Rapport Federal Information Security Management Act (FISMA)
Ce rapport indique les problèmes FISMA trouvés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
Pourquoi est-ce important
La loi Federal Information Security Management Act (FISMA) a été votée par le Congrès et le décret a été signé par le Président dans le cadre de la loi Electronic Government Act de 2002. Elle fournit un cadre juridique pour garantir que des mesures exhaustives sont prises pour sécuriser les informations et actifs fédéraux. La conformité FISMA relève de la sécurité nationale et, est en conséquence, scrutée au plus haut niveau du gouvernement. Dans la mesure où cette loi s'applique aux informations et systèmes d'information utilisés par une agence, ses sous-traitants et d'autres organisations, sa portée est plus vaste que les lois précédentes sur la sécurité. Les programmes de sécurité informatique des agences s'appliquent à toutes les organisations qui détiennent ou utilisent des informations fédérales ou qui exploitent, utilisent ou ont accès aux systèmes d'information fédéraux pour le compte d'une agence fédérale, y compris les sous-traitants, bénéficiaires, gouvernements locaux et fédéral, et les partenaires industriels. Par conséquent, les exigences de sécurité fédérales continuent de s'appliquer, rendant l'agence responsable de la mise en place des contrôles de sécurité adéquats.Les agences fédérales doivent transmettre un rapport annuel sur leur conformité aux exigences de sécurité informatique à l'Office of Management and Budget (OMB) au mois d'octobre chaque année. L'OMB utilise ces rapports pour évaluer les performances de sécurité au niveau gouvernemental, établir son rapport de sécurité annuel pour le Congrès, aider à améliorer et maintenir des performances de sécurité adéquates au sein des agences, et rendre compte du développement de l'E-Government Scorecard dans le cadre de l'Agenda du Président. Ce rapport doit récapituler les résultats des revues annuelles de sécurité informatique des systèmes et programmes, ainsi que les progrès de l'agence quant à sa capacité à remplir ses objectifs et jalons FISMA.
La conformité FISMA exige des rapports et des mesures détaillés sur la cybersécurité de l'agence, à la fois concernant les risques existants et les plans de résolution. La vérification de la conformité de chaque système informatique de l'organisation nécessite des tests de validation et une planification des solutions complets avec des rapports et un flux d'informations coordonnés pour permettre au directeur de l'agence de rendre compte avec précision de son état de conformité FISMA actuel.
Les organisations qui ne disposent pas d'une fonction informatique centralisée ni des processus et procédures fondamentaux pour effectuer les tests et générer les rapports sur les différents systèmes informatiques doivent construire cette infrastructure à partir de zéro et ce, dans des délais serrés, ce qui n'autorise aucune marge d'erreur. Dans la plupart des agences gouvernementales, l'infrastructure informatique se compose de centaines, si ce n'est de milliers de systèmes. Ces nombres aggravent les exigences de rapports de conformité et, finalement, aboutissent à l'échec de la conformité FISMA. Si l'on ajoute à cela un financement limité et des interprétations erronées des exigences, de nombreuses agences sont loin d'être en conformité.