Protéger les données de votre organisation n'est pas juste une bonne pratique — c'est une nécessité. Mais avec des centaines de cadres de conformité réglementaire et de sécurité disponibles, comment savoir lesquels sont adaptés à votre entreprise ? De plus, pourquoi ces cadres sont-ils importants et comment peuvent-ils vous aider à renforcer votre posture de sécurité ?
Le bon cadre vous offrira un moyen structuré de gérer les risques et de vous assurer que vous remplissez vos obligations légales et contractuelles. Dans cet article, nous aborderons les bases de 15 cadres de conformité réglementaire et de sécurité pour vous aider à prendre une décision éclairée sur lesquels s'appliquent à votre organisation.
Sécurité structurée : Pourquoi les cadres de conformité sont importants
Les cadres de conformité en matière de sécurité offrent un ensemble structuré de lignes directrices et de meilleures pratiques pour la sécurité et la confidentialité des données. Ces cadres sont souvent conçus par des experts de l'industrie et sont destinés à aider les entreprises à naviguer dans le paysage complexe de la cybersécurité. En adhérant à un cadre de confiance, les organisations peuvent s'assurer qu'elles font preuve de diligence raisonnable pour protéger les données sensibles, atténuer les risques de sécurité et même respecter les réglementations légales.
Les cadres de conformité servent à plusieurs fins. Tout d'abord, ils offrent une feuille de route pour créer un environnement sécurisé adapté à des besoins spécifiques—que ce soit dans la santé, les finances ou le commerce de détail. Deuxièmement, ils aident à standardiser les protocoles de sécurité, facilitant ainsi la communication et la collaboration sécurisées entre les organisations. Enfin, dans de nombreux cas, la conformité n'est pas optionnelle. Ne pas se conformer aux cadres de sécurité pertinents peut entraîner des répercussions financières et juridiques sévères, sans parler des dommages potentiels à la réputation de la marque.
Comment décider quels cadres de conformité adopter
Chaque cadre a son propre ensemble d'exigences et de processus d'audit. Le choix du ou des cadres à adopter est souvent guidé par plusieurs facteurs :
- Spécificités de l'industrie : Certains cadres sont spécifiques à certaines industries. Par exemple, les organisations de santé aux États-Unis doivent se conformer à la HIPAA, tandis que les institutions financières doivent généralement respecter la SOX.
- Portée géographique : Votre emplacement et les emplacements de vos clients peuvent dicter les cadres dont vous avez besoin. Par exemple, les clients de l'UE exigeront la conformité au RGPD, et un marché mondial nécessitera probablement la certification ISO 27001.
- Objectifs commerciaux : Parfois, le choix du cadre est également influencé par vos objectifs commerciaux. Si vous visez un marché particulier ou envisagez de vous faire acquérir, la conformité à certains cadres peut vous rendre plus attrayant pour les investisseurs ou les acheteurs potentiels.
- Disponibilité des ressources : Mettre en œuvre un cadre de conformité nécessite un investissement significatif en temps, en personnel et en technologie, et ce niveau d'effort peut et va varier en fonction du cadre. La disponibilité de ressources de votre organisation peut être un facteur déterminant dans le choix des cadres à adopter et du moment pour le faire.
Cadres de conformité réglementaire
Les cadres réglementaires sont des ensembles de lignes directrices, de règles et de principes établis par des organismes de réglementation ou des gouvernements pour superviser des activités, des industries ou des secteurs spécifiques. Ces cadres sont légalement requis et sont développés pour garantir que l'industrie fonctionne d'une manière compatible avec les intérêts publics tels que la sécurité, l'équité et la durabilité environnementale.
Ci-dessous, nous expliquerons les bases de huit grands cadres réglementaires en vigueur dans le monde.
Le Règlement général sur la protection des données (RGPD) de l'Union Européenne
Le RGPD donne aux citoyens de l'UE un meilleur contrôle sur leurs données personnelles et redéfinit la manière dont les organisations doivent aborder la confidentialité des données. Le RGPD s'applique à la fois aux organisations situées dans l'UE et à celles situées en dehors de l'UE qui traitent les informations personnelles des résidents de l'UE.
Le RGPD définit largement les données personnelles comme toute information relative à une personne physique identifiée ou identifiable. Cela peut inclure le nom, l'adresse, l'adresse IP, les informations de santé, les données financières, et plus encore.
Principales exigences réglementaires :
- Établir une base légale pour le traitement des données
- Obtenir le consentement des personnes concernées de manière claire, spécifique, informée et sans ambiguïté
- Respecter les droits des personnes concernées, y compris le droit à l'effacement
- Mettre en œuvre des mesures techniques et organisationnelles pour assurer la sécurité des données
- Envoyer des notifications en temps opportun en cas de violation de données
- Nommer un délégué à la protection des données (si applicable)
- Concevoir des produits et services avec la confidentialité à l'esprit
- Réaliser une évaluation d'impact sur la protection des données pour expliquer comment vous identifiez et minimisez les risques
- Restreindre les transferts de données personnelles en dehors de l'UE
- Déterminer si les lois sur la résidence des données sont applicables à votre organisation
- Compléter une formation de sensibilisation à la confidentialité au moins une fois par an
Le RGPD est appliqué par le Comité européen de la protection des données (CEPD), composé des autorités de protection des données de chacun des 27 États membres de l'UE. Les entreprises qui ne se conforment pas au RGPD peuvent être amendées jusqu'à 20 millions d'euros ou 4% de leur chiffre d'affaires annuel de l'année fiscale précédente, le montant le plus élevé étant retenu.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA)
La California Consumer Privacy Act (CCPA) est l'une des lois sur la confidentialité des données les plus complètes des États-Unis. Elle accorde aux consommateurs californiens un meilleur contrôle sur leurs informations personnelles, leur permettant de comprendre comment leurs données sont utilisées et de demander que leurs données soient supprimées ou non vendues à des tiers.
La loi s'applique aux entités à but lucratif qui font des affaires en Californie et qui ont des revenus annuels bruts de plus de 25 millions de dollars ; achètent, reçoivent ou vendent les informations personnelles de 50 000 résidents californiens, ménages ou appareils ou tirent 50 % ou plus de leurs revenus annuels de la vente d'informations personnelles des résidents californiens.
Principales exigences réglementaires
- Les consommateurs peuvent demander des détails sur les informations personnelles spécifiques qu'une entreprise a collectées à leur sujet.
- Les consommateurs peuvent demander aux entreprises de supprimer leurs informations personnelles.
- Les consommateurs peuvent demander aux entreprises qui vendent leurs informations personnelles à des tiers de cesser de le faire.
- Les entreprises ne peuvent pas discriminer les consommateurs pour avoir exercé leurs droits en vertu de la CCPA, comme facturer des prix différents ou fournir un niveau de service différent.
La CCPA est appliquée par le procureur général de Californie. Les violations qui ne sont pas résolues dans les 30 jours suivant la notification peuvent entraîner des sanctions civiles pouvant atteindre 2 500 dollars par violation et jusqu'à 7 500 dollars par violation intentionnelle. En cas de violation de données, les consommateurs peuvent obtenir des dommages et intérêts allant de 100 à 750 dollars par incident et par consommateur, ou des dommages réels (le montant le plus élevé étant retenu).
La loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)
La Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale américaine qui établit des normes pour la protection des informations sensibles sur la santé des patients.
HIPAA s'applique à la fois aux entités couvertes (médecins, cliniques de santé, hôpitaux, etc.) et à leurs partenaires commerciaux (entités fournissant des services à une entité couverte impliquant l'utilisation ou la divulgation d'informations de santé protégées).
Principales exigences réglementaires :
- Règle de confidentialité : protège la confidentialité des informations de santé personnellement identifiables connues sous le nom d'informations de santé protégées (PHI).
- Règle de sécurité : spécifie une série de mesures de protection administratives, physiques et techniques pour garantir la confidentialité, l'intégrité et la disponibilité des informations de santé électroniques protégées (ePHI).
- Règle de notification des violations : Les personnes concernées doivent être informées d'une violation dans les 60 jours suivant la découverte de la violation. Les notifications doivent être envoyées par écrit. Dans certains cas, la notification doit être faite aux médias et au secrétaire du ministère de la Santé et des Services sociaux (HHS).
- Règle du minimum nécessaire : Les divulgations ou demandes de renseignements de PHI doivent être limitées au minimum nécessaire pour atteindre l'objectif.
- Règle omnibus : Cette règle intègre des dispositions de la loi HITECH et aborde des domaines comme les responsabilités des associés commerciaux et les droits des patients à des copies électroniques de leurs dossiers de santé.
Le Bureau des droits civils du HHS (OCR) applique les règles de confidentialité et de sécurité. Les violations varient en fonction de la gravité et de l'intention derrière la violation. Les pénalités peuvent varier de 100 $ par violation à 1,5 million de dollars, plus des sanctions pénales.
Le programme de gestion des risques et des autorisations fédérales (FedRAMP)
FedRAMP est un programme du gouvernement fédéral américain qui standardise les processus d'évaluation de la sécurité, d'évaluation des risques, d'autorisation et de surveillance continue pour les services cloud utilisés par les agences fédérales.
Les services cloud commerciaux et non commerciaux (y compris ceux développés en interne par des agences fédérales) doivent se conformer à FedRAMP s'ils doivent être adoptés par des entités fédérales.
Exigences réglementaires clés :
- Un plan de sécurité du système (SSP) qui décrit les limites du système cloud, l'environnement du système, son fonctionnement et les processus et politiques de sécurité en place.
- Un ensemble de contrôles de sécurité standardisés dérivés du NIST SP 800-53, y compris les contrôles d'accès, la réponse aux incidents, la planification de la contingence et l'intégrité du système et de l'information.
- Surveillance continue et reporting sur leur état de sécurité, y compris les rapports réguliers, les processus de gestion des changements et l'analyse des vulnérabilités.
- Conformité aux 26 familles de contrôles NIST 800-53
- Évaluations de sécurité annuelles menées par un 3PAO
FedRAMP est géré par l'administration des services généraux (GSA), tandis que les agences fédérales individuelles sont responsables de l'octroi des autorisations de fonctionnement (ATO) et de veiller à ce que les services cloud qu'ils utilisent soient conformes à FedRAMP.
La non-conformité signifie qu'un fournisseur de services cloud peut ne pas se voir accorder d'ATO, ce qui le rend effectivement inapte à être adopté par les agences fédérales.
La loi fédérale de gestion de la sécurité de l'information (FISMA)
La loi fédérale de gestion de la sécurité de l'information (FISMA) est une loi fédérale américaine. Elle vise à améliorer la cybersécurité des agences fédérales et de leurs systèmes d'information en exigeant que les agences développent, documentent et mettent en œuvre un programme de sécurité et de protection des informations.
Exigences réglementaires clés :
- Évaluations des risques : Les agences sont tenues de réaliser des évaluations périodiques des risques pour déterminer la probabilité et l'impact de potentielles violations de sécurité.
- Contrôles de sécurité : En fonction des niveaux de risque, les agences gouvernementales doivent sélectionner et mettre en œuvre des contrôles de sécurité appropriés à partir de la publication spéciale NIST 800-53.
- Certification et accréditation : Les systèmes d'information doivent être certifiés pour leurs processus de sécurité puis accrédités par des responsables d'agence pour fonctionner.
- Surveillance continue : Les agences doivent surveiller en permanence leurs contrôles de sécurité et réaliser des évaluations périodiques des risques afin d'assurer une efficacité continue.
- Rapports d'incidents : Les agences doivent avoir des dispositions pour détecter, signaler et répondre aux incidents de sécurité.
- Évaluations indépendantes annuelles : Des évaluations continues du programme de sécurité de l'information d'une agence doivent être réalisées par des auditeurs indépendants.
FISMA est appliqué par le Bureau de la gestion et du budget (OMB), tandis que le Département de la Sécurité intérieure (DHS) fournit un support de mise en œuvre et le National Institute of Standards and Technology (NIST) développe des normes et des lignes directrices.
Le modèle de certification de la maturité en cybersécurité (CMMC)
Le Cybersecurity Maturity Model Certification (CMMC) est conçu pour améliorer la protection des informations sensibles de défense, notamment les informations contractuelles fédérales (FCI) et les informations non classées contrôlées (CUI), en vérifiant que les entreprises au sein de la chaîne d'approvisionnement du Département de la Défense disposent des contrôles nécessaires pour protéger adéquatement les données sensibles. À partir de 2026, toute organisation travaillant en tant que contractant du Département de la Défense sera légalement tenue de se conformer aux normes CMMC.
Exigences réglementaires clés :
- Niveau 1 : Fondamental : Les organisations ont des pratiques de cybersécurité de base en place. Les organisations peuvent mettre en œuvre ces pratiques de sécurité de manière ad hoc, sans s'appuyer sur la documentation. La certification implique une auto-évaluation annuelle. Le niveau CMMC 1 est destiné aux entrepreneurs et sous-traitants du DoD qui traitent des informations fédérales sur les contrats.
- Niveau 2 : Avancé : Les organisations doivent disposer de processus formellement documentés et répétables et les exécuter tels que documentés. Les organisations qui manipulent des informations liées à la sécurité nationale doivent subir une évaluation tierce (C3PAO) tous les trois ans. Les organisations ne traitant pas de données cruciales pour la sécurité nationale effectueront une auto-évaluation annuelle.
- Niveau 3 : Expert : Les organisations doivent avoir des stratégies et des ressources dédiées en place pour gérer les menaces persistantes avancées (APT). Cela inclut généralement des objectifs, des projets, des ressources et des programmes de formation documentés. Le niveau 3 s'applique aux entreprises qui manipulent les informations les plus sensibles pour les programmes du DoD.
L'organisme d'accréditation CMMC forme et accrédite les organisations de tierce partie certifiées (C3PAO), qui sont ensuite chargées d'évaluer les entreprises sur la base des normes CMMC. Les entreprises qui ne sont pas certifiées au niveau CMMC approprié ne sont pas éligibles pour soumissionner ou remporter des contrats du DoD nécessitant ce niveau de certification.
La loi Sarbanes-Oxley (SOX)
La loi Sarbanes-Oxley de 2002 (SOX) est une loi fédérale américaine visant à améliorer la gouvernance d'entreprise et la responsabilité. Elle est conçue pour protéger les investisseurs contre les rapports financiers frauduleux des sociétés. En mettant l'accent sur une plus grande transparence dans les rapports financiers, la SOX tient également les dirigeants responsables des divulgations financières de leurs entreprises.
Exigences réglementaires clés :
- Responsabilité des rapports financiers : La direction doit certifier l'exactitude des états financiers publiés.
- Évaluation par la direction des contrôles internes : La direction et l'auditeur externe doivent rendre compte de l'adéquation des contrôles internes de l'entreprise sur les rapports financiers.
- Tenue de documents : La SOX comprend des exigences relatives à la destruction, à la modification ou à la falsification des documents.
- Pénalités pour fausses certifications : Des pénalités sont imposées pour la certification de rapports financiers trompeurs ou frauduleux.
La Securities and Exchange Commission (SEC) est l'organisme de régulation principal pour la SOX, supervisant les audits des sociétés publiques. Les violations intentionnelles ou les fausses déclarations peuvent entraîner des sanctions pénales et civiles.
Cadres de Conformité en matière de Sécurité de l'Information
Les cadres de sécurité de l'information sont des directives structurées et des meilleures pratiques conçues pour aider les organisations à mettre en œuvre, gérer et mesurer l'efficacité de leur posture de sécurité de l'information. Ces cadres fournissent une approche systématique pour protéger les données sensibles contre l'accès, la divulgation, la modification et la destruction non autorisés.
Bien que la conformité à ces cadres ne soit pas légalement requise, la plupart d'entre eux sont essentiels pour les entreprises afin d'être compétitives sur le marché. La plupart des clients, en particulier les grandes entreprises, ne s'associeront pas avec des fournisseurs qui n'ont pas de rapports de conformité ou de certifications avec certains cadres de sécurité.
Nous décomposons ci-dessous les bases des cadres les plus demandés.
Contrôles Système et Organisation 2 (SOC 2)
SOC 2 vise à fournir confiance et visibilité sur la capacité d'une organisation de service à maintenir la sécurité des données. Créé par l'American Institute of Certified Public Accountants (AICPA), le SOC 2 se concentre sur la protection des données sensibles grâce aux cinq Critères de Confiance : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée.
Il existe deux types de rapports SOC 2. Un rapport de Type I évalue les contrôles d'une organisation à un moment donné. Un rapport de Type II évalue la performance des contrôles d'une organisation sur une période de temps, généralement de 3 à 12 mois. La durée de la période d'audit est à la discrétion de l'organisation, mais en général, les organisations choisissent 3 mois pour leur premier audit puis augmentent à 6 ou 12 mois pour le deuxième audit, jusqu'à ce qu'elles optent pour des périodes d'audit annuelles de 12 mois.
Bien que non requis par la loi, les rapports SOC 2 sont devenus un standard de facto de l'industrie pour la sécurité et la gestion des données. Ils sont généralement requis par les entreprises lorsqu'elles envisagent des partenariats avec des fournisseurs tiers.
Les exigences de conformité varient en fonction des critères des services de confiance en scope pour un audit SOC 2.
Principales exigences en matière de sécurité :
Sécurité
- Contrôles d’accès logiques et physiques : Assurer que seuls les individus autorisés peuvent accéder aux systèmes et aux données.
- Détection d’intrusion : Mettre en place des mesures pour détecter et répondre aux incidents de sécurité.
- Chiffrement des données : Chiffrer les données sensibles en transit et au repos.
- Pare-feux et sécurité réseau : Mettre en place des pare-feux pour bloquer l'accès non autorisé aux réseaux.
Disponibilité
- Surveillance système : Surveiller régulièrement la performance et la disponibilité des systèmes.
- Récupération après sinistre et continuité des activités : Établir et maintenir un plan de récupération après sinistre pour assurer la disponibilité continue des services.
- Gestion des incidents : Définir et suivre des procédures pour gérer les incidents affectant la disponibilité.
- Redondance : Utiliser des systèmes redondants, des centres de données et d'autres composants essentiels pour maintenir la disponibilité des services.
Intégrité du traitement
- Assurance qualité et contrôle des erreurs : Mettre en œuvre des contrôles de qualité pour garantir un traitement précis des données.
- Surveillance des processus : Surveiller les systèmes de traitement pour détecter les transactions incomplètes, incorrectes ou non autorisées.
- Vérification des données : Mettre en place des mesures pour vérifier les entrées et sorties de données.
- Outils de surveillance de l'intégrité : Utiliser des outils pour assurer l'intégrité des données lors du traitement et du stockage.
Confidentialité
- Classification des données : Classer les données en fonction de leur niveau de sensibilité.
- Restrictions d'accès : Restreindre l'accès aux données confidentielles selon le principe du besoin de savoir.
- Politiques de confidentialité : Développer et communiquer des politiques concernant le traitement des données confidentielles.
- Masquage et réduction des données : Utiliser le masquage et la réduction des données pour cacher les parties sensibles des données si nécessaire.
Vie privée
- Identification des informations personnelles : Identifier les informations personnelles (PII) et s'assurer qu'elles sont traitées avec une attention particulière.
- Politiques de confidentialité : Développer des politiques de confidentialité et les communiquer aux parties prenantes concernées.
- Consentement de l'utilisateur : Lorsque applicable, obtenir le consentement pour la collecte, le traitement et le partage des données personnelles.
- Formation sur la confidentialité : Former le personnel sur les exigences et responsabilités en matière de confidentialité.
Organisation Internationale de Normalisation/Commission Électrotechnique Internationale 27001 (ISO/IEC 27001)
Similaire à SOC 2, ISO 27001 aide les organisations à protéger leurs actifs informationnels. Respectée internationalement, cette norme fournit des directives pour établir, mettre en œuvre, maintenir et améliorer de manière continue un Système de Gestion de la Sécurité de l'Information (SGSI).
Les entreprises peuvent choisir de devenir certifiées ISO 27001 en passant par un audit effectué par un organisme de certification accrédité. La certification implique généralement deux étapes : un audit de Stage 1 pour examiner la documentation, et un audit de Stage 2 pour évaluer l'efficacité du SGSI. La certification est valide pour trois ans, avec des audits annuels de surveillance.
Principales exigences en matière de sécurité :
- ISO 27002:2022 Annexe A : Ce document inclut une liste de 93 contrôles de sécurité potentiels qu'une organisation peut mettre en œuvre. Ces contrôles sont regroupés en 4 catégories, incluant des contrôles organisationnels, humains, physiques et technologiques.
- Engagement de la direction : La direction exécutive doit démontrer un engagement à la création, au maintien et à l'amélioration continue du SGSI.
- Évaluation des risques : Identifier les actifs informationnels, les menaces internes et externes, les vulnérabilités, les impacts, les probabilités et les niveaux de risque.
- Traitement des risques : définir comment les risques identifiés seront atténués, évités, transférés ou acceptés. Mettre en œuvre les contrôles et les procédures choisis pour gérer les risques de cybersécurité.
- Évaluation et amélioration : des audits internes réguliers et des revues de gestion doivent être menés pour surveiller l'efficacité du SMSI. Toute non-conformité doit être traitée pour améliorer continuellement le SMSI.
Cadre de cybersécurité de l'Institut national des normes et de la technologie (NIST CSF)
Le cadre de cybersécurité du NIST offre une approche organisée et économique pour gérer les risques de cybersécurité. L'un des aspects les plus remarquables du NIST CSF est sa flexibilité. Les organisations peuvent personnaliser le cadre pour s'aligner sur leurs profils de risques spécifiques et leurs besoins commerciaux.
Le cadre actuel est construit autour de cinq fonctions essentielles :
- Identifier : comprendre les risques de cybersécurité pour les systèmes, les personnes, les biens et les données.
- Protéger : mettre en œuvre des mesures pour garantir la prestation de services critiques.
- Détecter : développer un moyen d'identifier les événements et anomalies de sécurité.
- Répondre : développer un moyen de répondre à un incident de sécurité détecté, y compris les communications et les analyses.
- Récupérer : développer un moyen de restaurer les capacités ou les services après un incident de cybersécurité.
Le NIST CSF 2.0 sera publié au début de 2024 et inclura la Gouvernance comme sixième fonction essentielle.
Exigences de sécurité clés :
- Mener une évaluation des risques pour comprendre la posture de risque de l'organisation.
- Sélectionner les contrôles de sécurité appropriés en fonction de l'évaluation des risques.
- Mettre en œuvre les politiques, procédures et technologies nécessaires pour atteindre les résultats du cadre.
- Surveiller l'efficacité des contrôles de sécurité et apporter des ajustements si nécessaire.
Cadre de gestion des risques de l'Institut national des normes et de la technologie (NIST RMF)
Décrit dans la publication spéciale 800-37 du NIST, le cadre de gestion des risques a été conçu pour aider les agences fédérales et autres organisations à gérer efficacement les risques de sécurité de l'information. Il fournit un processus structuré qui intègre les activités de sécurité et de gestion des risques dans le cycle de vie du développement du système :
- Préparer : établir le contexte, les priorités et les ressources pour le processus RMF au sein de l'organisation.
- Catégoriser : identifier quel type d'information le système traite et son importance pour l'organisation.
- Sélectionner : choisir les contrôles de sécurité pour le système qui sont adaptés à la catégorisation des informations.
- Mettre en œuvre : mettre en œuvre les contrôles de sécurité choisis et documenter leur mise en œuvre.
- Évaluer : tester et évaluer les contrôles de sécurité pour s'assurer qu'ils sont efficaces.
- Autoriser : sur la base de l'évaluation des contrôles de sécurité, autoriser le système à fonctionner ou refuser son fonctionnement.
- Surveiller : surveiller en continu les contrôles de sécurité et la posture de risque du système d'information, et rendre compte des changements.
Exigences de sécurité clés :
- Effectuer une évaluation globale des risques pour comprendre et documenter les risques.
- Choisir les contrôles appropriés dans le catalogue de contrôles de sécurité du NIST (NIST 800-53).
- Compléter la documentation à chaque étape, y compris les plans de sécurité du système (SSP), les rapports d'évaluation des risques et les packages d'autorisation.
- Maintenir une prise de conscience continue de la sécurité de l'information, des vulnérabilités et des menaces pour soutenir les décisions de gestion des risques de l'organisation.
Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)
Le PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité conçu pour garantir que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé. Créée par le Conseil des normes de sécurité de l'industrie des cartes de paiement (PCI SSC), cette norme vise à protéger les données des titulaires de carte contre le vol et à garantir des systèmes de paiement sécurisés.
La conformité au PCI DSS est imposée par les banques acquéreuses et les marques de cartes. Les amendes peuvent varier de 5 000 à 100 000 $ par mois et d'autres pénalités peuvent inclure des frais de transaction accrus ou la résiliation de la capacité d'accepter les paiements par carte.
En fonction du volume annuel de transactions, les entreprises peuvent être tenues de compléter des audits de sécurité réguliers par un évaluateur de sécurité qualifié (QSA) ou de remplir un questionnaire d'auto-évaluation (SAQ).
Exigences de sécurité clés :
Le PCI DSS est structuré autour de six objectifs principaux, qui sont divisés en douze exigences clés.
1. Construire et maintenir un réseau et des systèmes sécurisés
- Exigence 1 : Installer et maintenir une configuration de pare-feu pour protéger les données des titulaires de carte.
- Exigence 2 : Ne pas utiliser les paramètres par défaut fournis par les fournisseurs pour les mots de passe système et autres paramètres de sécurité.
2. Protéger les données des titulaires de carte
- Exigence 3 : Protéger les données des titulaires de carte stockées.
- Exigence 4 : Chiffrer la transmission des données des titulaires de carte sur les réseaux ouverts et publics.
3. Maintenir un programme de gestion des vulnérabilités
- Exigence 5 : Utiliser et mettre à jour régulièrement les logiciels antivirus.
- Exigence 6 : Développer et maintenir des systèmes et des applications sécurisés.
4. Mettre en œuvre des mesures de contrôle d'accès strictes
- Exigence 7 : Restreindre l'accès aux données des titulaires de carte en fonction des besoins commerciaux.
- Exigence 8 : Identifier et authentifier l'accès aux composants du système.
- Exigence 9 : Restreindre l'accès physique aux données des titulaires de carte.
5. Surveiller et tester régulièrement les réseaux
- Exigence 10 : Suivre et surveiller tous les accès aux ressources réseau et aux données des titulaires de carte.
- Exigence 11 : Tester régulièrement les systèmes et processus de sécurité. Cela inclut l'exécution de scans provenant de « fournisseurs de scans approuvés », connus sous le nom de scans ASV, ce qui est une exigence stricte du PCI.
6. Maintenir une politique de sécurité de l'information
- Exigence 12 : Maintenir une politique qui traite de la sécurité de l'information pour tout le personnel.
Centre pour les contrôles de sécurité Internet (CIS)
Les contrôles du Centre pour la sécurité Internet (contrôles CIS) sont un ensemble de meilleures pratiques conçues pour aider les organisations à prévenir, détecter et atténuer les incidents de sécurité. Le cadre des contrôles CIS se compose d'un ensemble de contrôles divisés en trois catégories :
- Contrôles de base : Actions essentielles pour la défense cybernétique qui fournissent des avantages clairs en matière de sécurité et sont considérées comme fondamentales pour les organisations.
- Contrôles fondamentaux : Mesures de sécurité plus spécialisées et détaillées qu'une organisation dotée de capacités de cybersécurité plus matures devrait mettre en œuvre.
- Contrôles organisationnels : Ces contrôles sont axés sur les aspects de gouvernance et d'évaluation de la cybersécurité.
Exigences de sécurité clés :
- Maintenir un inventaire actif de tous les dispositifs matériels.
- Maintenir un inventaire des logiciels autorisés et empêcher l'exécution de logiciels non autorisés.
- Garantir que les données sensibles soient chiffrées et correctement protégées aussi bien au repos qu'en transit.
- Développer et mettre en œuvre un plan de réponse aux incidents et une capacité de réponse rapide.
- Former le personnel et les surveiller pour s'assurer qu'ils suivent les meilleures pratiques.
- Sauvegarder régulièrement les systèmes et les données, et s'assurer que les processus de récupération sont fonctionnels.
- Maintenir et appliquer des configurations de sécurité pour les dispositifs et systèmes réseau.
- Surveiller et contrôler les communications traversant les périmètres réseau.
- S'assurer que les données sensibles sont chiffrées et bien protégées, à la fois au repos et en transit.
- Conduire des tests de pénétration réguliers pour s'assurer que les contrôles sont efficaces contre les menaces actives.
Programme d'assurance sécurité et confidentialité des fournisseurs Microsoft (SSPA)
Microsoft SSPA a été conçu pour s'assurer que les fournisseurs de Microsoft suivent des exigences standardisées en matière de sécurité et de confidentialité. Il vise à atténuer les risques associés à la gestion des données, au stockage des données et à d'autres aspects de la sécurité et de la confidentialité des informations.
Exigences de sécurité clés :
- Les fournisseurs doivent se conformer aux politiques de Microsoft en matière de protection des données et se conformer aux lois et réglementations applicables.
- Les fournisseurs sont souvent tenus d'avoir un ISMS en place qui répond aux normes de Microsoft.
- Les fournisseurs doivent avoir un plan de réponse aux incidents défini incluant la notification de Microsoft en cas d'incidents de sécurité ou de violation des données.
- Des contrôles d'accès stricts sur les données liées à Microsoft, y compris l'authentification multi-facteurs et des examens périodiques des accès.
- Les données, qu'elles soient au repos ou en transit, doivent être chiffrées selon les exigences de Microsoft.
- Les fournisseurs sont soumis à des audits pour vérifier leur conformité aux exigences du SSPA, et peuvent avoir besoin de fournir des preuves d'audits internes, de certifications de sécurité ou d'autres indicateurs de mesures de sécurité et de confidentialité.
- Certains fournisseurs peuvent être tenus de subir des évaluations de sécurité tierces dans le cadre du programme SSPA.
Objectifs de contrôle pour les technologies de l'information et les technologies connexes (COBIT)
Développé à l'origine par l'ISACA (Information Systems Audit and Control Association), COBIT est devenu un cadre de gouvernance, de risque et de conformité de premier plan. Il vise à aligner les processus informatiques et le programme de conformité d'une organisation sur les objectifs commerciaux.
Principales exigences de sécurité :
- Identifier, évaluer et gérer les risques informatiques.
- Assurer une utilisation optimale des ressources informatiques, y compris les personnes, l'information, l'infrastructure et les applications.
- Répondre aux besoins de conformité en ce qui concerne les lois, les règlements et les accords contractuels.
- Aligner les objectifs et les processus informatiques avec les objectifs stratégiques et les fonctions commerciales de l'organisation.
- Mettre en place des indicateurs clés de performance (KPI) et d'autres mesures pour suivre la performance des services et des processus informatiques.
- Assurer la confidentialité, l'intégrité et la disponibilité des actifs d'information.
- Établir des processus d'amélioration continue et d'assurance qualité dans les opérations informatiques.
Comment simplifier et renforcer votre posture de conformité avec l'automatisation
L'automatisation change fondamentalement la façon dont les entreprises atteignent et maintiennent la conformité réglementaire et sécuritaire.
Les plates-formes d'automatisation GRC peuvent rationaliser la collecte de preuves, simplifier la gestion des fournisseurs, faciliter la formation des employés, éliminer les efforts redondants pour plusieurs audits de conformité, et accélérer les rapports d'audit finaux — le tout permettant des économies de temps et de coûts substantielles.
Avec plus de 20 cadres élaborés en interne, ainsi que des capacités de cadre personnalisé, découvrez comment Secureframe peut aider à automatiser ces cadres de conformité en planifiant une démo.