Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Français
Entry № 471

FISMA

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que FISMA ?

FISMALoi fédérale américaine qui impose aux agences fédérales et à leurs prestataires de mettre en place des programmes de sécurité de l'information fondés sur les risques pour les systèmes traitant des données gouvernementales.

Le Federal Information Security Modernization Act (FISMA), adopté en 2002 et mis à jour en 2014, exige que chaque agence fédérale élabore, documente et mette en œuvre un programme de sécurité de l'information à l'échelle de l'agence. La loi confie au NIST la publication des normes (FIPS 199 pour la catégorisation, FIPS 200 pour les contrôles minimums) et des guides (catalogue SP 800-53, cadre de gestion des risques SP 800-37). Les agences doivent inventorier leurs systèmes, mener des analyses de risques, octroyer une Authorization to Operate (ATO), surveiller en continu les contrôles et faire un rapport annuel à l'OMB et au Congrès. FISMA s'applique aussi aux prestataires et aux fournisseurs cloud qui exploitent des systèmes fédéraux. L'OMB et la CISA assurent la supervision ; le GAO en audite l'efficacité.

Exemples

  1. 01

    Une agence accorde une ATO à un nouveau SIRH après une évaluation des contrôles NIST SP 800-53.

  2. 02

    Un prestataire fédéral maintient une supervision continue et soumet des POA&M pour rester conforme à FISMA.

Questions fréquentes

Qu'est-ce que FISMA ?

Loi fédérale américaine qui impose aux agences fédérales et à leurs prestataires de mettre en place des programmes de sécurité de l'information fondés sur les risques pour les systèmes traitant des données gouvernementales. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.

Que signifie FISMA ?

Loi fédérale américaine qui impose aux agences fédérales et à leurs prestataires de mettre en place des programmes de sécurité de l'information fondés sur les risques pour les systèmes traitant des données gouvernementales.

Comment se défendre contre FISMA ?

Les défenses contre FISMA combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de FISMA ?

Noms alternatifs courants : Federal Information Security Modernization Act.

Termes liés

Voir aussi