Utilisateur:LectriceDuSoir/Secure Controls Framework
Le Secure Controls Framework (SCF) est un méta référentiel (un référentiel de référentiel) de contrôles informatiques disponible en Open source.
Historique[modifier | modifier le code]
Principes[modifier | modifier le code]
Ce catalogue de contrôles permet d'établir une correspondance entre plus d'une centaine de standards internationaux, cadres réglementaires (lois, réglementations) et contractuels, en matière de cybersécurité et de protection des données personnelles[1].
Ces milliers d'exigences, présents dans cette centaine de standards, présentent des points communs, ce qui permet de les réduire à plusieurs centaines d'exigences uniques. Par exemple, l'obligation d'avoir des mots de passe complexes est requise par des dizaines de standards ou réglementations dans le monde, qui se peuvent se résumer en un contrôle unique.
Il englobe plus de 1000 contrôles englobés dans 32 domaines (gouvernance, gestion des actifs informatiques, gestion des changements, etc.) couvrant 4 critères de sensibilité de l'information (Disponibilité, Intégrité, Confidentialité, Sûreté).
Un référentiel communautaire[modifier | modifier le code]
Le Secure Controls Framework est disponible gratuitement sous la licence Creative Commons (CC BY-ND 4.0)[2], une licence qui autorise la copie, distribution et communication du matériel par tous moyens et sous tous formats pour toute utilisation, y compris commerciale, à condition de créditer l'Œuvre et de ne distributer de versions modifiées de l'Œuvre initiale[3].
Table de correspondance[modifier | modifier le code]
Mi 2022, le Secure Controls Framework assure la correspondance avec les référentiels, lois et régulations suivants :
- 57 standards internationaux : |AICPA SOC2, CIS Critical Security Controls (CSC) v8, ISACA COBIT 2019, COSO 2017 Framework, CSA Cloud Controls Matrix (CCM), Guidelines ENISA v2, ISO/CEI 27001 et ISO/CEI 27001, NIST Cybersecurity Framework, NIST Privacy Framework, NIST SP 800-53, OWASP Top 10 Most Critical Web Application Security Risks, Payment Card Industry Data Security Standard (PCI DSS), SWIFT Customer Security Controls Framework, etc.
- 57 lois et réglementations américaines : loi Sarbanes-Oxley (SOX), Internal Revenue Service (IRS) 1075, CERT Resilience Management Model, Children's Online Privacy Protection Act (COPPA), Food and Drug Administration (FDA) 21 CFR Part 11, Financial Industry Regulatory Authority (FINRA), Gramm Leach Bliley Act (GLBA), Health Insurance Portability and Accountability Act (HIPAA), etc.
- 36 lois et réglementations en Europe, Moyen-Orient et Afrique : le règlement général sur la protection des données (RGPD]], la Loi informatique et libertés de 1978, Second Payment Services Directive (PSD2), etc.
- 20 standards, lois et réglementations en Asie-Pacifique
- 13 lois et réglementations en Amérique du Sud, Centrale et Canada.
Versions[modifier | modifier le code]
2022.2[modifier | modifier le code]
Cette version ajoute la correspondance avec les référentiels, lois et régulations suivantes : GLBA CFR 314, MPA Content Security Program v4.10, NIST SP 800-82 rev2, NIST SP 800-161 rev 1, OWASP Top 10 v2021, PCI DSS v4.0, Saudi Arabian Monetary Authority - Cyber Security Framework Version 1.0 (May 2017), SWIFT CSF v2021 et TISAX ISA v5.1.0
2022.1[modifier | modifier le code]
Cette version ajoute la correspondance avec les référentiels, lois et régulations suivantes : Shared Assessments Standard Information Gathering (SIG), ISO 27002:2022, NIST SP 800-171A, NIST SP 800-218 v1.1, US - Colorado Privacy Act, US - Illinois Personal Information Protection Act (PIPA), US - New York SHIELD Act (S5575B), US - Texas DIR Control Standards 2.0, US - Texas Risk & Authorization Management Program (TX-RAMP), Australia - Prudential Standard CPS 234 Information Security, Japan - Act on the Protection of Personal Information (June 2020), Saudi Arabian Monetary Authority (SAMA) Cyber Security Framework (CSF), Singapore Cyber Hygiene Practice et les Singapore MAS TRM Guidelines 2021
2021.3[modifier | modifier le code]
Cette version ajoute la correspondance avec les référentiels, lois et régulations suivantes : NIST SP 800-172 (updated from draft version), China Data Security Law (DSL) et la China Privacy Law
2021.2[modifier | modifier le code]
Cette version ajoute la correspondance avec les référentiels, lois et régulations suivantes : CIS CSC v8, CSA CCM v4, CSA IoT SCF v2, NIST SSDF, NIST 800-161 R1 draft [partial], StateRAMP, VA CDPA, UK GDPR, New Zealand Health ISF, New Zealand Privacy Act of 2020, Bermuda BMA CCC et Canada CSAG
- (en) Matt Kunkel, « Why And How To Map Controls In Risk Management », sur Forbes (magazine), 1er paril 2021
- (en) Dave Schmoeller, « The Unified Compliance Framework vs. the Secure Controls Framework: What’s right for your organization? », sur reciprocity.com, (consulté le )
- (en) « Licence CC BY-ND 4.0 », sur creativecommons.org