Les règlements de conformité en matière de sécurité sont conçus pour s’assurer que les entreprises suivent un protocole de sécurité approprié. Certains de ces règlements prennent la forme de lois (p. ex. HIPAA), tandis que d’autres sont requis dans le cadre des exigences de l’industrie privée (p. ex. PCI). Il existe même des régimes de conformité qui sont volontaires, tels que les contrôles de sécurité critiques du CIS (CIS-CSC). Cependant, ils ont tous le même objectif final : s’assurer que les meilleures pratiques de sécurité sont suivies dans votre organisation.
Les programmes de conformité, peu importe leur origine, commencent généralement par un document long (ou possiblement une législation) qui explique l’objectif du programme et peut aller dans les détails sur les exigences. À partir de ce document plus long, les exigences sont dérivées du fait que, lorsque vous répondez à ces exigences, vous êtes « conforme » au programme de sécurité. (Remarque : Certains programmes exigent des vérifications externes avant d’être considérés comme conformes.)
L’un des défis liés à la conformité est qu’une seule règle peut avoir un impact important sur votre organisation. Par exemple, si le programme de conformité exige des mots de passe à 14 caractères, qui règlent vos ordinateurs, vos courriels, vos sites Web, vos périphériques réseau et tout ce qui est inclus dans la portée.
Un autre défi consiste à déterminer ce qui est « dans la portée ». Il se peut que tous les éléments de votre organisation ne soient pas entièrement évalués dans le cadre de votre programme de conformité. Par exemple, l’avocat PCI réglemente la conformité en matière de sécurité des cartes de crédit. Être conforme à la norme PCI exige qu’une organisation suive toutes les règles PCI, mais UNIQUEMENT lorsque les données sont stockées, traitées, transmises ou autrement sécurisées. Si, par exemple, vous utilisez un terminal de point de vente de carte de crédit externalisé qui ne communique avec rien d’autre dans votre réseau, votre portée est uniquement ce terminal de PDV (et généralement tout ce qu’il touche). Par contre, si votre terminal se connecte à votre système de gestion des stocks, envoyez des courriels à partir de votre serveur de courrier, et ainsi de suite, votre portée est beaucoup plus grande.
Cadres de conformité populaires
-
Règlement du New York State Department of Financial Services (23 NYCRR 500)
-
Loi sur la transférabilité et la responsabilité en matière d’assurance maladie (HIPAA) (lien externe)
-
Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) (lien externe)
-
Contrôle de l’organisation de service (CCS) (lien externe)
-
NIST 800-171 pour la protection des renseignements contrôlés non classifiés (CUI) (lien externe)
-
Cadre de cybersécurité du NIST (LCR) (lien externe)
Pour commencer
Un programme de conformité en matière de sécurité est un investissement à long terme dans la sécurité et la conformité réglementaire d’une entreprise. Voici une liste abrégée pour vous aider à commencer, mais nous vous recommandons de trouver un consultant pour vous aider avec le déploiement complet.
-
Déterminez le programme de conformité que vous devez suivre
-
Obtenir et lire les règlements pour comprendre l’intention et la portée du programme
-
Déterminez votre portée et segmentez vos actifs et données dans la portée loin du reste de votre réseau dans la plus grande mesure possible.
-
Obtenir ou élaborer une feuille de calcul de toutes les exigences nécessaires pour se conformer à la réglementation.
-
Créer des projets qui, une fois terminés, atteindront les objectifs de conformité - suivre et documenter avec diligence.
-
Vérifier la conformité de votre organisation (ou externaliser si désiré ou requis)
-
Surveiller continuellement les changements, planifier une vérification annuelle et se préparer à être continuellement conforme.
Conclusion
Comme vous pouvez le constater, l’atteinte de la conformité n’est pas un concept terriblement difficile, mais cela peut être très long et exigeant en ressources. Tout en travaillant à la conformité, il est important de se rappeler pourquoi cela est fait : vous protégez les données sensibles et critiques qui doivent être protégées. Ne prenez pas de raccourcis simplement pour cocher une case; faites le travail acharné et sortez-en plus en sécurité.
Pour en savoir plus sur ce sujet ou sur tout autre sujet, veuillez communiquer avec nous; nous sommes là pour vous aider!