FISMA II : un nouveau cadre cybernétique visant à renforcer la sécurité informatique des agences gouvernementales

Dans le cadre des efforts législatifs déployés par l'administration Obama pour protéger les informations des agences gouvernementales, la loi fédérale sur la modernisation de la sécurité de l'information de 2014 (FISMA II) a récemment été promulguée afin de renforcer et de mettre à jour sa version de 2002, et d'adapter les procédures pour répondre aux réalités actuelles des cybermenaces de plus en plus sophistiquées. La loi vise à mettre en œuvre des programmes de sécurité à grande échelle, à coordonner et à accélérer les procédures des agences, et à instaurer un contrôle, une surveillance et des préparatifs accrus en matière de cybermenaces et d'événements cybernétiques.

L'objectif de la FISMA II est global : rationaliser et renforcer les procédures de contrôle de l'information à l'échelle de l'agence et les rendre plus efficaces et efficientes. Sa directive législative est également large : renforcer les contrôles fédéraux en matière de sécurité de l'information ; améliorer la gestion et la surveillance ; accroître le rôle de gestion du département américain de la sécurité intérieure (DHS), en consultation avec le bureau de la gestion et du budget (OMB) ; et imposer de nouveaux délais plus courts aux agences pour signaler les incidents de sécurité au Congrès américain. La loi établit également un centre fédéral chargé des incidents liés à la sécurité de l'information et exige des agences qu'elles procèdent à des évaluations périodiques des risques liés à leurs politiques et pratiques.

Pertinence et opportunités pour le secteur privé

La loi FISMA II concerne les procédures internes et la surveillance des agences, mais les entreprises manufacturières, les fournisseurs du secteur de la défense et les autres entreprises du secteur privé ayant des contrats fédéraux, en particulier dans le domaine des technologies de diagnostic et des activités connexes, auraient tout intérêt à prendre connaissance de cette loi, ainsi que des systèmes de données et d'autres informations, des contrôles et des procédures qui seront mis en œuvre et surveillés dans le cadre de la loi FISMA II. Le fait de fournir, de recevoir ou d'échanger des données ou d'autres informations dans le cadre d'un projet d'agence fédérale peut très bien impliquer la FISMA II et avoir des conséquences pour les prestataires du gouvernement, en particulier en cas de violation de la sécurité des données ou d'autre incident lié au système. En effet, dans sa description des programmes visant à sécuriser les systèmes d'information, la FISMA II précise clairement que non seulement les agences gouvernementales, mais aussi les « prestataires » et « autres sources » sont concernés. L'objectif légal est de protéger, grâce à des programmes de sécurité de l'information, les opérations et les actifs des agences gouvernementales et des sous-traitants. Outre les questions de protection de l'information, la loi offre de plus en plus de possibilités aux auditeurs externes indépendants de procéder à des évaluations des systèmes pour les agences qui ne disposent pas d'un inspecteur général (IG) et dans les cas où les inspecteurs généraux des agences choisissent de ne pas le faire.

La sécurité de l'information est la pierre angulaire de la nouvelle loi. À cette fin, la FISMA II impose que des évaluations de l'efficacité des systèmes d'information des agences ainsi que de leurs politiques, pratiques et procédures soient menées chaque année. En outre, dans le cadre de son engagement à renforcer les capacités du gouvernement, la FISMA II réaffirme la dépendance des agences gouvernementales à l'égard des « technologies de diagnostic continu » commerciales pour mettre en œuvre cette ligne de cyberdéfense élargie et renforcée. Ces technologies comprennent des « outils de sécurité pour assurer la sécurité de l'information » et d'autres produits dans le cadre du programme de diagnostic et d'atténuation continus du DHS. Ces éléments de plus en plus sophistiqués comprennent des « outils commerciaux prêts à l'emploi (COTS) », que le DHS a qualifiés de produits « offrant des conditions solides pour la modernisation technique à mesure que les menaces évoluent ». Dans le cadre de la FISMA II, le directeur de l'OMB, avec l'aide du secrétaire du DHS, est tenu d'évaluer l'adoption de ces technologies par les agences au cours des deux premières années. En conséquence, les fournisseurs commerciaux disposant d'une technologie de diagnostic de premier ordre conçue pour tester les systèmes d'information des agences devraient trouver une demande continue de la part des agences gouvernementales.

Mise à niveau des programmes de sécurité de l'information des agences

La loi FISMA exige des agences gouvernementales qu'elles élaborent et mettent en œuvre des programmes efficaces de sécurité de l'information afin de protéger l'ensemble de leurs opérations. Ces programmes doivent être basés, en partie, sur : (i) des évaluations périodiques des risques et de l'ampleur des dommages résultant d'une faille de sécurité, d'une perturbation ou d'une destruction des informations ou des systèmes de l'agence ; (ii) des processus de mise en œuvre des mesures correctives appropriées ; (iii) des procédures de détection, de signalement et de réponse aux incidents de sécurité ; et (iv) des procédures visant à maintenir la continuité des opérations.

Comme indiqué ci-dessus, les nouveaux programmes cibleront les systèmes d'information relatifs aux opérations et aux actifs de l'agence concernée, ainsi que « ceux fournis ou gérés par une autre agence, un autre prestataire ou une autre source... ». Le secrétaire du DHS sera chargé de gérer les politiques et les pratiques en matière de sécurité de l'information et de veiller à leur bonne mise en œuvre. Coordonner les efforts du gouvernement, organiser des réunions avec les hauts responsables des agences, fournir une assistance technique et contrôler les politiques et les pratiques sont quelques-unes des fonctions du secrétaire en vertu de la loi.

Par ailleurs, le directeur de l'OMB est chargé de superviser les procédures relatives aux normes de conformité et de mettre en œuvre les mesures de protection appropriées en matière de sécurité de l'information. Dans ce que certains pourraient considérer comme un jeu de pouvoir de la part de l'agence (quoique plutôt modeste), la FISMA II exige que le directeur de l'OMB « veille à ce que le secrétaire [du département de la Sécurité intérieure] exerce les pouvoirs et les fonctions » requis par la FISMA II. Ces fonctions comprennent la supervision des directives données aux agences pour mettre en œuvre les nouvelles politiques et normes en matière de systèmes d'information et la communication en temps utile des incidents de sécurité. Les informations pertinentes provenant de l'Institut national des normes et des technologies et du ministère américain du Commerce doivent également être prises en compte par le secrétaire du DHS.

Sous l'autorité du directeur de l'OMB, les violations de données doivent être signalées aux comités désignés du Congrès dans un délai maximal de 30 jours après leur découverte par l'agence. Les informations doivent inclure la cause de la violation, le nombre de personnes concernées, une évaluation des risques et des préjudices subis, les raisons de tout retard dans la notification et une estimation de la date à laquelle l'agence procédera à la notification. Sous réserve des politiques et des lignes directrices, le directeur doit exiger « que l'agence concernée informe les personnes concernées [...] aussi rapidement que possible et sans retard injustifié [...] ». Chaque agence est toutefois tenue, entre autres obligations, d'informer les commissions parlementaires désignées dans un délai de sept jours lorsqu'il y a des raisons de croire qu'un incident majeur s'est produit.

Centre des incidents liés à la sécurité de l'information

Dans le cadre de la FISMA II, un centre centralisé dédié aux incidents de sécurité sera créé et géré par le DHS. Ce centre servira de plaque tournante pour les opérations et fournira aux agences une assistance technique et des conseils en temps réel sur les incidents de sécurité : détection et gestion des incidents dès leur survenue ; notification aux agences des menaces actuelles ou potentielles et des faiblesses du système ; et fourniture de renseignements sur les cybermenaces, les vulnérabilités et les incidents afin de faciliter la réalisation d'évaluations des risques.

Évaluations indépendantes annuelles

En vertu de la loi FISMA II, chaque agence doit faire appel à un auditeur indépendant pour procéder à une évaluation annuelle de son programme et de ses pratiques en matière de sécurité de l'information afin d'en vérifier l'efficacité. Pour les agences disposant d'inspecteurs généraux, l'évaluation peut être effectuée soit par l'inspecteur général de l'agence, soit par un auditeur externe indépendant, selon la décision de l'IG. Pour les autres agences, les responsables doivent « faire appel à un auditeur externe indépendant pour effectuer l'évaluation ».

Rapport annuel

Chaque année, le directeur de chaque agence doit soumettre au directeur de l'OMB, au secrétaire du DHS, au contrôleur général et à plusieurs commissions parlementaires un rapport décrivant l'adéquation et l'efficacité des politiques, procédures et pratiques en matière de sécurité de l'information. Plus important encore, ce rapport doit résumer les évaluations des risques, les informations sur les menaces et les performances en matière de conformité de l'agence, ainsi qu'identifier les incidents majeurs et autres incidents liés à la sécurité de l'information, y compris les cas où la sécurité de l'information a été gravement compromise. Au plus tard le 1er mars de chaque année, le directeur de l'OMB, en consultation avec le secrétaire du DHS, est tenu de soumettre au Congrès un rapport décrivant l'efficacité des politiques et pratiques de sécurité de l'information pour l'année précédente, et comprenant un résumé des incidents, de la conformité de l'agence aux normes et des procédures de notification des violations de données. Au cours des deux premières années, le directeur de l'OMB doit évaluer la mise en œuvre par l'agence des politiques et des lignes directrices en matière de notification des violations de données, et le secrétaire du DHS doit inclure cette évaluation dans son rapport annuel au Congrès.

Conclusion

Les défis permanents liés au cyberespace et les programmes mis en place dans le cadre de la loi FISMA II posent des problèmes de conformité et de protection. Mais ils offrent également aux auditeurs externes indépendants l'occasion d'affiner et d'étendre leurs évaluations des programmes des agences afin d'en mesurer l'efficacité. Les développeurs de technologies de diagnostic sont également bien placés pour continuer à créer et à présenter leurs outils les plus avancés afin d'aider le gouvernement à se préparer et à se défendre contre les tactiques de guerre cybernétique. Le temps presse, car de nouvelles technologies sont mises en œuvre et le DHS et l'OMB sont tenus d'évaluer rapidement, dans un délai de deux ans, l'adoption de ces technologies par les agences.

---

L'alerte juridique de Foley & Lardner LLP a pour objectif de fournir des informations (et non des conseils) sur les nouvelles législations ou évolutions juridiques importantes. Le nombre considérable d'évolutions juridiques ne permet pas de publier une mise à jour pour chacune d'entre elles, ni de publier un suivi sur toutes les évolutions ultérieures.

Jonathan N. Halpern
New York, New York
212.338.3650
[email protected]