Définition et objectif

Le NIST 800-115 offre aux organisations une vue d'ensemble complète et des directives sur la manière de réaliser des tests et évaluations de sécurité. Le document est conçu pour fournir aux organisations une approche structurée afin d'identifier les vulnérabilités et faiblesses de leurs systèmes d'information, de valider l'efficacité des mesures de sécurité et de garantir la conformité aux politiques et réglementations de sécurité.

Organisme de réglementation

L'Institut National des Normes et de la Technologie (NIST) est l'organisme de réglementation responsable de la série 800 de publications, y compris le NIST 800-115.

Dernière mise à jour

La dernière mise à jour a été publiée en avril 2021.

S'applique à

Le NIST 800-115 s'applique de manière générale à toute organisation ou entité souhaitant réaliser des tests et évaluations de sécurité de ses systèmes d'information. Cela inclut les agences gouvernementales, les entreprises du secteur privé et les organisations à but non lucratif. Les lignes directrices concernent particulièrement les entités relevant des réglementations fédérales américaines, mais les pratiques sont largement reconnues et peuvent être appliquées dans divers contextes en dehors du seul gouvernement fédéral américain.

Contrôles et exigences

Le NIST 800-115 est un guide, il ne présente donc pas un ensemble strict de contrôles ou d'exigences de la même manière qu'une norme de conformité. Il propose plutôt des méthodologies, techniques et procédures. Les domaines clés incluent :

• Planification des évaluations de sécurité
• Exécution des évaluations de sécurité
• Activités post-tests
• Analyse des vulnérabilités
• Techniques de tests de sécurité (y compris les revues et analyses, évaluations et évaluations)
• Tests de pénétration

Chaque section fournit des étapes détaillées, des recommandations et des considérations pour réaliser efficacement chaque type d'évaluation de sécurité.

Veuillez vous référer à la publication officielle NIST SP 800-115 pour plus de détails.

Type, fréquence et durée des audits

Étant donné que le NIST 800-115 est un guide pour mener des évaluations de sécurité et non une norme de conformité, il ne dicte pas de types, fréquences ou durées d'audit spécifiques.

Au lieu de cela, les organisations utiliseraient ce guide pour informer et structurer leurs propres activités d'évaluation et de test. La fréquence et la durée de ces activités dépendraient des politiques internes de l'organisation, de la nature du système d'information et de toute exigence réglementaire applicable.