Quelle loi fédérale des États-Unis promulguée en 1987 a officiellement attribué à la NSA la responsabilité de définir les normes de sécurité pour les systèmes classifiés et militaires et au NIST les normes de sécurité pour les autres systèmes fédéraux ?
[A] Computer Security Act
[B] Computer Fraud and Abuse Act
[C] Computer Misuse Act
[D] Federal Information Security Management Act (FISMA)
Le Computer Fraud and Abuse Act (CFAA) est une loi fédérale américaine de 1986 pour lutter contre la cybercriminalité. En France en 1986, il n’y avait encore aucune loi pour condamner les actes cybercriminels. Portée par le député Godfrain, elle arrivera en janvier 1988 (articles 323-x du code pénal).
Le Federal Information Security Management Act (FISMA) de 2002 a été conçu pour renforcer la sécurité de l’information au sein des agences fédérales. On notera qu’en 2014, Barack Obama a également promulgué FISMA 2014 (Federal Information Systems Modernization Act) qui est une loi de modernisation de FISMA 2012 et qui délégue de la responsabilité fédérale en matière de cybersécurité au DHS (Department of Homeland Security).
Le Computer Misuse Act n’est pas une loi US mais une loi britannique qui date de 1990.
En 1987, la loi US Computer Security Act confie à la National Security Agency (NSA) la responsabilité de sécuriser les systèmes d’information gouvernementaux classifiés et militaires et au National Institute of Standards and Technology (NIST) la responsabilité de développer des normes pour la sécurité des systèmes non classifiés au sein du gouvernement fédéral.
Au-delà de cette double attribution NSA/NIST, le Computer Security Act prévoyait 4 autres piliers de cybersécurité montrant ainsi la maturité du gouvernement US au sujet Cyber dès les années 80 :
- Obligation pour les agences fédérales de former et sensibiliser les agents à la sécurité de l’information
- Obligation d’identifier et de classifier les informations sensibles afin de prendre les mesures de sécurité appropriées pour les sécuriser
- Reporting régulier du NIST et des agences fédérales au Congrès sur leurs activités de protection des données classifiées
- Révision périodique des politiques et des procédures de sécurité afin d’assurer leur efficacité et leur adaptation face à l’évolution des technologies et de la menace cyber
La bonne réponse est la proposition [A]
Bienvenue dans la jungle des lois US telles que HIPAA, GLBA, FISMA, CLOUD act, FISA, CFAA, … Tout ce que vous devez savoir pour répondre à ce type de question est abordé en détail dans le module n°4 de la formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE