entités tribales, sauf s'ils traitent des données fédérales ou fournissent des services pour le compte d'une agence fédérale.

Contrôles et exigences

La conformité à la FISMA repose sur les normes et les lignes directrices établies par le NIST, principalement :

• NIST SP 800-53 : Cette publication liste les contrôles de sécurité que les agences fédérales doivent appliquer. Les contrôles sont organisés en familles, comme le contrôle d'accès, la vérification et la responsabilisation, la réponse aux incidents, l'évaluation de la sécurité, la protection des systèmes et des communications, etc.
• NIST SP 800-37 : Fournit des lignes directrices pour le cadre de gestion des risques, que les agences utilisent pour certifier et accréditer leurs systèmes d'information.

Ces normes détaillent les processus et les contrôles requis pour la conformité à la FISMA, qui incluent des évaluations périodiques des risques, des politiques et des procédures, une formation à la sensibilisation à la sécurité, une surveillance continue et des capacités de réponse aux incidents.

Veuillez vous référer à la documentation officielle FISMA 2014 pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

La FISMA exige que les agences fédérales effectuent des révisions annuelles de leurs programmes de sécurité de l'information. Cela peut inclure des auto-évaluations, des évaluations par des tiers et des évaluations de l'Inspecteur général (IG). Les pratiques de surveillance continue peuvent entraîner des évaluations plus fréquentes de certains systèmes ou contrôles.

La durée d'un audit FISMA varie en fonction de la taille et de la complexité de l'agence ou du système examiné. Une évaluation complète à l'échelle de l'agence pourrait prendre plusieurs mois, tandis que les évaluations de systèmes ou de contrôles spécifiques pourraient être complétées dans un délai plus court.