De nombreuses normes et cadres sont disponibles, chacun décrivant ce qu’il fait,
mais ils s’orientent tous autour d’un aspect principal - le traitement approprié et
sécurisé des données. Couvrons une vue d’ensemble de haut niveau de certains
contrôles actuels qui doivent être respectés lors du traitement de certains
ensembles de données : Cadre commun de sécurité de l’Alliance pour l’information sur la santé - (HITRUST CSF)

Ce cadre est le plus largement adopté dans le secteur des soins de santé aux
États-Unis. Il a été élaboré pour traiter de nombreux aspects de la sécurité, de la
protection de la vie privée et des défis réglementaires auxquels les organisations
sont confrontées. Incorporant les travaux fondamentaux d’autres normes connues (ISO,
NIST, PCI, HIPAA, etc.), ce cadre de mise à l’échelle fonctionne avec les
complexités variables des différentes organisations.

– Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
Il est impératif de traiter correctement l’information sur les paiements, car la
fraude et le vol d’identité constituent une menace sérieuse. PCI DSS aide les
commerçants et autres institutions financières à mettre en œuvre des normes et des
politiques de sécurité, ainsi qu’à aider les fournisseurs à comprendre et à mettre
en œuvre des normes pour les solutions de paiement sécurisé. Même avec
l’introduction de nouvelles technologies, la sécurisation des transactions devrait
rester au centre des préoccupations de certaines organisations, quelles que soient
les options disponibles.

– Organisation internationale de normalisation (ISO/IEC) Série 27000
Il s’agit d’une famille de normes, dont l’ensemble est axé sur la gestion de
l’information financière, de la propriété intellectuelle, des renseignements sur les
employés et de l’information confiée par des tiers. La norme ISO/IEC 27001 est la
plus connue en ce qui concerne les exigences relatives aux systèmes de gestion de la
sécurité de l’information.

– Institut national des normes et de la technologie (NIST)
En février 2013, le président des États-Unis a reconnu que la sécurité nationale et
économique des États-Unis dépendait de la fonction de son infrastructure critique.
Ainsi, le décret exécutif 13636 a été formulé et le NIST a travaillé avec les
parties prenantes pour créer le cadre. La publication spéciale 800-53 porte
spécifiquement sur les contrôles de sécurité des systèmes et des organismes fédéraux
participant aux programmes fédéraux et sur le traitement des renseignements
personnels.
– Objectifs de contrôle pour les technologies de l’information et les technologies
connexes (COBIT)
Plus orienté vers les grandes entreprises, COBIT est un cadre de gouvernance et de
gestion de l’informatique visant à l’optimisation et à la croissance de
l’entreprise. COBIT 5 est le seul cadre d’affaires pour la gouvernance et la gestion
de l’informatique d’entreprise. Il intègre de nombreux principes, pratiques, outils
analytiques et modèles acceptés à l’échelle mondiale pour aider à bâtir et à
accroître la confiance dans les systèmes d’information.
Étant donné le grand nombre de normes, il est difficile de savoir exactement
laquelle utiliser. Il est bon de se rappeler que les normes peuvent être utilisées
comme lignes directrices et peuvent être moulées pour mieux répondre aux besoins de
votre organisation. Le respect des lignes directrices est fortement influencé par le
nombre d’employés, l’activité exercée et le type de données utilisées. Les
principales choses à garder à l’esprit sont les suivantes : tout comme nous ne
voudrions pas que notre numéro de sécurité sociale soit en itinérance sur Internet,
nous ne voudrions pas non plus que nos informations sur la santé ou d’autres
informations financières circulent. Sur une plus grande échelle, les affaires menées
avec le gouvernement fédéral ne devraient pas non plus être prises à la légère. Le
GDPR, récemment adopté, impose à toute organisation qui recueille des données
personnelles auprès d’un citoyen de l’UE de s’assurer que les données sont traitées
correctement.