Aller au contenu principal

Cadres réglementaires

Cadres réglementaires et normes en cybersécurité

Notions théoriques

La cybersécurité ne se limite pas à des outils techniques : elle repose aussi sur des cadres réglementaires et des normes qui définissent les bonnes pratiques à suivre.

1. RGPD (Règlement Général sur la Protection des Données)

Le RGPD est une réglementation européenne entrée en vigueur en 2018. Il vise à protéger les données personnelles des citoyens de l'UE.

Voici quelques principes clés :

  • Consentement : Une entreprise doit obtenir l'accord explicite d'un utilisateur avant de collecter ses données.
  • Droit à l'oubli : Un utilisateur peut demander la suppression de ses données.
  • Portabilité des données : Un utilisateur peut récupérer ses données et les transférer ailleurs.
  • Sécurité des données : Les entreprises doivent protéger les données contre les fuites et les cyberattaques.
  • Sanctions : En cas de non-respect, des amendes allant jusqu'à 4 % du chiffre d'affaires annuel peuvent être appliquées.

2. ISO 27001

L'ISO 27001 est une norme internationale qui définit un système de gestion de la sécurité de l'information (SGSI).

L'ISO 27001 impose :

  • Une approche basée sur l'analyse des risques.
  • La mise en place de contrôles de sécurité (accès restreints, chiffrement, audits).
  • Une amélioration continue pour s'adapter aux nouvelles menaces.

3. NIST (National Institute of Standards and Technology)

Le NIST est un organisme américain qui propose des recommandations en cybersécurité.

Son Cybersecurity Framework (CSF) repose sur 5 piliers :

  1. Identifier : Comprendre les risques et les actifs à protéger.
  2. Protéger : Mettre en place des mesures de sécurité (firewalls, chiffrement…).
  3. Détecter : Surveiller les activités suspectes.
  4. Répondre : Réagir rapidement en cas d'incident.
  5. Récupérer : Restaurer les systèmes après une attaque.

4. OWASP (Open Web Application Security Project)

L'OWASP est une organisation qui publie régulièrement une liste des 10 principales failles de sécurité web (OWASP Top 10).

Parmi elles :

  • Injection SQL : Un attaquant insère du code SQL malveillant dans une requête.
  • XSS (Cross-Site Scripting) : Un attaquant injecte du JavaScript malveillant dans une page web.
  • Mauvaise gestion des sessions : Un attaquant vole une session utilisateur.

5. Différences entre ces cadres

Cadre/NormeTypeObjectif
RGPDRéglementationProtection des données personnelles
ISO 27001NormeGestion de la sécurité de l'information
NISTRecommandationCybersécurité globale (USA)
OWASPGuideSécurité des applications web

Exemple pratique

Imaginons une startup qui développe une application Web permettant aux utilisateurs de stocker leurs documents en ligne.

Voici comment elle applique ces cadres :

  1. RGPD : Elle demande le consentement des utilisateurs avant de collecter leurs données et leur permet de les supprimer facilement.
  2. ISO 27001 : Elle met en place un système de gestion de la sécurité, avec des audits réguliers et des contrôles d'accès stricts.
  3. NIST : Elle suit les recommandations du NIST pour détecter et répondre aux cyberattaques.
  4. OWASP : Elle applique les bonnes pratiques de l’OWASP pour éviter les failles comme l’injection SQL et le XSS.

Test de mémorisation/compréhension


Quel est l'objectif principal du RGPD ?


Quel organisme publie le OWASP Top 10 ?


Quelle réglementation impose le droit à l'oubli ?


Quelle est la principale sanction en cas de non-respect du RGPD ?


Quel cadre est principalement utilisé aux États-Unis ?


Quel cadre est une réglementation et non une norme ou une recommandation ?


Quel cadre publie une liste des 10 principales vulnérabilités des applications Web ?


Quel droit du RGPD permet à une personne de demander la suppression de ses données ?


Quelle faille de sécurité est liée à l'exécution de scripts malveillants dans le navigateur d'un utilisateur ?


Quelle est la sanction maximale pour une violation grave du RGPD ?


Quel cadre est principalement axé sur la sécurité des applications Web ?