Partage de fichiers conforme à la norme NIST 800-171 – Ce qu’il faut savoir
En réponse à l’intensification des menaces de sécurité provenant d’États-nations, de hacktivistes et d’autres parties malveillantes, le Département de la Défense des États-Unis (DoD) a relevé la barre de ses normes de cybersécurité.
Une modification de la réglementation DFARS 252.204-7012, qui aborde la “Protection des informations de défense couvertes et la déclaration d’incidents cybernétiques”, exige des entrepreneurs et sous-traitants du DoD de mettre en œuvre toutes les exigences de sécurité énumérées dans la publication spéciale (SP) 800-171 de l’Institut national des normes et de la technologie (NIST), intitulée “Protection des informations non classifiées contrôlées dans les systèmes et organisations non fédéraux”.
NIST SP 800-171 est un ensemble de lignes directrices créées par l’Institut national des normes et de la technologie (NIST) pour protéger la confidentialité des informations non classifiées contrôlées (CUI) dans les systèmes et organisations non fédéraux. Cet ensemble de normes met en évidence la nécessité de protéger les CUI contre la plupart des menaces, décrites dans le document, notamment l’accès non autorisé, la divulgation ou la modification.
Le NIST 800-171 répertorie plus de 100 exigences de sécurité différentes, couvrant 14 domaines différents de la cybersécurité. Les entrepreneurs et sous-traitants devaient mettre en œuvre toutes ces exigences sur leurs “systèmes couverts” d’ici le 31 décembre 2017. Le non-respect peut entraîner la résiliation des contrats par le DoD.
Conformité à la série NIST 800
La série NIST 800 est un ensemble de publications du NIST qui établissent les normes de protection des systèmes d’information aux États-Unis. Les normes sont particulièrement importantes pour les organisations travaillant avec le gouvernement fédéral, car elles sont utilisées pour garantir que les informations sont correctement gérées et protégées.
La série 800 couvre des domaines tels que la gestion des risques, la cryptographie, le contrôle d’accès et la surveillance. La série 800 est régulièrement mise à jour pour garantir que toutes les normes restent pertinentes et à jour. De plus, la série 800 fournit des orientations sur la sélection des contrôles de sécurité appropriés pour chaque système. Cela aide les organisations à comprendre les mesures à prendre pour garantir la sécurité du système.
Les organisations qui souhaitent se conformer à la norme NIST 800 doivent suivre plusieurs étapes. Tout d’abord, elles doivent examiner les normes et s’assurer que leur système répond à toutes les exigences. Ensuite, elles doivent faire auditer leur système par un tiers indépendant pour s’assurer que les contrôles de sécurité répondent aux normes NIST 800. Enfin, les organisations doivent mettre en œuvre les modifications nécessaires pour assurer la conformité.
La conformité à la norme NIST 800 est essentielle pour toute organisation qui traite des données sensibles ou effectue des transactions pour le compte du gouvernement fédéral. La conformité aux normes de la série 800 démontre qu’une organisation prend les mesures nécessaires pour protéger ses informations et les maintenir en sécurité. Cela permet aux organisations de gagner la confiance de leurs clients et partenaires, et leur donne une plus grande confiance lorsqu’elles traitent des données sensibles.
Les 14 familles d’exigences de la norme NIST 800-171
La publication spéciale NIST 800-171 énonce des lignes directrices complètes pour protéger la confidentialité des informations non classifiées contrôlées (CUI) au sein des systèmes d’information non fédéraux. Ces lignes directrices comprennent 14 familles d’exigences que les organisations doivent prendre en compte pour renforcer la sécurité des CUI.
En mettant en œuvre efficacement ces exigences, les organisations peuvent renforcer leurs défenses et protéger les informations sensibles contre tout accès ou divulgation non autorisé, assurant ainsi la protection des données critiques.
| Section | Principales exigences |
|---|---|
| Contrôle d’accès | Mettre en place des contrôles d’accès pour protéger les contenus et systèmes sensibles. |
| Sensibilisation et formation | Dispenser une formation en matière de sécurité pour sensibiliser les employés aux politiques et procédures de sécurité. |
| Audit et responsabilité | Établir des mesures d’audit et de responsabilité pour suivre et surveiller l’accès aux contenus sensibles. |
| Gestion des configurations | Gérer et contrôler les configurations des systèmes et des appareils pour prévenir tout accès ou modification non autorisé. |
| Identification et authentification | Mettre en place des mécanismes d’authentification solides pour vérifier l’identité des utilisateurs accédant aux contenus sensibles. |
| Gestion des incidents | Élaborer et mettre en œuvre un plan de gestion des incidents pour répondre efficacement aux incidents de sécurité. |
| Maintenance | Maintenir régulièrement le système afin de le sécuriser et de le mettre à jour. |
| Protection des supports | Protéger et contrôler les supports physiques et numériques contenant des contenus sensibles. |
| Sécurité du personnel | Établir des politiques et des procédures de sécurité du personnel pour protéger les contenus sensibles. |
| Protection physique | Mettre en place des mesures de sécurité physique pour protéger les contenus et systèmes sensibles. |
| Évaluation des risques | Réaliser régulièrement des évaluations des risques pour identifier et atténuer les risques de sécurité. |
| Évaluation de la sécurité | Effectuer des évaluations de sécurité pour garantir la conformité aux exigences de sécurité. |
| Protection des systèmes et des communications | Mettre en place des contrôles de sécurité pour protéger les systèmes et canaux de communication utilisés pour les contenus sensibles. |
| Intégrité des systèmes et des informations | Mettre en place des mesures pour garantir l’intégrité des systèmes et des informations contenant des contenus sensibles. |
Quels standards de conformité des données sont importants ?
Comment mettre en œuvre la norme NIST SP 800-171
La première étape que les organisations doivent suivre pour mettre en œuvre la norme NIST SP 800-171 consiste à identifier les informations contrôlées non classifiées (CUI) dans leur écosystème, ainsi que leur niveau de sensibilité et les mesures de protection existantes. Une fois que les CUI ont été identifiées, elles doivent évaluer leurs contrôles de sécurité actuels pour déterminer si certaines des mesures de sécurité décrites dans la SP 800-171 sont déjà en place.
Ensuite, les organisations devraient élaborer les protocoles de sécurité nécessaires pour les CUI, tels que la limitation de l’accès physique, la création de mesures de contrôle d’accès et la mise en œuvre du chiffrement. De plus, les organisations devraient évaluer les risques de menaces potentielles et élaborer un plan d’intervention en cas d’incident pour faire face à tout incident de sécurité pouvant se produire.
Les organisations doivent également veiller à ce que tous les utilisateurs de leurs systèmes ou réseaux comprennent leurs rôles et responsabilités en matière de protection des CUI. Cela comprend la fourniture d’une formation sur les protocoles de sécurité appropriés et la réalisation d’audits de sécurité réguliers pour s’assurer que les mesures sont mises en œuvre correctement.
Les organisations devraient également surveiller régulièrement leurs systèmes, vérifier tout accès non autorisé ou toute activité suspecte. Elles devraient également fournir une formation supplémentaire en matière de cybersécurité au personnel et mettre à jour les protocoles de sécurité si nécessaire.
Enfin, les organisations devraient documenter leurs méthodes préférées de protection des CUI et soumettre la documentation au NIST pour examen. Cela contribuera à garantir que les exigences de la norme NIST SP 800-171 sont respectées et que l’organisation est conforme aux normes.
Kiteworks permet aux organisations de se conformer à la norme NIST 800-171
Kiteworks aide les organisations à démontrer leur conformité à la norme NIST 800-171, garantissant la protection des CUI. Avec des capacités de sécurité et de gouvernance robustes, Kiteworks répond aux exigences spécifiques de la norme NIST 800-171, permettant ainsi aux organisations de se conformer à cette norme de sécurité rigoureuse.
Le Réseau de contenu privé de Kiteworks offre aux organisations une sécurité, une gouvernance et une conformité pour le contenu sensible qu’elles partagent avec des tiers de confiance via des canaux tels que l’e-mail, le partage de fichiers, le transfert de fichiers et d’autres.
Kiteworks propose une appliance virtuelle durcie qui réduit la surface d’attaque des canaux de communication tiers vulnérables. Des mesures de sécurité telles que le chiffrement automatique de bout en bout, l’authentification multifactorielle (MFA), les contrôles d’accès granulaires et les intégrations avec des technologies de protection des données telles que la prévention des pertes de données (DLP), la protection avancée contre les menaces (ATP), la désactivation et la reconstruction du contenu (CDR) et la gestion des informations et des événements de sécurité (SIEM) protègent le contenu le plus sensible de l’organisation contre les cyberattaques et les accès non autorisés. Kiteworks garantit que les informations sensibles restent sécurisées, conformément aux exigences de chiffrement définies par la norme NIST 800-171.
Contrôles d’accès granulaires : Kiteworks offre un contrôle d’accès granulaire, permettant aux organisations de définir et de gérer les autorisations des utilisateurs, garantissant ainsi que seules les personnes autorisées peuvent accéder aux informations sensibles CUI. Grâce à des mécanismes de contrôle d’accès précis, les organisations peuvent mettre en place un environnement sécurisé conforme aux directives NIST 800-171.
Audit et responsabilité : Kiteworks génère des journaux d’audit complets, qui enregistrent l’activité des utilisateurs et les événements du système. Ces journaux fournissent aux organisations les informations nécessaires pour surveiller et examiner l’activité du système, répondant ainsi aux exigences d’audit et de responsabilité de la norme NIST 800-171.
Identification et authentification : Kiteworks met en œuvre des mécanismes solides d’identification et d’authentification des utilisateurs, tels que l’authentification multifactorielle (MFA), pour vérifier l’identité des utilisateurs accédant aux informations CUI. En respectant les exigences d’identification et d’authentification de la norme NIST 800-171, Kiteworks offre une couche de sécurité supplémentaire pour prévenir les accès non autorisés.
Pour en savoir plus sur la plateforme de partage sécurisé de fichiers Kiteworks, autorisée par le programme FedRAMP, et sur la manière dont elle répond aux exigences rigoureuses de FedRAMP et aide les organisations à se conformer à la norme NIST 800-171, planifiez dès aujourd’hui une démonstration personnalisée.
Ressources supplémentaires
- Article de blog Qu’est-ce que le cadre de cybersécurité NIST (CSF) ?
- Article de blog Cadre de confidentialité NIST pour la protection des données sensibles
- Article Exigences CMMC et NIST 800-171
- Article Protection des informations CUI avec la norme NIST SP 800-171 : comment rester conforme
- Article de blog Protéger son entreprise avec le cadre de cybersécurité NIST