Pour aider à protéger les informations sensibles et l'infrastructure critique, le gouvernement américain a créé plusieurs normes et cadres de sécurité de l'information pour réduire les risques et améliorer la sécurité des données. L'un de ces cadres cruciaux est le NIST 800-53.

Le NIST 800-53 sert de plan pour mettre en œuvre des contrôles de sécurité et de confidentialité afin d'assurer la confidentialité, l'intégrité et la disponibilité des informations et des systèmes fédéraux et la confidentialité des individus. Il offre une approche structurée de gestion des risques de cybersécurité afin de protéger l'infrastructure critique des États-Unis et les systèmes d'information qui soutiennent les opérations et les actifs essentiels dans les secteurs public et privé.

Dans cet article de blog, nous examinerons les subtilités de la conformité au NIST 800-53, en discutant de ses principes fondamentaux, de ses familles de contrôles, des exigences en matière de mot de passe, de la certification, du modèle d'évaluation des risques, et bien plus encore.

Qu'est-ce que le NIST 800-53 ?

Le National Institute of Standards and Technology (NIST) 800-53 est une norme et un cadre de conformité en matière de sécurité créés par le gouvernement américain pour aider les organisations à bien architecturer et gérer leurs systèmes de sécurité de l'information et à se conformer à la Federal Information Security Modernization Act (FISMA).

Comme il contient des bases de contrôles de sécurité et de confidentialité pour les systèmes et les organisations d'informations fédérales, le NIST 800-53 est obligatoire pour les agences fédérales. De plus, toute organisation qui travaille avec le gouvernement fédéral ou transporte des données fédérales peut être tenue de se conformer au NIST 800-53 ou au NIST CSF pour maintenir la relation. Cependant, le NIST 800-53 est conçu pour être applicable à une large base d'organisations des secteurs public et privé.

NIST 800-53 Rev 5

Publié en septembre 2020, le NIST 800-53 Rev. 5 est la dernière version majeure du cadre. Cette révision a été conçue pour fournir la « nouvelle génération » de contrôles de sécurité et de confidentialité qui 1) s'appliqueraient à tous les types de plateformes informatiques, y compris les systèmes basés sur le cloud, les appareils mobiles, les dispositifs de l'Internet des objets (IoT) et plus encore et 2) aideraient les systèmes d'information fédéraux à devenir plus résistants aux pénétrations et cyber-résilients, à limiter les dommages causés par les attaques lorsqu'elles surviennent, et à protéger la vie privée des individus.

Voici quelques-uns des changements les plus significatifs de la Révision 5 :

• Les contrôles ont été reformulés pour être davantage axés sur les résultats.
• Les contrôles de sécurité de l'information et de confidentialité ont été consolidés en un seul catalogue de contrôles.
• Une nouvelle famille de contrôles de gestion des risques de la chaîne d'approvisionnement a été établie.
• Les processus de sélection des contrôles ont été séparés des contrôles afin que différents groupes, y compris les ingénieurs des systèmes, les développeurs de logiciels, les propriétaires d'entreprises, et plus encore, puissent les utiliser.
• Les bases de contrôles et les directives de personnalisation ont été supprimées et transférées dans un document séparé, le NIST SP 800-53B, Bases de Contrôles pour les Systèmes d'Information et les Organisations.
• De nouveaux contrôles ont été ajoutés sur la base des dernières informations sur les menaces et des données sur les cyberattaques, y compris des contrôles pour soutenir la cyber-résilience.

Familles de contrôles NIST 800-53

NIST 800-53 compte plus de 1000 contrôles. Ceux-ci sont organisés en 20 familles, chacune traitant d'un aspect spécifique de la cybersécurité et de la confidentialité, afin de simplifier le processus de sélection et de spécification des contrôles de sécurité et de confidentialité.

Les 20 familles de contrôles NIST 800-53 sont listées ci-dessous, avec leur identifiant à deux caractères.

• Contrôle d'accès (AC)
• Sensibilisation et formation (AT)
• Audit et responsabilité (AU)
• Évaluation, autorisation et surveillance (CA)
• Gestion de la configuration (CM)
• Planification de la continuité (CP)
• Identification et authentification (IA)
• Réponse aux incidents (IR)
• Maintenance (MA)
• Protection des médias (MP)
• Protection physique et environnementale (PE)
• Planification (PL)
• Gestion de programme (PM)
• Sécurité du personnel (PS)
• Traitement et transparence des données à caractère personnel (PT)
• Évaluation des risques (RA)
• Acquisition de systèmes et services (SA)
• Protection des systèmes et des communications (SC)
• Intégrité des systèmes et des informations (SI)
• Gestion des risques de la chaîne d'approvisionnement (SR)

Veuillez noter que les familles sont classées par ordre alphabétique selon leurs identifiants, et non par ordre d'importance ou par ordre de mise en œuvre des contrôles au sein de chaque famille.

Contrôles NIST 800-53

Au sein de chaque famille de contrôles, le NIST 800-53 décrit des contrôles spécifiques conçus pour gérer les risques liés à la sécurité de l'information et à la confidentialité, ainsi que pour répondre aux exigences de sécurité et de confidentialité imposées à une organisation. Ces exigences incluent à la fois des exigences légales et politiques, ainsi que des besoins des parties prenantes issus de diverses sources, telles que des lois, des ordres exécutifs, des directives, des règlements, des politiques, des normes, des besoins de mission et d'affaires, ou des évaluations des risques.

Les contrôles sont les mesures de protection et de sauvegarde qu'une organisation met en place pour atteindre ses exigences uniques en matière de sécurité et de confidentialité de l'information. Ceux-ci incluent

• des mesures techniques telles que le cryptage et la segmentation du réseau ;
• des mesures administratives comme la formation à la sensibilisation à la sécurité et la planification de réponse aux incidents ; et
• des mesures physiques telles que des contrôles d'accès physique comme des zones contrôlées, des filtrages aux points d'entrée, des gardes et des serrures.

Il y a plus de 1 000 contrôles dans le cadre NIST 800-53. Les organisations sont confrontées au défi de sélectionner les contrôles les plus appropriés qui peuvent protéger leurs fonctions de mission et d'affaires et gérer les risques de sécurité et de confidentialité. Pour les aider dans leur processus de sélection, le NIST 800-53 définit des bases de référence, ou un ensemble généralisé de contrôles qu'une organisation peut utiliser comme point de départ puis adapter pour créer une solution plus ciblée. Examinons de plus près le concept de bases de référence ci-dessous.

Bases de référence des contrôles NIST 800-53

Au total, le NIST 800-53 fournit quatre bases de référence de contrôle, trois pour la sécurité et une pour la confidentialité.

Les trois bases de référence des contrôles de sécurité sont des ensembles de contrôles minimaux pour les systèmes d'information fédéraux en fonction de leur niveau d'impact : Faible, Modéré ou Élevé. Ce niveau d'impact est déterminé par :

• la criticité et la sensibilité des informations à traiter, stocker ou transmettre par ces systèmes, et
• l'impact négatif potentiel sur les opérations organisationnelles, les actifs organisationnels, les individus, les autres organisations ou la Nation en cas de perte de confidentialité, d'intégrité ou de disponibilité.

Toutes les organisations doivent mettre en œuvre des contrôles assignés à leur base de référence de contrôle de sécurité respective. Le nombre de contrôles dans chaque base de référence est proportionnel aux risques découlant de la perte de confidentialité, d'intégrité et de disponibilité. Les systèmes à faible impact présentant un risque limité, la base Low dispose du moins de contrôles et peut être considérée comme la moins stricte. Les systèmes à impact élevé présentant le risque le plus grave, la base High dispose du plus grand nombre de contrôles et peut être considérée comme la plus stricte. Cependant, tous les contrôles du NIST 800-53 traitant de la sécurité ne sont pas assignés à cette base de référence.

Il n'y a qu'une seule base de contrôle de la confidentialité dans le NIST 800-53. Celle-ci s'applique à tout système traitant des informations personnelles identifiables (PII), quel que soit le niveau d'impact. Cela signifie que si un système traite des PII, l'organisation doit mettre en œuvre les contrôles assignés à la base de contrôle de la confidentialité. Comme pour les bases de sécurité, tous les contrôles qui traitent des risques de confidentialité ne sont pas assignés à la base de contrôle de la confidentialité.

Pour comprendre comment les bases de contrôle affectent les contrôles qu'une organisation peut mettre en œuvre, jetons un coup d'œil à des exemples de familles de contrôles spécifiques.

Prenons la famille Contrôle d'accès (AC) comme exemple. Supposons qu'une organisation sélectionne la base de sécurité Low. Elle doit alors mettre en œuvre les contrôles suivants :

• AC-1 Politique et Procédures
• AC-2 Gestion des comptes
• AC-3 Application des accès
• AC-7 Tentatives de connexion infructueuses
• AC-8 Notification d'utilisation du système
• AC-14 Actions autorisées sans identification ni authentification
• AC-17 Accès à distance
• AC-18 Accès sans fil
• AC-19 Contrôle d'accès pour les appareils mobiles
• AC-20 Utilisation de systèmes externes
• AC-22 Contenu accessible au public

Si une organisation choisit la base de sécurité Modéré, elle doit mettre en œuvre les contrôles ci-dessus ainsi que AC-4 Application du flux d'informations, AC-5 Séparation des tâches, AC-6 Privilège minimum, AC-11 Verrouillage des appareils, AC-12 Terminaison des sessions et AC-21 Partage d'informations.

Si une organisation choisit la base de sécurité High, elle doit mettre en œuvre tous les contrôles ci-dessus ainsi que le contrôle AC-10 Contrôle des sessions concurrentes.

Prenons la famille Réponse aux incidents comme autre exemple. Supposons qu'une organisation sélectionne la base de sécurité Low. Elle doit alors mettre en œuvre les contrôles suivants :

• IR-1 Politique et Procédures
• IR-2 Formation à la réponse aux incidents
• IR-4 Gestion des incidents
• IR-5 Surveillance des incidents
• IR-6 Signalement des incidents
• IR-7 Assistance à la réponse aux incidents
• IR-8 Plan de réponse aux incidents

Si une organisation qui sélectionne la base de sécurité Low traite également des PII, elle doit alors mettre en œuvre le contrôle IR-3 Test de réponse aux incidents ainsi que les contrôles ci-dessus pour répondre à la fois aux bases de sécurité Low et de confidentialité.

Le non-respect de la mise en œuvre des contrôles conformément aux exigences du NIST 800-53 peut entraîner une perte de contrat fédéral, des problèmes signalés au Congrès et des amendes.

NIST 800-171 vs 800-53

Étant donné que le NIST 800-53 est considéré comme la référence en matière de sécurité des données fédérales, plusieurs dérivés ont été conçus pour différents objectifs et publics, notamment NIST 800-171, FedRAMP et CJIS.

NIST 800-171 est conçu pour les entrepreneurs, fournisseurs et prestataires fédéraux afin de les aider à gérer les informations non classifiées contrôlées (CUI) pour protéger les systèmes d'information fédéraux. NIST 800-53 est conçu pour les agences fédérales, les entrepreneurs et toute organisation transportant des données fédérales afin de les aider à développer des systèmes d'information fédéraux sécurisés et résilients.

Comment atteindre la conformité NIST 800-53

Les étapes ci-dessous peuvent vous guider tout au long du processus de conformité NIST 800-53. 

1. Définissez vos exigences en matière de sécurité de l'information et de confidentialité.

Pour informer le processus de sélection et de spécification des contrôles du NIST 800-53, vous devez d'abord comprendre et définir quelles sont les obligations de sécurité de l'information et de confidentialité imposées à votre organisation. 

Celles-ci peuvent inclure des exigences légales et politiques dans la FISMA, la loi de 1974 sur la confidentialité, les politiques de l'OMB et les normes fédérales de traitement des informations (FIPS) désignées, ainsi que les besoins des parties prenantes dérivés des lois, des ordres exécutifs, des directives, des règlements, des politiques, des normes, des besoins de mission et d'activité ou des évaluations de risques.

2. Déterminez votre base de contrôle de sécurité et si la base de contrôle de la confidentialité est applicable.

Ensuite, vous devez sélectionner une base de contrôle de sécurité en fonction du niveau d'impact du système. 

Pour évaluer le niveau d'impact de votre système d'information, vous devrez compiler un inventaire de

• Les types d'informations transmises, stockées ou traitées et les composants du système d'information associés catégorisés selon le niveau de risque de sécurité
• Tous les composants du système d'information avec les informations de suivi nécessaires
• Tous les composants du système d'information dans la limite d'autorisation représentées dans un diagramme d'architecture réseau
• Tous les flux de données entre les composants du système d'information représentés dans un diagramme de flux de données

Une fois cet inventaire compilé, vous pouvez catégoriser le système d'information en fonction du niveau d'impact potentiel sur la confidentialité, l'intégrité et la disponibilité des systèmes et des informations (en se référant au FIPS 199). De là, vous pouvez sélectionner la base de contrôle de sécurité associée.

Le tableau ci-dessous présente les relations entre les niveaux d'impact et les bases de contrôle. 

À ce stade, vous devez également déterminer si la base de contrôle de la confidentialité s'applique à votre organisation. En règle générale, cette base s'applique si votre organisation traite des informations personnellement identifiables (PII).

3. Adaptez votre base de contrôle de sécurité (et de confidentialité si applicable).

Comme mentionné ci-dessus, les bases de contrôle de sécurité et de confidentialité ne sont qu'un point de départ. Les organisations peuvent ajouter des contrôles afin de spécialiser ou personnaliser l'ensemble des contrôles de base en fonction de plusieurs facteurs, y compris leurs missions spécifiques et leurs fonctions commerciales, les environnements où leurs systèmes opèrent et les menaces et vulnérabilités qui peuvent affecter leurs systèmes.

Le processus d'adaptation implique plusieurs actions, telles que :

• identifier et désigner des contrôles communs, ou des contrôles dont la mise en œuvre aboutit à une capacité de protection qui peut être héritée par plusieurs systèmes ou programmes.
• compléter les lignes de base avec des contrôles de sécurité supplémentaires en fonction des risques identifiés
• sélectionner des contrôles de sécurité compensatoires, ou des contrôles qui offrent une protection équivalente ou comparable pour un système ou une organisation par rapport aux contrôles de base
• attribuer des valeurs spécifiques aux paramètres des contrôles de sécurité définis par l'organisation
• appliquer des considérations de mise en contexte, telles que la scalabilité ou l'infrastructure technologique, à l'applicabilité et à la mise en œuvre des contrôles de base
• fournir des informations de spécification supplémentaires pour la mise en œuvre des contrôles

4. Implémenter les contrôles sélectionnés ou élaborer un plan pour le faire.

Il est maintenant temps de commencer à implémenter votre ligne de base de contrôle sur mesure.

Pour commencer, documentez comment chaque contrôle sera mis en œuvre dans un plan de sécurité et de confidentialité du système selon la ligne de base de contrôle correspondante (en faisant référence au NIST 800-18).

Ce plan devrait inclure :

• Toutes les activités d'adaptation ci-dessus
• Les responsabilités en matière de développement, de mise en œuvre, d'évaluation et de surveillance des contrôles
• Les responsabilités et les règles de comportement de toutes les personnes ayant accès au système d'information
• La politique et les procédures de la famille de contrôles
• Toutes les informations spécifiques au système, telles que les informations traitées, les rôles pertinents, et/ou toute politique ou procédure spécifique/pertinente pour les contrôles
• Toutes les autres politiques ou procédures requises, telles qu'une politique de surveillance continue, un plan de contingence, un plan de maintenance, une politique ou un plan de gestion des risques de la chaîne d'approvisionnement

Le but de ce plan est de décrire suffisamment l'application prévue de chaque contrôle sélectionné dans le contexte du système afin que le contrôle puisse être correctement mis en œuvre et évalué par la suite pour s'assurer qu'il est efficace.

5. Réaliser des évaluations des risques.

Gérer les risques en matière de sécurité de l'information et de confidentialité nécessite une diligence raisonnable. Il est donc essentiel d'avoir un programme complet de gestion des risques pour se conformer au NIST 800-53. En établir un vous oblige à :

• Établir le modèle de risque, l'approche d'évaluation et l'approche d'analyse que vous utiliserez dans le cadre du processus d'évaluation des risques (en se référant au NIST 800-30)
• Mapper les contrôles implémentés aux risques identifiés
• Déterminer si des processus supplémentaires doivent être mis en œuvre pour respecter tous les contrôles de base
• Déterminer si des contrôles adaptés doivent être ajoutés pour répondre aux risques.

6. Évaluer l'efficacité de vos contrôles.

Il est maintenant temps de tester vos systèmes d'information par rapport à l'ensemble personnalisé des contrôles de sécurité de base pour évaluer leur efficacité. Vous pouvez le faire en interne ou engager un auditeur tiers si nécessaire.

Les évaluations des contrôles sont essentielles et aident à garantir que votre organisation

• Répond aux exigences en matière de sécurité de l'information et de confidentialité
• Identifie les faiblesses dans le processus de conception et de développement du système
• Dispose des informations essentielles nécessaires pour prendre des décisions basées sur les risques dans le cadre des processus d'autorisation
• Se conforme aux procédures d'atténuation des vulnérabilités

7. Établir un programme de surveillance continue.

La conformité au NIST 800-53 nécessite un engagement et une vigilance continus pour maintenir l'efficacité des contrôles de sécurité et s'adapter aux menaces et réglementations en évolution.

La surveillance continue est essentielle pour maintenir la conformité. Les programmes de surveillance continue les plus efficaces devraient inclure :

• Des métriques qui communiquent le mieux la posture de sécurité de vos informations, de vos systèmes d'information et de votre résilience organisationnelle et qui sont surveillées au fil du temps
• Un plan d'action et des jalons (POAM) pour suivre les risques ouverts et fermés, les vulnérabilités, les conclusions d'audit, et/ou tout autre problème
• Outils automatisés pour rendre le processus de surveillance continue plus rentable, cohérent et efficace (par exemple, la numérisation de conformité peut souvent aider à garantir que les configurations et les paramètres de sécurité sont systématiquement en place et fonctionnent efficacement)

Liste de contrôle NIST 800-53

Une liste de contrôle de conformité peut être un outil précieux pour les organisations afin d'évaluer leur adhésion aux exigences et contrôles d'un cadre spécifique. Utilisez cette liste de contrôle NIST 800-53 comme une approche structurée pour évaluer votre préparation à la conformité et votre posture globale de cybersécurité.

Téléchargez-la ici.

Comment Secureframe peut aider à rationaliser la conformité au NIST 800-53

Secureframe peut rationaliser le processus de conformité au NIST 800-53, aidant les organisations à gagner du temps, à réduire les coûts et à améliorer leur sécurité et leur posture de conformité.

Avec Secureframe, vous obtiendrez :

• Expertise en conformité fédérale : Une équipe de support dédiée composée d'anciens auditeurs et consultants FISMA, FedRAMP et CMMC qui peuvent vous guider à travers la préparation fédérale, les audits et les mises à jour de conformité
• Intégrations avec les clouds fédéraux : Collecte automatique de preuves à partir de l'infrastructure technique existante, y compris les variantes cloud gouvernementales comme AWS GovCloud.
• Politiques et modèles préconstruits et personnalisés : Politiques, procédures et SSPs modèles personnalisables pour répondre aux besoins, ainsi que des modèles supplémentaires incluant des matrices de séparation des responsabilités, des documents POA&M, des évaluations d'impact et des listes de contrôle de préparation
• Formation interne : Formation des employés propriétaire qui répond aux exigences fédérales et est révisée et mise à jour annuellement par des experts en conformité
• Contrôles d'accès basés sur les rôles : Contrôles d'accès aux données basés sur les rôles et le besoin de savoir
• Contrôles et tests personnalisés : Support pour les implémentations définies par l'organisation pour le NIST 800-53 et d'autres cadres
• Réseau de partenaires de confiance : Relations avec des organisations certifiées d'évaluation tierces (3PAO) et des 3PAO CMMC (C3PAO) soutenant divers audits fédéraux
• Cartographie croisée entre les cadres : Cartographie automatisée des efforts de conformité à travers plusieurs cadres pour une efficacité telle que vous ne partez jamais de zéro
• Surveillance continue : Surveillance 24/7 pour vous alerter des non-conformités, et support pour le registre des risques et le scan des vulnérabilités pour une surveillance continue et la maintenance de POA&M

Pour en savoir plus sur la façon dont Secureframe peut vous aider à vous conformer au NIST 800-53, planifiez une démonstration.