NIST 800-172 est une publication spéciale de l’Institut National des Standards et de la Technologie (NIST) qui décrit des exigences de sécurité avancées. Établie en février 2021, son objectif principal est de renforcer la protection des informations non classifiées contrôlées (CUI) dans les systèmes et organisations non fédéraux. NIST 800-172 est particulièrement vital pour les organismes gouvernementaux et leurs partenaires du secteur privé, qui échangent des informations sensibles pouvant impacter la sécurité nationale si elles sont compromises. Il dépasse donc les mesures de sécurité de base et souligne le besoin d’une vigilance accrue et de mécanismes de défense robustes.

Avec la sophistication croissante des cybermenaces, NIST 800-172 vise à fournir un cadre complet pour atténuer les risques associés aux menaces persistantes avancées (APTs). En adhérant aux directives du NIST 800-172, les organisations peuvent améliorer significativement leur posture de sécurité, assurant ainsi la sécurité des données critiques et de l’infrastructure.

Tout ce que vous devez savoir sur NIST 800-172

Qu’est-ce que le NIST 800-172 ?

NIST 800-172 est une publication spéciale développée par l’Institut National des Standards et de la Technologie (NIST). Elle fournit un ensemble complet d’exigences de sécurité avancées spécifiquement conçues pour protéger les informations non classifiées contrôlées (CUI) dans les systèmes et organisations non fédéraux. Cette publication s’appuie sur les contrôles de sécurité fondamentaux spécifiés dans la publication spéciale NIST 800-171, qui établit les mesures de sauvegarde de base pour les CUI.

NIST 800-172 introduit des contrôles et des exigences renforcés qui adressent un éventail plus large de vecteurs de menaces et vise à fortifier la posture de sécurité des organisations manipulant des informations sensibles. Le document est particulièrement pertinent pour les industries et les secteurs engagés dans l’infrastructure critique, la défense et d’autres environnements à haut risque où les conséquences potentielles des violations de sécurité sont particulièrement graves.

Les principes clés incluent une stratégie de sécurité multicouche, la détection proactive des menaces et une réponse rapide aux incidents. La sécurité multicouche, également connue sous le nom de défense en profondeur, implique la mise en œuvre de multiples couches de mécanismes de défense pour protéger les informations sensibles. Ce principe garantit que si une couche est compromise, des couches supplémentaires continuent de fournir une protection. La détection proactive des menaces implique une surveillance et une analyse continues pour identifier et contrer les menaces avant qu’elles ne puissent causer un préjudice significatif. Enfin, une réponse rapide aux incidents garantit que les organisations peuvent rapidement atténuer et se remettre des incidents de sécurité, minimisant les dommages potentiels.

En détaillant ces mesures strictes et d’autres, NIST 800-172 cherche à assurer un niveau de protection plus élevé contre les cybermenaces sophistiquées et les activités adverses. Les directives sont conçues pour aider les organisations à mettre en œuvre des pratiques de cybersécurité robustes, minimisant ainsi le risque d’accès non autorisé, de violations de données et d’autres incidents de sécurité. Dans l’ensemble, NIST 800-172 sert de composant critique du cadre de cybersécurité plus large établi par le NIST, visant à renforcer la résilience et la sécurité des systèmes et infrastructures d’information des États-Unis.

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire maintenant

Exigences du NIST 800-172

Pour se conformer au NIST 800-172, les organisations doivent suivre un ensemble d’exigences conçues pour renforcer leur posture de cybersécurité. Ces exigences comprennent :

  • Contrôles de sécurité renforcés : NIST 800-172 décrit des exigences de sécurité renforcées spécifiques qui vont au-delà des contrôles de base dans NIST 800-171. Cela inclut des mesures avancées telles que la surveillance persistante et les capacités de réponse aux incidents, s’assurant que toute menace potentielle de sécurité est détectée et atténuée rapidement.
  • Renseignement sur les menaces et collaboration : Les organisations sont tenues de mettre en place des processus pour collecter, analyser et partager le renseignement sur les menaces avec les parties concernées. Cette approche collaborative aide à prévenir les menaces de sécurité et améliore la résilience globale de la sécurité.
  • Protection des informations critiques : Des mesures supplémentaires doivent être prises pour protéger les CUI critiques contre les menaces persistantes avancées (APTs). Cela inclut le chiffrement des données au repos et en transit, garantissant que les informations sensibles ne sont pas facilement accessibles aux utilisateurs non autorisés.
  • Surveillance et réponse continues : La conformité au NIST 800-172 exige une surveillance continue des réseaux, systèmes et applications pour détecter et répondre aux anomalies en temps réel. Cette approche proactive garantit que les vulnérabilités sont rapidement abordées.
  • Planification de la réponse aux incidents et de la récupération : Les organisations doivent disposer de plans de réponse aux incidents complets qui peuvent être rapidement activés en cas de cyberattaque. Ces plans doivent détailler les étapes de confinement, d’éradication et de récupération pour minimiser l’impact sur les opérations.

Comprendre et mettre en œuvre ces exigences améliorera considérablement la protection des CUI et assurera une sécurité robuste contre les cybermenaces sophistiquées.

Points clés

  1. Un cadre de sécurité avancé

    Le NIST 800-172 s’appuie sur les contrôles fondamentaux du NIST 800-171 en introduisant des exigences de sécurité renforcées ciblant la protection des informations non classifiées contrôlées (CUI) dans les systèmes non fédéraux. Ce cadre est crucial pour contrer les menaces persistantes avancées (APT) et assurer une posture de sécurité robuste.

  2. Applicabilité et importance

    Le NIST 800-172 s’applique principalement aux agences fédérales et à leurs contractants, y compris les secteurs de la défense, de l’IT et de la recherche. Il est crucial pour les organisations qui échangent des informations sensibles qui, si compromises, pourraient impacter la sécurité nationale.

  3. Composants clés

    Le NIST 800-172 met l’accent sur une stratégie de sécurité multicouche, la détection proactive des menaces et une réponse rapide aux incidents. Cette approche implique la mise en œuvre de multiples couches de défense, une surveillance continue et des réponses opportunes pour atténuer efficacement les risques.

  4. Relation avec d’autres normes

    Bien que la conformité au NIST 800-172 ne soit pas explicitement mandatée pour des cadres comme CMMC, FedRAMP ou ITAR, adhérer à ses normes peut aider à répondre à ces exigences réglementaires et autres. Comprendre l’interaction entre ces cadres aide à une conformité sécuritaire complète.

  5. Conformité et mise en œuvre

    Atteindre la conformité avec le NIST 800-172 implique de respecter une liste complète d’actions, telles que la surveillance avancée, l’authentification forte et la planification de la réponse aux incidents. Pour mettre en œuvre, évaluez vos mesures de sécurité actuelles, développez des plans de sécurité détaillés et investissez dans les technologies appropriées.

NIST 800-172 vs. NIST 800-171

Le NIST 800-172 et le NIST 800-171 traitent tous deux de la protection des CUI, mais ils répondent à différents niveaux d’exigences de sécurité. Le NIST 800-171, établi plus tôt, fournit une base pour protéger les CUI au sein des systèmes d’information non fédéraux. Il établit des contrôles et des pratiques fondamentaux que les organisations devraient mettre en œuvre pour protéger les informations sensibles.

Le NIST 800-172, en revanche, complète ces contrôles de base en introduisant des mesures plus strictes destinées à contrer les menaces avancées. Alors que le NIST 800-171 se concentre sur l’établissement d’une fondation de sécurité solide, le NIST 800-172 s’appuie dessus, comblant les lacunes pour assurer un niveau de protection élevé. Les organisations traitant des informations hautement sensibles ou confrontées à des cybermenaces plus sophistiquées devraient envisager de se conformer aux deux normes pour atteindre une conformité sécuritaire complète.

Qui doit se conformer au NIST 800-172 ?

Le NIST 800-172 s’applique aux agences fédérales et à leurs contractants qui gèrent des informations non classifiées contrôlées (CUI). Cela inclut les contractants de la défense, les entreprises de cybersécurité, les fournisseurs de services cloud, les entreprises aérospatiales, les institutions de recherche et les prestataires de services IT. Ces organisations doivent adhérer à des exigences de sécurité plus strictes que celles du NIST 800-171. Les organisations doivent suivre une liste complète pour répondre aux exigences du NIST 800-172.

Les organisations rencontrent souvent des difficultés à différencier le NIST 800-172 du NIST 800-171, mais comprendre les spécificités peut conduire à une meilleure protection des données. Pour les organisations visant à respecter la conformité au NIST 800-172, une liste de contrôle bien structurée est essentielle. Cette liste comprend des pratiques avancées telles que l’adoption de l’authentification multifactorielle, la surveillance continue et la réponse aux incidents. S’en tenir aux principes du NIST 800-172 aide les organisations à atténuer efficacement les risques.

Pour se conformer au NIST 800-172, les organisations doivent mettre en œuvre des mesures strictes, y compris des protections cryptographiques avancées, une surveillance persistante et une réponse immédiate aux menaces. Savoir comment se conformer au NIST 800-172 peut être un défi, mais des directives complètes et des ressources sont disponibles pour une mise en œuvre réussie. Comprendre le processus de mise en œuvre du NIST 800-172 et adhérer à ses exigences de conformité aidera à protéger efficacement les informations sensibles.

La conformité au NIST 800-172 est-elle requise pour FedRAMP, CMMC, ITAR ou des réglementations similaires ?

Les organisations se demandent souvent comment se conformer au NIST 800-172, en particulier lorsqu’elles considèrent son chevauchement avec d’autres cadres comme FedRAMP, CMMC et ITAR. Examinons de plus près la relation entre le NIST 800-172 et ces réglementations individuelles.

NIST 800-172 et CMMC

La conformité avec le NIST SP 800-172 n’est pas explicitement requise pour la conformité au Cybersecurity Maturity Model Certification (CMMC) 2.0. Toutefois, il est important de comprendre la relation entre ces normes et cadres pour saisir pleinement leurs implications. Le CMMC 2.0, conçu pour protéger les informations non classifiées contrôlées (CUI) et les informations de contrat fédéral (FCI) au sein de la Base Industrielle de la Défense (DIB), comprend trois niveaux de maturité en cybersécurité. Le niveau 1 du CMMC (Fondamental) est aligné sur les 17 pratiques de sécurité de base trouvées dans le FAR 52.204-21. Le niveau 2 du CMMC (Avancé) s’aligne étroitement sur les 110 contrôles de sécurité définis dans le NIST SP 800-171. Le niveau 3 du CMMC (Expert) est influencé par des normes telles que le NIST SP 800-172 mais ne contient pas de correspondance directe un à un. En bref, le niveau 3 du CMMC n’exige pas explicitement une conformité totale avec le NIST SP 800-172.

NIST 800-172 et FedRAMP

FedRAMP (Federal Risk and Authorization Management Program) est un programme gouvernemental américain qui standardise les évaluations de sécurité, les autorisations et la surveillance continue pour les produits et services cloud. La conformité FedRAMP se concentre principalement sur l’adhésion aux contrôles décrits dans le NIST SP 800-53, adaptés aux besoins spécifiques et aux risques associés aux services cloud. La conformité avec le NIST SP 800-172 n’est pas une exigence spécifique pour l’autorisation FedRAMP, cependant, il est possible que les futures mises à jour intègrent des normes ou des exigences supplémentaires basées sur les besoins de sécurité évolutifs et les changements législatifs.

NIST 800-172 et ITAR

Le International Traffic in Arms Regulations (ITAR) est un ensemble de réglementations gouvernementales américaines qui contrôlent l’exportation et l’importation d’articles et de services liés à la défense. La conformité ITAR se concentre principalement sur la protection des données techniques et des informations liées à la défense pour s’assurer qu’elles ne tombent pas entre les mains d’entités étrangères sans autorisation appropriée. Bien que l’ITAR ne spécifie pas explicitement la conformité au NIST 800-172, les organisations qui gèrent à la fois des données liées à l’ITAR et des informations non classifiées contrôlées pourraient trouver avantageux d’implémenter les normes NIST 800-172 ou NIST 800-171 pour renforcer leur posture de sécurité globale. La conformité ITAR implique souvent plusieurs couches de contrôles, incluant la sécurité physique, le contrôle du personnel, le contrôle d’accès et les mesures de cybersécurité. Utiliser les cadres NIST peut aider à répondre à certaines de ces exigences en matière de cybersécurité, mais adhérer strictement au NIST 800-172 n’est pas une exigence réglementaire sous l’ITAR.

Ainsi, bien que la conformité au NIST 800-172 ne soit pas explicitement requise pour le CMMC, FedRAMP ou ITAR, les organisations qui démontrent une conformité au NIST 800-172 ou même adhèrent à certains standards du NIST 800-172, peuvent considérablement renforcer leur posture de sécurité et faciliter le respect de multiples exigences réglementaires.

Risques de non-conformité avec le NIST 800-172

Ne pas se conformer au NIST 800-172 expose les organisations à plusieurs risques significatifs. L’un des dangers les plus pressants est l’augmentation de la probabilité de violations de données, qui peut entraîner la perte ou le vol d’informations sensibles. Cela compromet non seulement la confidentialité des CUI mais sape également la confiance entre les agences gouvernementales et leurs partenaires.

La non-conformité peut également entraîner de graves répercussions financières et légales. Les organisations peuvent faire face à des pénalités, des amendes et des poursuites, ce qui peut peser sur les ressources et affecter leur efficacité opérationnelle globale. De plus, une posture de sécurité compromise peut ternir la réputation d’une organisation, rendant difficile la sécurisation de futurs contrats et collaborations.

Comment se conformer au NIST 800-172

Atteindre la conformité avec le NIST 800-172 implique une série d’étapes bien définies. Tout d’abord, les organisations doivent effectuer une évaluation approfondie de leur posture de sécurité actuelle. Cela implique d’identifier les contrôles existants, d’évaluer leur efficacité et de repérer les domaines nécessitant des améliorations.

Ensuite, les organisations devraient développer et mettre en œuvre un plan de sécurité complet qui répond aux exigences spécifiques du NIST 800-172. Ce plan doit inclure des procédures détaillées pour la surveillance, l’authentification, la redondance, les évaluations, la réponse aux incidents et la formation. Chaque domaine doit être méticuleusement documenté et régulièrement révisé pour garantir une conformité continue.

De plus, les organisations devraient investir dans des technologies et outils de sécurité avancés qui soutiennent les principes et exigences du NIST 800-172. Cela peut inclure des systèmes de détection d’intrusion, des solutions de gestion des informations et événements de sécurité (SIEM) et des plateformes d’authentification avancées.

Liste de vérification pour la conformité au NIST 800-172

La conformité avec le NIST 800-172 exige que les organisations suivent une liste de vérification complète d’actions et de contrôles. Les domaines clés d’intérêt comprennent :

  • Améliorer les capacités de surveillance : Mettre en œuvre des outils de surveillance avancés pour détecter et répondre aux menaces en temps réel.
  • Mettre en place des mécanismes d’authentification avancés : Utiliser l’authentification multifactorielle et d’autres techniques avancées pour vérifier les identités des utilisateurs.
  • Assurer la redondance dans les systèmes critiques : Développer et maintenir des systèmes de sauvegarde pour garantir la continuité opérationnelle en cas de violation.
  • Effectuer des évaluations de sécurité régulières : Réaliser des évaluations fréquentes pour identifier les vulnérabilités et les traiter rapidement.
  • Développer des plans de réponse aux incidents : Créer et mettre régulièrement à jour des plans pour répondre et se remettre des incidents de sécurité.
  • Éduquer le personnel sur les meilleures pratiques de sécurité et la sensibilisation aux menaces pour maintenir un haut niveau de culture de sécurité.
  • Surveillance et amélioration des mesures de sécurité : Les organisations doivent également s’engager dans une surveillance continue et l’amélioration de leurs efforts de sécurité. Cette approche garantit que les défenses restent robustes face aux menaces évolutives, préservant ainsi l’intégrité et la confidentialité des informations non classifiées contrôlées.

Comment mettre en œuvre NIST 800-172

La mise en œuvre du NIST 800-172 nécessite une approche bien structurée et organisée. Les organisations devraient commencer par assembler une équipe dédiée de professionnels de la cybersécurité pour superviser le processus de mise en œuvre. Cette équipe devrait être composée d’individus possédant une expertise en gestion des risques, réponse aux incidents, technologie de sécurité et conformité. L’étape suivante pour l’équipe est de développer une feuille de route d’implémentation complète détaillant les étapes nécessaires et les délais pour atteindre la conformité. Cette feuille de route devrait prioriser l’adressage des zones les plus critiques en premier, assurant que les informations et systèmes les plus sensibles reçoivent une attention immédiate. Elle devrait également inclure des jalons et points de contrôle clairement définis pour surveiller les progrès et apporter les ajustements nécessaires.

Une mise en œuvre réussie nécessite également une collaboration avec les partenaires et les parties prenantes externes. Cela signifie que les agences gouvernementales et les partenaires du secteur privé doivent aligner leurs pratiques de sécurité et partager activement des informations sur les menaces émergentes et les meilleures pratiques. Une telle collaboration renforce non seulement la sécurité globale mais favorise également une culture de responsabilité partagée parmi toutes les parties impliquées.

Kiteworks aide les contractants gouvernementaux à démontrer la conformité avec NIST 800-171 et NIST 800-172

Le NIST 800-172 joue un rôle crucial dans l’amélioration de la sécurité des informations non classifiées contrôlées au sein des systèmes non fédéraux. Il introduit des mesures de sécurité avancées pour lutter contre les cybermenaces sophistiquées, bénéficiant à la fois aux agences gouvernementales et aux partenaires du secteur privé qui travaillent avec elles. Il se présente comme un cadre supplémentaire au NIST 800-171, comblant les lacunes et élevant les normes de sécurité.

Adhérer au NIST 800-172 est essentiel pour maintenir une posture de cybersécurité robuste et protéger les informations critiques. Ignorer ces directives expose les organisations à des risques de violations de données, de répercussions juridiques et de pertes financières.

Le Réseau de contenu privé de Kiteworks, une plateforme de partage de fichiers et de transfert de fichiers sécurisée validée FIPS 140-2 Niveau, consolide l’email, le partage de fichiers, les formulaires Web, le SFTP, le transfert de fichiers géré, et la solution de gestion des droits numériques de nouvelle génération afin que les organisations contrôlent, protègent, et suivent chaque fichier à son entrée et sortie de l’organisation.

Les options de déploiement de Kiteworks incluent sur site, hébergé, privé, hybride, et cloud privé virtuel FedRAMP. Avec Kiteworks : contrôlez l’accès au contenu sensible ; protégez-le lorsqu’il est partagé à l’extérieur en utilisant le chiffrement de bout en bout automatisé, l’authentification multifactorielle, et les intégrations d’infrastructure de sécurité ; voyez, suivez, et générez des rapports sur toute l’activité des fichiers, à savoir qui envoie quoi à qui, quand et comment. Démontrez enfin la conformité avec des réglementations et normes telles que RGPD, HIPAA, CMMC, Cyber Essentials Plus, IRAP, et bien d’autres.

Pour en savoir plus sur Kiteworks, réservez votre démo personnalisée dès aujourd’hui.

Retour au glossaire Risque & Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Partagez
Tweetez
Partagez
Explore Kiteworks