En 2017, le National Institute of Standards and Technology (NIST) a publié des directives pour la publication spéciale (SP) 800-171, qui aide les organisations à sécuriser leurs systèmes d’information. Cette page de glossaire a pour but d’aider les entreprises à comprendre ce qu’elles doivent faire pour se conformer au NIST SP 800-171. Nous aborderons les bases de la conformité et ce que les entreprises peuvent faire pour commencer.

/

Qu’est-ce que le NIST SP 800-171 ?

Le National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171) est un ensemble de normes de sécurité que les entreprises doivent mettre en œuvre pour protéger les informations sensibles contre les accès non autorisés. Le NIST SP 800-171 s’applique à toutes les organisations qui manipulent des informations non classifiées contrôlées (CUI), qui comprennent toutes les données qui pourraient potentiellement nuire à la sécurité nationale si elles sont compromises ou autrement accessibles par des utilisateurs non autorisés. Bien que le NIST SP 800-171 ne soit pas obligatoire pour toutes les entreprises, de nombreuses industries commencent à adopter ces normes comme meilleures pratiques pour la sécurité des données.

Exigences de protection du NIST SP 800-171

Le NIST SP 800-171, “Protéger les informations non classifiées contrôlées dans les systèmes et organisations non fédéraux”, est un ensemble de lignes directrices établies par le National Institute of Standards and Technology (NIST) pour assurer la sécurité et la confidentialité des informations non classifiées contrôlées (CUI) partagées par les agences fédérales avec des entités non fédérales. Cela inclut les institutions académiques, les gouvernements locaux et étatiques, et les organisations du secteur privé qui manipulent des CUI pour le compte du gouvernement fédéral.

Le document décrit 14 familles d’exigences de sécurité, y compris le contrôle d’accès, la sensibilisation et la formation, la réponse aux incidents et l’évaluation des risques, entre autres. Ces exigences protègent la confidentialité, l’intégrité et la disponibilité des CUI tout en minimisant le risque d’accès et de divulgation non autorisés.

Les organisations qui manipulent des CUI sont censées mettre en œuvre les mesures de sécurité décrites dans le NIST SP 800-171 pour démontrer leur conformité aux exigences fédérales. En adhérant à ces lignes directrices, les entités non fédérales peuvent assurer une protection cohérente des informations sensibles, ce qui est essentiel pour maintenir la confiance entre le gouvernement fédéral et ses partenaires.

Qu’est-ce que l’information non classifiée contrôlée (CUI) ?

L’information non classifiée contrôlée (CUI) est une information non classifiée qui nécessite une protection ou des contrôles de diffusion conformément à la loi, au décret présidentiel ou à la directive. Le CUI comprend les informations que le gouvernement crée ou possède et partage avec des contractants, des bénéficiaires de subventions et d’autres en dehors du gouvernement. Le but du CUI est de protéger les informations contre la divulgation non autorisée tout en assurant leur disponibilité à ceux qui en ont un besoin légitime.

Quels sont les objectifs du NIST SP 800-171 ?

Les objectifs du NIST SP 800-171 sont de faciliter la mise en œuvre de programmes de sécurité de l’information au sein des agences fédérales en leur fournissant un langage et des exigences standard à utiliser. Pour aider les organisations à mieux gérer les risques, le NIST SP 800-171 est conçu pour sensibiliser à ces risques et concentrer leur attention sur les priorités. Ces normes visent à aider les organisations à protéger leurs données, en particulier les informations sensibles. Le NIST SP 800-171 contient des directives sur la gestion appropriée du contrôle d’accès, des privilèges administratifs, de la sécurité physique, et plus encore. En suivant les recommandations de cette norme, les organisations peuvent grandement réduire leur risque de violation de données ou de vol.

À qui s’applique le NIST SP 800-171 ?

Le NIST SP 800-171 s’applique à toutes les agences fédérales, les contractants et autres organisations qui travaillent avec le gouvernement fédéral. Si votre organisation manipule des CUI, vous devez vous conformer au NIST SP 800-171.

Les entités couvertes, à savoir les organisations comme les contractants et les sous-traitants qui font affaire avec le gouvernement fédéral, doivent développer, documenter et mettre en œuvre un programme de sécurité pour répondre aux exigences de sécurité décrites dans le NIST SP 800-171. Toutes les entités couvertes devraient envisager de faire appel à un consultant tiers qualifié pour aider à développer et à mettre en œuvre un programme de sécurité conforme à cette norme.

Qui est responsable de la mise en œuvre du NIST SP 800-171 ?

Pour les entités couvertes par le NIST SP 800-171, le responsable de la sécurité des systèmes d’information (CISO) de chaque agence est responsable de la mise en œuvre du NIST SP 800-171. Le CISO est responsable de la supervision pour s’assurer que les exigences sont efficacement mises en œuvre et gérées au sein de l’agence.

Quelles sont certaines des exigences de base pour la conformité avec le NIST SP 800-171 ?

Le NIST SP 800-171 comprend 14 exigences de base qui fournissent des lignes directrices pour la protection des CUI stockées et traitées dans des systèmes et organisations non fédéraux. Ces exigences ont une structure bien définie composée d’exigences de sécurité de base et dérivées. Les exigences de sécurité de base sont adoptées de la Publication FIPS 200. En revanche, les exigences de sécurité dérivées sont adoptées du NIST SP 800-53 et complètent les exigences de sécurité de base. Les familles de contrôle comprennent :

1. Contrôle d’accès

Cette famille de contrôles est la plus importante dans le cadre du NIST SP 800-171 et comprend 22 contrôles. Le Contrôle d’accès nécessite de surveiller tous les événements d’accès dans l’environnement informatique et de limiter l’accès aux systèmes et aux données. Le NIST SP 800-171 recommande :

  • Mettre en œuvre le principe du moindre privilège
  • Contrôler le flux des informations non classifiées au sein de l’organisation et les chiffrer sur les appareils mobiles
  • Surveiller et contrôler l’accès à distance
  • Contrôler et restreindre l’utilisation des appareils mobiles
  • Séparer les fonctions des individus pour aider à prévenir les activités irrégulières
  • Autoriser et protéger l’accès sans fil par l’utilisation du chiffrement et de l’authentification

2. Sensibilisation et Formation

Cette famille de contrôles exige que les entreprises s’assurent que les gestionnaires, les administrateurs système et les autres utilisateurs connaissent les risques de sécurité associés à leurs activités. Ils doivent être familiarisés avec les politiques de sécurité de l’organisation et les pratiques de base en cybersécurité pour reconnaître et répondre aux menaces internes et externes.

3. Audit et Responsabilité

Cette famille est composée de neuf contrôles. Elle exige des organisations qu’elles conservent des enregistrements d’audit à utiliser dans les enquêtes de sécurité et pour tenir les utilisateurs responsables de leurs actions. Les organisations doivent collecter et analyser les journaux d’audit pour détecter toute activité non autorisée et y répondre rapidement. Plusieurs étapes peuvent aider à mettre en œuvre ces contrôles :

  • Revoir et mettre à jour les événements audités
  • Générer des reportings sur les défaillances dans le processus d’audit
  • Protéger les systèmes d’audit contre l’accès non autorisé
  • Générer des rapports qui soutiennent l’analyse à la demande et fournissent des preuves de conformité

4. Gestion de la Configuration

Dans cette famille de contrôles, les entreprises doivent établir et maintenir des configurations de base, ce qui implique de contrôler et de surveiller les logiciels installés par les utilisateurs et tout changement apporté aux systèmes de l’organisation. Les organisations devront se concentrer sur :

  • Documenter tous les événements où l’accès a été restreint en raison de modifications des systèmes informatiques
  • Appliquer le principe de la moindre fonctionnalité en configurant les systèmes pour fournir uniquement les capacités essentielles
  • Restreindre, désactiver ou empêcher l’utilisation de programmes, fonctions, protocoles et services non essentiels
  • Mettre sur liste noire les logiciels non autorisés

5. Identification et Authentification

Cette famille de contrôles garantit que seuls les utilisateurs authentifiés peuvent accéder au réseau ou aux systèmes de l’organisation. Elle comprend 11 exigences couvrant les procédures et politiques de mot de passe et d’authentification, ainsi que l’identification fiable des utilisateurs. Les exigences pour assurer la distinction entre les comptes privilégiés et non privilégiés se reflètent dans l’accès au réseau.

6. Réponse aux Incidents

Ici, les organisations doivent disposer d’une stratégie de réponse aux incidents qui permet une réponse rapide à tout incident pouvant entraîner une violation de données. Une organisation peut mettre en place des capacités pour détecter, analyser et répondre aux incidents de sécurité et rapporter ces incidents aux responsables appropriés—et tester régulièrement son plan de réponse aux incidents.

7. Maintenance

Une maintenance inappropriée des systèmes peut entraîner la divulgation d’informations non classifiées, constituant ainsi une menace pour la confidentialité des informations. Les entreprises sont tenues d’effectuer une maintenance régulière en suivant des règles telles que :

  • Surveiller de près les individus et les équipes qui effectuent des activités de maintenance
  • S’assurer que l’équipement retiré pour maintenance hors site ne contient pas de données sensibles
  • S’assurer que les supports contenant des programmes de diagnostic et de test sont exempts de code malveillant

8. Protection des Supports

La famille de contrôles Protection des Supports vous oblige à assurer la sécurité des supports système contenant des informations non classifiées, y compris les supports papier et numériques.

9. Sécurité Physique

La Sécurité Physique comprend la protection du matériel, des logiciels, des réseaux et des données contre les dommages ou les pertes dus à des événements physiques. Le NIST SP 800-171 exige des organisations qu’elles effectuent plusieurs activités pour atténuer le risque de dommages physiques, telles que :

  • Limiter l’accès physique aux systèmes et équipements aux utilisateurs autorisés
  • Maintenir des journaux d’audit de l’accès physique
  • Contrôler les dispositifs d’accès physique

10. Protection Personnelle

Il s’agit d’une petite famille de contrôles qui exige des entreprises qu’elles surveillent les activités des utilisateurs et garantissent que tous les systèmes contenant des informations non classifiées sont protégés pendant et après les actions du personnel, telles que les licenciements et les transferts d’employés.

11. Évaluation des Risques

Il y a deux exigences qui couvrent la réalisation et l’analyse régulières des évaluations des risques. Les organisations sont tenues de scanner régulièrement les systèmes pour vérifier les vulnérabilités, en gardant les dispositifs réseau et les logiciels à jour et sécurisés. Mettre régulièrement en évidence et renforcer les vulnérabilités améliore la sécurité de l’ensemble du système.

12. Évaluation de la Sécurité

Une organisation doit surveiller et évaluer ses contrôles de sécurité pour déterminer s’ils sont suffisamment efficaces pour aider à maintenir les données en sécurité. Les organisations doivent avoir un plan décrivant les limites du système, les relations entre différents systèmes et les procédures pour mettre en œuvre les exigences de sécurité et mettre à jour ce plan périodiquement.

13. Protection des Systèmes et des Communications

Il s’agit d’une famille assez importante comprenant 16 contrôles pour surveiller, contrôler et protéger les informations transmises ou reçues par les systèmes informatiques. Elle implique plusieurs activités telles que :

  • Prévenir le transfert non autorisé d’informations
  • Construire des sous-réseaux pour les composants de système accessibles au public qui sont séparés des réseaux internes
  • Mettre en œuvre des mécanismes cryptographiques pour empêcher toute divulgation non autorisée d’informations non classifiées
  • Refuser par défaut le trafic de communications réseau

14. Système et Information

Ce groupe de contrôles exige des entreprises qu’elles identifient et corrigent rapidement les failles des systèmes et protègent les actifs critiques contre les codes malveillants. Cela comprend des tâches telles que :

  • Surveiller et agir rapidement sur les alertes de sécurité indiquant une utilisation non autorisée des systèmes informatiques
  • Effectuer des scans périodiques des systèmes informatiques et scanner les fichiers provenant de sources externes lorsqu’ils sont téléchargés ou utilisés
  • Mettre à jour les mécanismes de protection contre les codes malveillants dès que les nouvelles versions sont disponibles

Où les entreprises peuvent-elles obtenir de l’aide pour comprendre et se conformer à cette norme ?

Il existe de nombreuses normes auxquelles les entreprises doivent se conformer, et la norme SP 800-171 du National Institute of Standards and Technology (NIST) n’en est qu’une parmi d’autres. Il peut être difficile de suivre toutes les différentes exigences de conformité, mais heureusement, des ressources sont disponibles pour aider les entreprises à comprendre et à se conformer à cette norme. Le site web du National Institute of Standards and Technology fournit des informations sur la norme 800-171 et comment les entreprises peuvent répondre à ses exigences. De plus, de nombreuses entreprises privées proposent des services de conseil en conformité pour aider les entreprises à s’assurer qu’elles respectent toutes les normes applicables.

Quelles sont les étapes d’auto-évaluation pour la conformité selon le NIST SP 800-171 ?

Étape 1 :

Demandez conseil à votre agence fédérale ou d’État. Si votre organisation fournit des services à d’autres agences gouvernementales fédérales en plus du DoD, il y a de fortes chances que ces agences vous demandent de prouver votre conformité avec le NIST SP 800-171.

Étape 2 :

Définissez le CUI applicable à votre organisation. Identifiez où il est stocké, traité ou transmis dans le réseau de l’organisation.

Étape 3 :

Réalisez une analyse des écarts. Évaluez votre posture de sécurité pour déterminer où vous êtes déjà conforme et où un travail supplémentaire est nécessaire.

Étape 4 :

Priorisez les exigences du NIST SP 800-171. Utilisez cela pour planifier les actions nécessaires.

Étape 5 :

Mettez en œuvre les changements selon les résultats de l’analyse des écarts et la priorisation.

Étape 6 :

Assurez-vous que les sous-traitants sont conformes. Vous avez peut-être atteint la conformité avec le NIST SP 800-171, mais vos sous-traitants ne le sont pas nécessairement. Vous devez vous assurer qu’ils connaissent toutes les exigences et ont mis en place les contrôles nécessaires.

Étape 7 :

Désignez une personne qui sera responsable de la conformité. Cette personne sera chargée de préparer la documentation et les preuves de la manière dont votre organisation protège le CUI. Elle sera également responsable de l’implication de votre équipe informatique et de la direction dans le processus de conformité. Vous pouvez également choisir d’engager un consultant qui fournit des services de conseil et d’évaluation pour vous aider à répondre à vos besoins en matière de NIST SP 800-171.

Kiteworks, FedRAMP et NIST SP 800-171

Kiteworks est une plateforme de partage sécurisé de fichiers qui facilite la conformité au NIST SP 800-171. C’est une solution autorisée FedRAMP Moderate et garantit que les données sont chiffrées en transit et au repos. Kiteworks répond à toutes les exigences de sécurité spécifiées dans le NIST SP 800-171 et répond également à d’autres réglementations, y compris ITAR, RGPD, SOC 2 (SSAE-16), FISMA, et FIPS 140-2.

Kiteworks fournit une couche de sécurité et de gouvernance sur les utilisateurs et les systèmes détenant et transférant des informations sensibles comme le CUI. Les organisations peuvent planifier une démo personnalisée de Kiteworks pour en savoir plus sur la manière de l’utiliser pour répondre aux exigences de conformité du NIST SP 800-171, ou contacter sales@kiteworks.com pour plus d’informations.

Retour au glossaire Risque & Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks