{"id":351981,"date":"2024-09-17T15:03:24","date_gmt":"2024-09-17T15:03:24","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/strengthening-american-cybersecurity-act-msp\/"},"modified":"2024-03-18T12:02:04","modified_gmt":"2024-03-18T12:02:04","slug":"strengthening-american-cybersecurity-act-msp","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/strengthening-american-cybersecurity-act-msp\/","title":{"rendered":"Comment le \u00ab\u00a0Strengthening American CyberSecurity Act\u00a0\u00bb affecte les entreprises MSP en 2023"},"content":{"rendered":"<p><span style=\"font-weight: 400;\">Le pr\u00e9sident Joe Biden a sign\u00e9 le <a href=\"https:\/\/www.congress.gov\/bill\/117th-congress\/senate-bill\/3600\/text\" target=\"_blank\" rel=\"noopener\">Strengthening American Cybersecurity Act<\/a> (Renforcement de la cybers\u00e9curit\u00e9 am\u00e9ricaine) en Mars 2022. La loi se compose de plusieurs r\u00e8glements, mais ce sont les exigences en mati\u00e8re de rapports sur les incidents de s\u00e9curit\u00e9 qui suscitent des r\u00e9actions au sein de la communaut\u00e9 informatique. Actuellement, les exigences en mati\u00e8re de rapports se concentrent sur les infrastructures critiques, mais il est fort possible que des entit\u00e9s de divers secteurs soient finalement soumises \u00e0 ces exigences.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00c0 l&rsquo;heure o\u00f9 nous \u00e9crivons ces lignes, les d\u00e9tails de la loi peuvent encore \u00eatre modifi\u00e9s. En effet, la loi impose au directeur de la <a href=\"https:\/\/www.cisa.gov\" target=\"_blank\" rel=\"noopener\">Cybersecurity and Infrastructure Security Agency (CISA)<\/a>\u00a0de publier un avis de proposition de r\u00e9glementation dans les 24 mois suivant la date de signature de la loi. Le directeur dispose alors de 18 mois pour publier une r\u00e8gle finalis\u00e9e pour son impl\u00e9mentation.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Cela signifie que la description de ce qui constitue une \u00ab\u00a0entit\u00e9 couverte\u00a0\u00bb est assez floue et que le type d&rsquo;entreprises qui seront soumises \u00e0 la loi pourrait changer en fonction des d\u00e9cisions finales du directeur.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les sp\u00e9culations vont bon train sur ce que cela signifiera \u00e0 long terme pour les fournisseurs de services informatiques, mais l&rsquo;hypoth\u00e8se la plus s\u00fbre est de se pr\u00e9parer \u00e0 ce que tout secteur relevant, m\u00eame vaguement, de la d\u00e9finition \u00ab\u00a0d&rsquo;infrastructure critique\u00a0\u00bb soit soumis \u00e0 ces exigences.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Dans cet article, nous aborderons les bases de la loi sur la cybers\u00e9curit\u00e9 r\u00e9cemment adopt\u00e9e et la mani\u00e8re dont les fournisseurs de services g\u00e9r\u00e9s (MSP) peuvent faire face aux changements qui en d\u00e9coulent.\u00a0<\/span><\/p>\n<h2><b>Qu&rsquo;est-ce que le Strengthening American CyberSecurity Act ?<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Le 1er mars, le S\u00e9nat am\u00e9ricain a adopt\u00e9 un projet de loi affectant la s\u00e9curit\u00e9 des agences f\u00e9d\u00e9rales et des organisations ayant une infrastructure critique.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">B\u00e9n\u00e9ficiant d&rsquo;un soutien unanime, la loi de 2022 sur le renforcement de la cybers\u00e9curit\u00e9 am\u00e9ricaine (Strengthening American Cybersecurity Act of 2022) \u00e9tablit des exigences de d\u00e9claration pour les \u00ab\u00a0entit\u00e9s couvertes\u00a0\u00bb et les infrastructures critiques, dans le but de renforcer la cyberd\u00e9fense de l&rsquo;infrastructure am\u00e9ricaine.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">La loi Strengthening American Cybersecurity Act de 2022\u00a0 (appel\u00e9e \u00ab\u00a0loi\u00a0\u00bb dans le pr\u00e9sent article) est compos\u00e9e de trois r\u00e8glements :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.congress.gov\/bill\/117th-congress\/senate-bill\/3099\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Loi de 2022 sur l&rsquo;am\u00e9lioration et l&#8217;emploi dans le domaine de l&rsquo;informatique d\u00e9mat\u00e9rialis\u00e9e (Federal Secure Cloud Improvement and Jobs Act)<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.cisa.gov\/circia\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Loi de 2022 sur la notification des incidents cybern\u00e9tiques pour les infrastructures critiques (Cyber Incident Reporting for Critical Infrastructure Act)<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><a href=\"https:\/\/www.congress.gov\/bill\/117th-congress\/house-bill\/6497\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Loi de 2022 sur la modernisation de la s\u00e9curit\u00e9 de l&rsquo;information f\u00e9d\u00e9rale (Federal Information Security Modernization Act)<\/span><\/a><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Cette l\u00e9gislation concerne principalement les infrastructures critiques, mais elle est tr\u00e8s probablement annonciatrice d&rsquo;une tendance. Il est certain que des r\u00e9glementations similaires seront mises en \u0153uvre \u00e0 l&rsquo;avenir et que l&rsquo;int\u00e9r\u00eat croissant des gouvernements pour la s\u00e9curit\u00e9 num\u00e9rique aura des cons\u00e9quences importantes pour l&rsquo;avenir.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Ce n&rsquo;est pas une surprise, car les <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/qu-est-ce-que-la-gestion-des-vulnerabilites\/\">attaques et les vuln\u00e9rabilit\u00e9s<\/a> qui affectent les infrastructures critiques font la une des journaux \u00e0 un rythme alarmant.\u00a0<\/span><\/p>\n<h2><b>Ce que ce r\u00e8glement signifie pour les fournisseurs de services g\u00e9r\u00e9s<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Dans son \u00e9tat actuel, la loi cr\u00e9e de nombreuses questions de la part des entreprises MSP. Le simple fait que les \u00ab\u00a0entit\u00e9s couvertes\u00a0\u00bb soient d\u00e9finies de mani\u00e8re vague, et qu&rsquo;elles changeront probablement \u00e0 l&rsquo;avenir, fait qu&rsquo;il est difficile pour les fournisseurs de services informatiques d&rsquo;en comprendre les implications.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">En fait, de nombreux services informatiques et MSP ont conclu qu&rsquo;ils n&rsquo;\u00e9taient pas du tout concern\u00e9s par cette nouvelle loi. Cependant, ils oublient probablement un d\u00e9tail essentiel dans cette \u00e9valuation :<\/span><\/p>\n<p><span style=\"font-weight: 400;\">La loi fait directement r\u00e9f\u00e9rence \u00e0 la <a href=\"https:\/\/www.energy.gov\/ceser\/presidential-policy-directive-21\" target=\"_blank\" rel=\"noopener\">Presidential Policy Directive 21<\/a>, cr\u00e9\u00e9e en 2013. Cette politique d\u00e9finit le secteur des infrastructures critiques comme \u00ab\u00a0les syst\u00e8mes et les actifs, physiques ou virtuels, si vitaux pour les \u00c9tats-Unis que leur incapacit\u00e9 ou leur destruction aurait un grand impact sur la s\u00e9curit\u00e9, la s\u00e9curit\u00e9 \u00e9conomique nationale, la sant\u00e9 ou la s\u00e9curit\u00e9 publique nationale, ou toute combinaison de ces \u00e9l\u00e9ments\u00a0\u00bb.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Plus pr\u00e9cis\u00e9ment, la \u00ab\u00a0Policy Directive 21\u00a0\u00bb \u00e9nonce les secteurs suivants :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Alimentation et agriculture<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Installations gouvernementales<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Soins de sant\u00e9 et sant\u00e9 publique<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Technologie de l&rsquo;information<\/b><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Produits chimiques<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Installations commerciales<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Communications<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Syst\u00e8mes de transport<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Syst\u00e8mes de traitement des d\u00e9chets et des eaux us\u00e9es<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Industrie manufacturi\u00e8re essentielle<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Barrages<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Base industrielle de d\u00e9fense<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Services d&rsquo;urgence<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">\u00c9nergie<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Services financiers<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">R\u00e9acteurs nucl\u00e9aires, mat\u00e9riaux et d\u00e9chets<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Le secteur des technologies de l&rsquo;information est cit\u00e9 sp\u00e9cifiquement, ce qui signifie que les d\u00e9partements informatiques et les MSP seront soumis \u00e0 cette nouvelle loi.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Cela signifie \u00e9galement que les <a href=\"https:\/\/www.ninjaone.com\/fr\/quest-ce-quun-msp\">MSP et les fournisseurs de services informatiques<\/a> seront doublement touch\u00e9s s&rsquo;ils fournissent des services \u00e0 une autre entit\u00e9 couverte, comme les soins de sant\u00e9, les communications, les services financiers ou la d\u00e9fense. Ils devront veiller \u00e0 ce que leurs clients concern\u00e9s respectent la loi ainsi que leur propre activit\u00e9.<\/span><\/p>\n<h3><b>Signalement des incidents de cybers\u00e9curit\u00e9<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">L&rsquo;un des \u00e9l\u00e9ments cl\u00e9s de la loi est la cr\u00e9ation d&rsquo;une voie claire pour les exigences de d\u00e9claration \u00e0 la <a href=\"https:\/\/www.cisa.gov\" target=\"_blank\" rel=\"noopener\">CISA.<\/a> La voie ainsi d\u00e9finie facilite le partage transversal d&rsquo;informations entre la CISA et d&rsquo;autres agences f\u00e9d\u00e9rales telles que le FBI. En effet, ces exigences permettront aux agences de collecter des donn\u00e9es et d&rsquo;identifier plus rapidement les acteurs de la menace. De plus, cette loi \u00e9nonce les exigences minimales en mati\u00e8re de d\u00e9claration pour les paiements de ransomware et d&rsquo;autres incidents de cybers\u00e9curit\u00e9.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">En cas <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/pourquoi-un-logiciel-non-corrige-nuit-aux-entreprises\">d&rsquo;incident de cybers\u00e9curit\u00e9<\/a>, la loi exige les mesures suivantes :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Une notification doit \u00eatre adress\u00e9e \u00e0 la CISA dans un d\u00e9lai de 24 \u00e0 72 heures.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Cet avis doit comprendre une description compl\u00e8te de l&rsquo;incident et des vuln\u00e9rabilit\u00e9s exploit\u00e9es, ainsi que des d\u00e9fenses qui \u00e9taient en place au moment de l&rsquo;incident.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Le rapport doit indiquer le type d&rsquo;informations susceptibles d&rsquo;avoir \u00e9t\u00e9 compromises.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Toute information de contact ou toute autre information suppl\u00e9mentaire sur les parties responsables (l&rsquo;attaquant) doit \u00eatre divulgu\u00e9e.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Les coordonn\u00e9es de l&rsquo;organisation touch\u00e9e doivent \u00eatre communiqu\u00e9es par la CISA.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Si une <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/comment-detecter-un-ransomware\/\">attaque par ransomware est signal\u00e9e<\/a>, la date du paiement, les instructions de paiement, la demande de paiement de la ran\u00e7on et le montant de la ran\u00e7on doivent \u00eatre divulgu\u00e9s.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Comme vous pouvez l&rsquo;imaginer, ces exigences mettront \u00e0 rude \u00e9preuve de nombreuses entreprises qui n&rsquo;ont pas la capacit\u00e9 d&rsquo;identifier rapidement une violation et de la classer avant de la signaler.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Nous savons tous que les grandes entreprises peuvent se permettre de disposer d&rsquo;un personnel informatique interne ou d&rsquo;un fournisseur de services g\u00e9r\u00e9s capable de signaler ces incidents rapidement et efficacement, mais les petites entreprises n&rsquo;ont pas forc\u00e9ment cette capacit\u00e9. Il est encore moins probable qu&rsquo;une PME lambda sache comment collecter les informations pertinentes et soumettre un rapport par elle-m\u00eame.\u00a0<\/span><\/p>\n<h3><b>\u00c9valuation et att\u00e9nuation des risques<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Bien que le Strengthening Cybersecurity Act de 2022 puisse ne pas affecter imm\u00e9diatement les entit\u00e9s op\u00e9rant en dehors des infrastructures critiques, les MSP devraient informer tous leurs clients que la protection de la cybers\u00e9curit\u00e9 est une \u00e9tape cruciale de l&rsquo;\u00e9valuation et de l&rsquo;att\u00e9nuation des risques.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les normes d\u00e9finies dans cette loi affecteront probablement le secteur priv\u00e9 dans le futur. Il s&rsquo;agit d&rsquo;un pas dans la bonne direction pour la s\u00e9curit\u00e9, et les entreprises devraient commencer \u00e0 se pr\u00e9parer en \u00e9valuant leurs risques de cybers\u00e9curit\u00e9 et en prenant les mesures n\u00e9cessaires pour y rem\u00e9dier avant que les nouvelles r\u00e9glementations n&rsquo;entrent en vigueur.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Voici quelques bonnes pratiques que toute entreprise devrait prendre en compte :<\/span><\/p>\n<ul>\n<li><b>Adopter une <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/what-is-zero-trust-architecture-the-top-it-security-model-explained\/\">architecture de confiance z\u00e9ro<\/a> et un contr\u00f4le des acc\u00e8s<\/b><span style=\"font-weight: 400;\">: De nombreuses entreprises fonctionnent encore avec un acc\u00e8s illimit\u00e9 aux donn\u00e9es et syst\u00e8mes sensibles. En mettant en \u0153uvre la confiance z\u00e9ro et en configurant le contr\u00f4le d&rsquo;acc\u00e8s selon le principe du moindre privil\u00e8ge, ils peuvent restreindre l&rsquo;acc\u00e8s aux r\u00e9seaux et \u00e0 l&rsquo;environnement informatique et minimiser leur risque global.<\/span><\/li>\n<li><b>Am\u00e9liorer la s\u00e9curit\u00e9 mobile et \u00e0 distance :<\/b><span style=\"font-weight: 400;\"> La pr\u00e9dominance du <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/avantages-de-la-gestion-unifiee-des-terminaux-pour-les-entreprises\/\">travail \u00e0 distance et les politiques \u00ab\u00a0Bring Your Own Device\u00a0\u00bb (BYOD)<\/a> ont cr\u00e9\u00e9 des risques suppl\u00e9mentaires pour de nombreuses entreprises. Comme les cybercriminels ciblent souvent les appareils mobiles et les postes de travail distants, les utilisateurs doivent prendre les mesures appropri\u00e9es pour s\u00e9curiser ces surfaces de menace.\u00a0<\/span><\/li>\n<li><b>Att\u00e9nuation des vecteurs de menace les plus courants :<\/b><span style=\"font-weight: 400;\"> De simples mesures visant \u00e0 am\u00e9liorer les pratiques de s\u00e9curit\u00e9 peuvent changer la donne pour de nombreuses PME. La mise en place d&rsquo;un gestionnaire de mots de passe, l&rsquo;activation de l&rsquo;authentification multifactorielle dans la mesure du possible et l&rsquo;organisation d&rsquo;une formation \u00e0 la cybers\u00e9curit\u00e9 peuvent r\u00e9duire consid\u00e9rablement le risque cybern\u00e9tique d&rsquo;une entreprise.<\/span><\/li>\n<\/ul>\n<h3><b>Autres consid\u00e9rations<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Nous commen\u00e7ons \u00e0 observer une plus grande normalisation dans la mani\u00e8re dont les entreprises pr\u00e9viennent les incidents de cybers\u00e9curit\u00e9 et y rem\u00e9dient dans tous les domaines. La signature de cette loi a quelques implications suppl\u00e9mentaires qui m\u00e9ritent d&rsquo;\u00eatre prises en compte.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Le FedRAMP a \u00e9t\u00e9 cr\u00e9\u00e9 pour faciliter l&rsquo;adoption et l&rsquo;utilisation des technologies cloud par le gouvernement f\u00e9d\u00e9ral, et aide les agences \u00e0 mettre en \u0153uvre des technologies cloud modernes en mettant l&rsquo;accent sur la s\u00e9curit\u00e9. Le d\u00e9ploiement de la loi Strengthening American Cybersecurity Act of 2022 cr\u00e9e une opportunit\u00e9 pour les organisations du <a href=\"https:\/\/www.fedramp.gov\" target=\"_blank\" rel=\"noopener\">Federal Risk and Authorization Management Program (FedRAMP)<\/a> d&rsquo;\u00e9voluer vers des technologies bas\u00e9es sur le cloud.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Nous supposons que les r\u00e9glementations concernant le secteur priv\u00e9 sont d\u00e9j\u00e0 en cours d&rsquo;\u00e9laboration, bien qu&rsquo;il faille attendre des ann\u00e9es avant de voir quoi que ce soit de concret. Cela dit, nous savons que les exigences en mati\u00e8re de s\u00e9curit\u00e9 et de rapports d\u00e9finies par la loi sont souvent prohibitives pour les petites entreprises, et il pourrait bient\u00f4t \u00eatre n\u00e9cessaire que le gouvernement subventionne le financement de la surveillance et des mesures correctives. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">Beaucoup s&rsquo;accordent \u00e0 dire qu&rsquo;une incitation fiscale pour les PME qui renforcent leur cybers\u00e9curit\u00e9 pourrait voir le jour. Ce serait probablement une aubaine pour les fournisseurs de services g\u00e9r\u00e9s qui ont souvent du mal \u00e0 convaincre leurs clients que les co\u00fbts li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 sont justifi\u00e9s.\u00a0<\/span><\/p>\n<h2><b>Comment les MSP peuvent-ils rester en conformit\u00e9 avec l&rsquo;American CyberSecurity Act de 2022 ?<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">La loi sur le renforcement de la cybers\u00e9curit\u00e9 am\u00e9ricaine (Strengthening American Cybersecurity Act) pr\u00e9voit \u00e0 la fois des sanctions en cas de non-respect et des avantages en cas de respect des exigences.\u00a0<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><span style=\"font-weight: 400;\">En ce qui concerne la responsabilit\u00e9 des MSP, il est important de noter que la CISA dispose d&rsquo;un grand nombre de pouvoirs pour demander des informations \u00e0 une entit\u00e9 concern\u00e9e, y compris le pouvoir d&rsquo;\u00e9mettre des citations \u00e0 compara\u00eetre. Si une entreprise ou une MSP ne se conforme pas aux enqu\u00eates de la CISA, l&rsquo;affaire pourrait \u00eatre port\u00e9e devant le <a href=\"https:\/\/www.justice.gov\" target=\"_blank\" rel=\"noopener\">minist\u00e8re am\u00e9ricain de la justice (U.S. Department of Justice)<\/a> pour l&rsquo;application de la r\u00e9glementation au moyen d&rsquo;amendes, de p\u00e9nalit\u00e9s, voire d&rsquo;une incarc\u00e9ration.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><span style=\"font-weight: 400;\">D&rsquo;autre part, les entit\u00e9s qui se conforment aux r\u00e8gles b\u00e9n\u00e9ficieront d&rsquo;un certain niveau de protection de la part du gouvernement. En se mettant en conformit\u00e9, une entreprise serait exempt\u00e9e de toute poursuite civile et les informations qu&rsquo;elle fournit ne pourraient pas \u00eatre utilis\u00e9es contre elle, m\u00eame si la vuln\u00e9rabilit\u00e9 \u00e9tait due \u00e0 une erreur de la part de l&rsquo;entreprise.\u00a0<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><span style=\"font-weight: 400;\">Pour mieux comprendre comment la loi pourrait affecter votre MSP, examinons cinq sections sp\u00e9cifiques :<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Section 107. Obligation pour les agences de notifier les entit\u00e9s du secteur priv\u00e9 touch\u00e9es par les incidents<\/b><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Cette section d\u00e9crit comment les entit\u00e9s concern\u00e9es doivent signaler les incidents susceptibles d&rsquo;affecter la confidentialit\u00e9 ou l&rsquo;int\u00e9grit\u00e9 d&rsquo;informations sensibles, en particulier les informations li\u00e9es \u00e0 une exigence l\u00e9gale ou r\u00e9glementaire. Cette section d\u00e9crit \u00e9galement les exigences en mati\u00e8re de notification des incidents susceptibles d&rsquo;avoir un impact sur les syst\u00e8mes d&rsquo;information utilis\u00e9s pour transmettre ou stocker des informations sensibles.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Section 108. Normes de s\u00e9curit\u00e9 mobile<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Cette section concerne l&rsquo;\u00e9valuation de la s\u00e9curit\u00e9 des applications mobiles et donne des orientations sur la <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/comment-faire-un-inventaire-d-actifs\/\">tenue d&rsquo;un inventaire permanent de tous les appareils mobiles<\/a> utilis\u00e9s par l&rsquo;entreprise. Naturellement, il d\u00e9crit la posture de s\u00e9curit\u00e9 mobile souhait\u00e9e et la mani\u00e8re dont les donn\u00e9es pertinentes doivent \u00eatre partag\u00e9es avec la CISA au moyen de l&rsquo;automatisation (le cas \u00e9ch\u00e9ant).<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Section 109. Conservation des donn\u00e9es et des logs pour la r\u00e9ponse aux incidents<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Les d\u00e9tails sont encore en cours d&rsquo;\u00e9laboration, mais la loi d\u00e9terminera en fin de compte les types de journaux et de donn\u00e9es que vous devrez stocker pour les entit\u00e9s concern\u00e9es, ainsi que la dur\u00e9e pendant laquelle ces donn\u00e9es devront \u00eatre conserv\u00e9es. Une m\u00e9thodologie pr\u00e9cise sera mise en place pour garantir que les journaux restent accessibles \u00e0 certaines agences gouvernementales pour l&rsquo;\u00e9tablissement de rapports, tout en restant confidentiels afin de prot\u00e9ger les informations personnelles identifiables. Les d\u00e9tails pr\u00e9cis de cette section devraient \u00eatre finalis\u00e9s au cours des deux prochaines ann\u00e9es.\u00a0<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Section 112. Programme permanent de chasse aux menaces<\/b><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Cette section stipule que les entit\u00e9s couvertes doivent \u00ab\u00a0mettre en place un programme visant \u00e0 fournir des services continus de chasse aux menaces fond\u00e9s sur des hypoth\u00e8ses sur le r\u00e9seau de chaque agence\u00a0\u00bb. Elles devront \u00eatre en mesure de rendre compte de la nature de ces activit\u00e9s, des menaces ou des vuln\u00e9rabilit\u00e9s qu&rsquo;elles ont pu r\u00e9v\u00e9ler, ainsi que des enseignements tir\u00e9s de ces activit\u00e9s de chasse aux menaces.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><span style=\"font-weight: 400;\">La chasse aux menaces fait partie d&rsquo;une approche plus proactive de la cybers\u00e9curit\u00e9. Cette section montre que les l\u00e9gislateurs ne se contentent plus de laisser les entit\u00e9s attendre une attaque et r\u00e9agir si n\u00e9cessaire. Cela cr\u00e9e de nombreuses opportunit\u00e9s pour les MSP sp\u00e9cialis\u00e9s dans la cybers\u00e9curit\u00e9 qui peuvent fournir ces services de chasse aux menaces.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<h4><b>Section 114. Mise en \u0153uvre d&rsquo;une architecture de confiance z\u00e9ro<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">La confiance z\u00e9ro est une m\u00e9thodologie qui augmente la s\u00e9curit\u00e9 des syst\u00e8mes de r\u00e9seaux internes en supposant qu&rsquo;aucun logiciel, utilisateur ou donn\u00e9e ne peut \u00eatre consid\u00e9r\u00e9 comme s\u00fbr ou l\u00e9gitime. Dans le cadre de cette approche, seules les personnes qui ont besoin d&rsquo;un acc\u00e8s doivent pouvoir en b\u00e9n\u00e9ficier. Cela signifie que les utilisateurs, les administrateurs et les applications ne peuvent acc\u00e9der qu&rsquo;aux zones du r\u00e9seau qui sont essentielles \u00e0 leur r\u00f4le.<\/span><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<p><strong>En bref, la loi stipule que les d\u00e9partements informatiques doivent :<\/strong><b style=\"font-size: 28px; letter-spacing: 0px;\"><\/b><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Constituer une \u00e9quipe ou affecter des ressources \u00e0 l&rsquo;identification, \u00e0 l&rsquo;isolement et \u00e0 l&rsquo;\u00e9limination des menaces aussi rapidement que possible. Dans de nombreux cas, l&rsquo;entreprise MSP ou MSSP r\u00e9pondra \u00e0 cette suggestion en assumant cette responsabilit\u00e9.\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Cesser de penser que les r\u00e9seaux sont fiables, mais plut\u00f4t \u00ab\u00a0assumer l&rsquo;acc\u00e8s\u00a0\u00bb et mettez toujours en \u0153uvre des contr\u00f4les bas\u00e9s sur l&rsquo;hypoth\u00e8se de l&rsquo;existence d&rsquo;un risque ou d&rsquo;une menace.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Adopter le principe du moindre privil\u00e8ge lors de la cr\u00e9ation de programmes de s\u00e9curit\u00e9 de l&rsquo;information et de la gestion des acc\u00e8s administratifs.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Utiliser des m\u00e9thodes et une architecture qui limitent les mouvements lat\u00e9raux \u00e0 travers un r\u00e9seau, par exemple en utilisant la micro-segmentation.<\/span><\/li>\n<\/ul>\n<h2><b>Partenariat avec NinjaOne<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">NinjaOne est l\u00e0 pour aider les entreprises MSP \u00e0 g\u00e9rer leur activit\u00e9 de mani\u00e8re efficace et s\u00e9curis\u00e9e. Des milliers d&rsquo;utilisateurs font confiance \u00e0 notre <a href=\"https:\/\/www.ninjaone.com\/fr\/rmm\">logiciel RMM<\/a> de pointe pour g\u00e9rer les complexit\u00e9s de la gestion informatique moderne.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Vous n&rsquo;\u00eates pas encore partenaire de NinjaOne ? Nous voulons vous aider \u00e0 d\u00e9velopper votre entreprise ! Visitez <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\">notre blog<\/a> pour des ressources MSP et des guides utiles, inscrivez-vous \u00e0 Bento pour recevoir des conseils importants dans votre bo\u00eete aux lettres \u00e9lectronique, et participez \u00e0 nos Live Chats pour des discussions en t\u00eate-\u00e0-t\u00eate avec des experts du canal.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Si vous \u00eates pr\u00eat \u00e0 devenir un <a href=\"https:\/\/www.ninjaone.com\/fr\/programme-partenaire\/\">partenaire NinjaOne<\/a>, planifiez une d\u00e9monstration ou <a href=\"https:\/\/www.ninjaone.com\/fr\/phase-de-test-gratuit\">profitez d&rsquo;un essai<\/a> pour voir pourquoi plus de 17 000 clients ont d\u00e9j\u00e0 choisi NinjaOne comme partenaire en mati\u00e8re de s\u00e9curit\u00e9 et de gestion \u00e0 distance.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le pr\u00e9sident Joe Biden a sign\u00e9 le Strengthening American Cybersecurity Act (Renforcement de la cybers\u00e9curit\u00e9 am\u00e9ricaine) en Mars 2022. La loi se compose de plusieurs r\u00e8glements, mais ce sont les exigences en mati\u00e8re de rapports sur les incidents de s\u00e9curit\u00e9 qui suscitent des r\u00e9actions au sein de la communaut\u00e9 informatique. Actuellement, les exigences en mati\u00e8re [&hellip;]<\/p>\n","protected":false},"author":35,"featured_media":349717,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4369,3054],"tags":[],"class_list":["post-351981","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","category-rmm-fr"],"acf":[],"modified_by":"Joel Newcomer","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/351981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/comments?post=351981"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/351981\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media\/349717"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media?parent=351981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/categories?post=351981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/tags?post=351981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}