Le Center for Internet Security a constaté que tous les types d'attaques contre les agences gouvernementales ont augmenté en fréquence l'année dernière. Aux États-Unis, cela a été une source de préoccupation pendant des décennies, car la fréquence, la complexité et les implications économiques de ces attaques ont continuellement augmenté.

En réponse, le gouvernement américain s'est engagé à publier et à mettre à jour des normes et des cadres de sécurité de l'information pour réduire les risques et améliorer la sécurité des données. NIST 800-171 est l'un de ces cadres spécifiquement conçu pour protéger les données gouvernementales sensibles qui sont critiques pour la sécurité nationale et économique des États-Unis, y compris la propriété intellectuelle.

Dans ce guide, nous couvrirons les principes fondamentaux de la conformité au NIST 800-171, y compris ses dernières exigences et contrôles, comment s'y conformer et comment il se rapporte à d'autres cadres fédéraux.

Qu'est-ce que le NIST 800-171 ?

Le NIST 800-171 est une publication spéciale qui fournit des recommandations pour protéger la confidentialité des informations non classifiées contrôlées (CUI) dans les systèmes et organisations non fédéraux. L'objectif principal du NIST 800-171 est de garantir que les données sensibles relatives à la sécurité nationale des États-Unis restent sécurisées lorsqu'elles sont manipulées par des entrepreneurs et des sous-traitants.

Exemples de CUI, ou autres dénominations, incluent :

• Informations personnellement identifiables (PII)
• Informations commerciales propriétaires (PBI)
• Informations commerciales confidentielles (CBI)
• Informations techniques non classifiées contrôlées (UCTI)
• Informations sensibles mais non classifiées (SBU)

NIST 800-171 Rév. 3

Publié en mai 2024, NIST 800-171 Rév. 3 est la dernière version majeure du cadre. Cette révision a été conçue pour aider les entreprises contractant avec le gouvernement fédéral à mieux comprendre comment mettre en œuvre les sauvegardes spécifiques fournies dans le NIST 800-53 et à maintenir des défenses cohérentes contre les menaces nouvelles et évolutives de haut niveau pour les CUI.

Voici quelques-uns des changements les plus significatifs de la Révision 3 :

• Les exigences et familles de sécurité ont été mises à jour pour refléter la dernière version du NIST SP 800-53, Révision 5 et la base de contrôle modérée NIST SP 800-53B en particulier. À savoir, trois familles d'exigences de sécurité, composées de neuf nouveaux contrôles au total, ont été ajoutées. Il s'agit de la planification (PL), de l'acquisition de systèmes et de services (SA) et de la gestion des risques de la chaîne d'approvisionnement (SR), qui font tous déjà partie du NIST 800-53.
• En outre, pour mieux refléter le NIST SP 800-53 Rév. 5, les contrôles précédemment désignés Organisation non fédérale (NFO) ont été soit incorporés dans le corps principal des exigences du 800-171 comme directement liés, soit exclus en tant que Non directement lié à la protection de la confidentialité des CUI (NCO).
• Malgré ces ajouts, le nombre total de contrôles est passé de 110 dans la Rév. 2 à 97 dans la Rév. 3, car de nombreux contrôles de la Rév. 2 ont été retirés et/ou intégrés à d'autres contrôles.
• Les déclarations de détermination dans 800-171A sont passées de 320 à 422.
• Des changements significatifs ont été apportés à près de 50 exigences de sécurité pour éliminer les ambiguïtés, améliorer l'efficacité de la mise en œuvre et clarifier la portée des évaluations.
• Des paramètres définis par l'organisation (ODP) dans des exigences de sécurité sélectionnées ont été introduits pour accroître la flexibilité et aider les organisations à mieux gérer. Ce sont des paramètres similaires à ceux que l'on retrouve dans le NIST 800-53 et FedRAMP.
• Les Autres Contrôles Associés (ORC) ont été introduits comme une nouvelle catégorie d'adaptation pour traiter la redondance dans les exigences.
• Les niveaux de base/dérivés vus dans la révision 2 ont été supprimés.

Les informations ci-dessous reflètent cette dernière version du NIST 800-171.

À qui s'applique le NIST 800-171 ?

Le NIST 800-171 s'applique à toute entité non fédérale qui traite, stocke ou transmet des CUI ou fournit une protection pour de tels composants au nom d'une agence fédérale. Cela inclut les entrepreneurs, sous-traitants, fournisseurs, prestataires de services et autres organisations qui stockent ou partagent ce type d'information sensible pour le compte d'une agence fédérale.

Alors que la conformité au NIST 800-171 est généralement une exigence dans les contrats avec toute agence fédérale, elle est toujours requise dans les contrats avec le Département de la Défense (DoD). Les entrepreneurs de la défense sont tenus par la clause DFARS 252.204-7012 de mettre en œuvre les exigences du NIST 800-171 pour démontrer leur fourniture d'une sécurité adéquate visant à protéger les informations de défense couvertes incluses dans leurs contrats de défense.

De plus, les fabricants qui font partie de la chaîne d'approvisionnement du DoD, de l'Administration des Services Généraux (GSA), de la NASA ou d'autres agences fédérales ou étatiques doivent mettre en œuvre les exigences de sécurité incluses dans le NIST SP 800-171.

Exigences NIST 800-171

Le NIST 800-171 détaille 17 familles d'exigences de sécurité recommandées. Celles-ci représentent un sous-ensemble des contrôles NIST 800-53 nécessaires pour protéger la confidentialité des CUI dans les systèmes et organisations non fédéraux. Ces familles sont :

• Contrôle d'accès (AC)
• Sensibilisation et formation (AT)
• Audit et responsabilité (AU)
• Évaluation et surveillance de la sécurité (CA)
• Gestion de la configuration (CM)
• Identification et authentification (IA)
• Réponse aux incidents (IR)
• Maintenance (MA)
• Protection des médias (MP)
• Protection physique (PE)
• Planification (PL)
• Sécurité du personnel (PS)
• Évaluation des risques (RA)
• Acquisition de systèmes et de services (SA)
• Protection des systèmes et des communications (SC)
• Intégrité des systèmes et des informations (SI)
• Gestion des risques de la chaîne d'approvisionnement (SR)

Chaque famille se compose de plusieurs exigences spécifiques que les organisations doivent mettre en œuvre pour garantir la sécurité des CUI.

Veuillez noter que les 17 familles se trouvent dans le NIST 800-53, mais que toutes les familles de contrôles du NIST 800-53 ne font pas partie du NIST 800-171. Les familles suivantes du SP 800-53 ne sont pas incluses dans le SP 800-171 car elles ne sont pas directement liées à la protection du CUI, sont adéquatement abordées par d'autres contrôles connexes, ou ne sont autrement pas applicables : Traitement et transparence des IIP (PT), Gestion des programmes (PM) et Planification de la contingence (CP).

Comment se conformer au NIST 800-171

La conformité au NIST 800-171 est conçue pour protéger le CUI contre la divulgation non autorisée dans les systèmes et organisations non fédéraux. En tant que tel, il est obligatoire pour les entrepreneurs, vendeurs et prestataires fédéraux qui stockent ou partagent des CUI pour le DoD.

Le non-respect peut entraîner la résiliation du contrat, la suspension ou l'exclusion du statut de contractant, et des amendes.

Pour vous aider à éviter ces conséquences, suivez les conseils ci-dessous pour vous conformer au NIST 800-171,

1. Évaluez votre posture de sécurité actuelle par rapport aux exigences du NIST 800-171.

La première étape pour se conformer au NIST 800-171 est de réaliser une évaluation approfondie des mesures de sécurité actuelles de votre organisation.

Pour commencer, déterminez où se trouve le CUI et comment il circule dans vos systèmes. Ensuite, évaluez vos contrôles de sécurité existants par rapport aux exigences recommandées décrites dans le NIST 800-171 pour identifier les lacunes. Enfin, évaluez les risques associés à chaque lacune identifiée afin de prioriser les efforts de correction.

2. Développez un Plan de sécurité du système (SSP) qui détaille comment chaque contrôle est mis en œuvre.

Un Plan de sécurité du système (SSP) est un document formel qui décrit les exigences de sécurité du NIST 800-171 pour votre système d'information et les contrôles de sécurité en place ou prévus pour répondre à ces exigences. En d'autres termes, un SSP définit l'approche de votre organisation pour mettre en œuvre et gérer les exigences du NIST 800-171.

Toutes les exigences de sécurité qui n'ont pas encore été mises en œuvre doivent être documentées séparément.

3. Créez un Plan d'action et des jalons (POA&M) pour traiter les éventuelles déficiences.

Un POA&M est un document qui décrit quand et comment toute exigence de sécurité du NIST 800-171 non mise en œuvre et/ou vulnérable sera respectée. Il doit inclure les composants suivants :

• Description de la déficience/du risque : Décrivez clairement chaque exigence de sécurité qui n'a pas été mise en œuvre et les risques associés à la non-conformité à ce contrôle.
• Plan de correction : Décrivez les tâches spécifiques requises pour corriger chaque déficience.
• Jalons : Programmez des dates de réalisation pour chaque action corrective.
• Allocation des ressources : Identifiez les ressources (par exemple, personnel, budget, outils) nécessaires à la mise en œuvre des actions correctives.

4. Mettez en œuvre les contrôles et pratiques nécessaires pour répondre aux exigences et protéger le CUI.

Une fois que vous avez une compréhension claire des lacunes et un plan pour y remédier, l'étape suivante consiste à mettre en œuvre des contrôles pour répondre à toutes les exigences du NIST 800-171. Cela implique plusieurs activités, y compris :

• Développer ou mettre à jour les politiques organisationnelles pour les aligner sur les exigences du NIST 800-171.
• Implémentez des mesures de protection techniques telles que le cryptage, l'authentification multifactorielle et les contrôles d'accès sécurisés.
• Mettez en œuvre des contrôles d'accès physique pour sécuriser les zones où le CUI est traité ou stocké.
• Organisez des sessions de formation régulières pour garantir que tous les employés comprennent l'importance des contrôles de sécurité et leurs responsabilités spécifiques.
• Établissez des pratiques de surveillance continue pour garantir que les contrôles fonctionnent efficacement. Cela inclut des analyses système régulières, des examens des journaux et des évaluations de vulnérabilité.

Effectuez des évaluations et des mises à jour régulières pour maintenir la conformité.

Maintenir la conformité avec NIST 800-171 est un processus continu. Des évaluations régulières et des améliorations continues sont nécessaires pour s'adapter aux nouveaux risques et aux changements dans votre environnement organisationnel.

Maintenir la conformité NIST 800-171 nécessite les éléments suivants :

• Réaliser des évaluations périodiques : Effectuer des évaluations périodiques pour examiner l'efficacité des contrôles mis en œuvre et identifier les domaines à améliorer, en utilisant les procédures et la méthodologie d'évaluation décrites dans NIST SP 800-171A, Évaluation des exigences de sécurité pour l'information non classifiée contrôlée. Les évaluations peuvent être réalisées en tant qu'évaluations indépendantes, des réparties par des tiers ou en tant qu'évaluations parrainées par le gouvernement dirigées par des développeurs de systèmes, des intégrateurs de systèmes, des auditeurs, des propriétaires de systèmes ou le personnel de sécurité des organisations.
• Maintenir le SSP et le POA&M à jour : Mettez régulièrement à jour votre plan de sécurité du système et votre plan d'action et jalons pour refléter tout changement dans vos systèmes ou processus.
• Utiliser les données pour effectuer des améliorations continues : Utilisez les conclusions des évaluations pour mettre en œuvre les leçons apprises et adopter les meilleures pratiques afin d'améliorer continuellement votre posture de sécurité.
• Rester informé des changements NIST 800-171 : Restez au courant des mises à jour des directives NIST 800-171 et d'autres normes de cybersécurité pertinentes. Adaptez vos contrôles et pratiques au besoin pour rester conforme.

En suivant ces étapes, votre organisation peut atteindre et maintenir efficacement la conformité NIST 800-171, garantissant la sécurité et la confidentialité du CUI dans vos systèmes et votre organisation.

Pour obtenir plus de conseils sur les étapes à suivre et à suivre sur votre parcours vers la conformité NIST 800-171, utilisez la liste de contrôle ci-dessous.

Liste de contrôle de la conformité NIST 800-171

Atteindre la conformité avec NIST 800-171 implique une approche structurée qui englobe une gamme d'activités allant de l'évaluation initiale à la surveillance continue. Téléchargez cette liste de contrôle détaillée pour guider votre organisation tout au long du processus de conformité afin de protéger le CUI dans votre organisation.

NIST 800-171 contre 800-53

NIST 800-171 et NIST 800-53 sont tous deux des directives développées par le NIST, mais elles servent des objectifs différents. NIST 800-53 fournit un ensemble de contrôles plus large et plus complet conçu pour les systèmes d'information fédéraux. En revanche, NIST 800-171 est un dérivé de NIST 800-53 qui se concentre spécifiquement sur la protection des CUI dans les systèmes non fédéraux. Il est adapté pour être moins contraignant pour les entrepreneurs qui n'ont pas besoin de l'ensemble complet des contrôles de NIST 800-53.

CMMC vs NIST 800-171

Le Cybersecurity Maturity Model Certification (CMMC) est un cadre complet introduit par le DoD pour renforcer la cybersécurité des entrepreneurs au sein de la base industrielle de défense (DIB). Le CMMC est basé sur NIST 800-171 et les clauses de la série Defense Federal Acquisition Regulation Supplement (DFARS) 252.204.700. Le CMMC comprend également un composant de vérification, exigeant des évaluations tierces pour garantir la conformité. CMMC est généralement poursuivi par toutes les entreprises et les entrepreneurs qui travaillent ou veulent travailler dans le DIB.

La dernière version du CMMC, CMMC 2.0, est structurée en trois niveaux de maturité, chaque niveau se construisant sur le précédent. La version précédente de NIST 800-171, Révision 2, s'aligne étroitement avec le niveau 2 de CMMC et reste la norme de référence pour le moment pour les entrepreneurs du DIB.

Évaluation du DoD NIST SP 800-171

Le DoD a établi une méthodologie d'évaluation spécifique pour évaluer la mise en œuvre de NIST 800-171 pour les entrepreneurs avec des contrats contenant la clause DFARS 252.204-7012. Ces évaluations ont lieu une fois tous les trois ans.

L'évaluation du DoD NIST SP 800-171 se compose de trois niveaux d'évaluations, chacun aboutissant à un niveau de confiance différent.

1. Basique: L'entrepreneur réalise une auto-évaluation de la conformité NIST 800-171 basée sur une revue de son SSP. Cela aboutit à un niveau de confiance “Faible.”
2. Moyenne: Le personnel formé du DoD effectue une évaluation de la conformité NIST 800-171 d'un entrepreneur basée sur une revue de son SSP. Cela aboutit à un niveau de confiance “Moyenne.”
3. Élevé: À ce niveau, un entrepreneur effectue une évaluation de base et soumet les résultats au DoD. De plus, le personnel formé du DoD effectue une évaluation de la conformité de l'entrepreneur au NIST 800-171 basée sur un examen approfondi sur site ou virtuel du SSP de l'entrepreneur et de la mise en œuvre des exigences de sécurité du NIST SP 800-171. Cela donne un niveau de confiance « Élevé ».

Pour chaque évaluation, les entrepreneurs sont notés en fonction du nombre d'exigences NIST 800-171 qu'ils ont respectées. Le score récapitulatif pour les évaluations de base effectuées par l'entrepreneur et pour les évaluations moyennes et élevées menées par le DoD sont ensuite publiés dans le Supplier Performance Risk System (SPRS). Cela aide le DoD à entrer en partenariat stratégique avec des entrepreneurs et des sous-traitants qui ont prouvé qu'ils ont fourni une « sécurité adéquate » pour protéger les informations de défense couvertes.

Simplifiez la conformité NIST 800-171 avec Secureframe

Secureframe peut aider à automatiser le travail manuel nécessaire pour atteindre et maintenir la conformité NIST 800-171, en commençant par l'analyse des écarts. Une fois que vous intégrez les logiciels et outils pertinents que vous utilisez tous les jours, vous pouvez voir exactement ce que vous devez faire pour vous conformer aux exigences NIST 800-171 en fonction de vos configurations uniques et de votre infrastructure informatique. Au fur et à mesure que vous progressez dans le cadre et complétez les activités au sein de la plate-forme Secureframe, elle se mettra à jour en montrant votre pourcentage de progression vers la conformité NIST 800-171.

Pour aider à réduire encore le temps et les coûts associés à l'atteinte et au maintien de la conformité NIST 800-171, Secureframe offre :

• Expertise en conformité fédérale : Une équipe de support dédiée avec d'anciens auditeurs et consultants FISMA, FedRAMP, et CMMC qui peuvent vous guider à travers la préparation fédérale, les audits et les mises à jour de conformité
• Intégrations aux clouds fédéraux : Collecte automatique de preuves à partir de la pile technologique existante, y compris les variantes de cloud gouvernemental telles que AWS GovCloud
• Politiques, procédures et modèles préconstruits et personnalisés : Politiques, procédures et SSP préconstruits personnalisables pour répondre aux besoins et modèles supplémentaires tels que le matrix des ségrégation des tâches, des documents POA&M, des évaluations d'impact et des listes de contrôle de préparation
• Formation en plateforme : Formation des employés propriétaire qui répond aux exigences fédérales, y compris la formation sur les menaces internes et basée sur les rôles, et est revue et mise à jour annuellement par des experts en conformité
• Contrôles d'accès basés sur les rôles : Contrôles d'accès aux données en fonction des rôles et de la nécessité de savoir
• Contrôles et tests personnalisés : Support pour des mises en œuvre définies par l'organisation pour le NIST 800-53 et d'autres cadres
• Réseau de partenaires de confiance : Relations avec des organisations d'évaluation tierces certifiées (3PAO) et des C3PAO soutenant divers audits fédéraux
• Cartographie croisée entre les cadres : Cartographie automatisée des efforts de conformité à travers plusieurs cadres pour une efficacité optimale afin que vous ne recommenciez jamais à zéro
• Surveillance continue : Surveillance 24/7 pour vous alerter des non-conformités, et support pour l'enregistrement des risques et la numérisation des vulnérabilités pour une surveillance continue et la maintenance du POA&M

Pour en savoir plus sur la façon dont Secureframe peut vous aider à vous conformer au NIST 800-171, planifiez une démo.