La responsabilité de sécuriser les informations fédérales américaines hautement sensibles — y compris les informations de sécurité nationale — ne relèvent pas uniquement de la responsabilité du gouvernement fédéral. Toute personne qui accède à ces données est responsable de leur protection.
Entrepreneurs, sous-traitants et autres tiers et fournisseurs qui travaillent avec des agences fédérales comme le Département de la Défense des États-Unis (DoD) Ces prestataires traitent généralement des données gouvernementales sensibles, appelées informations non classifiées contrôlées (CUI). Ils sont tenus de respecter la publication spéciale 800-171 du National Institute of Standards and Technology (NIST), ou le référentiel SP 800-171.
Qu'est-ce que la norme NIST SP 800-171 ?
Le National Institute of Standards and Technology (NIS), qui a publié de nombreuses normes en plus de la norme 800-171 depuis plus d'un siècle, est un organisme non réglementaire dépendant du Département du Commerce des États-Unis. Sa mission déclarée est de « promouvoir l'innovation et la compétitivité industrielle des États-Unis en faisant progresser la science, les normes et les technologies de mesure de manière à renforcer la sécurité économique et à améliorer notre qualité de vie ».
Le cadre 800-171 définit un ensemble de bonnes pratiques permettant aux entités non gouvernementales de sécuriser les données personnelles et de maintenir des programmes de cybersécurité efficaces. De nombreuses lois, réglementations et exigences de conformité, comme la Certification du modèle de maturité de la cybersécurité, ou CMMC — s’aligner étroitement sur le cadre NIST SP 800.
À qui s'applique la norme NIST SP 800-171 ?
La plupart des entrepreneurs et sous-traitants intervenant dans la chaîne d'approvisionnement fédérale comprennent qu'ils doivent se conformer aux normes du NIST ou rentrer chez eux. Le DoD collabore avec ces entreprises tierces dans de nombreux domaines essentiels, et ce travail nécessite le partage de données sensibles. Parmi les types courants de sous-traitants gouvernementaux figurent :
- Entrepreneurs de la défense
- organismes financiers
- organismes de santé
- Collèges et universités
- Instituts scientifiques et de recherche
- Fournisseurs de services Web, de communication et de technologie
Cette liste n'est en aucun cas exhaustive. La mise en œuvre de la norme NIST SP 800-171 est indispensable pour toute entreprise traitant des CUI. C'est la règle à respecter si vous souhaitez conclure un contrat avec les autorités fédérales.
Qu'est-ce que les CUI (informations contrôlées non classifiées) ?
Les CUI sont définies comme « les informations que le gouvernement crée ou possède ou qu'une entité crée ou possède pour ou au nom du gouvernement, qu'une loi, un règlement ou une politique gouvernementale exige ou autorise une agence à traiter en utilisant des contrôles de protection ou de diffusion ».
Plus directement, les CUI sont des données gouvernementales qui, bien que non classifiées, sont néanmoins sensibles et nécessitent donc des contrôles et des garanties de sécurité particuliers.
Il existe de nombreux types de CUI. La National Archives and Records Administration (NARA) a défini 20 catégories et 124 sous-catégories de CUI qui doivent être protégées. Ces catégories incluent les données relatives aux infrastructures critiques, à la défense, au contrôle des exportations, à la finance, aux affaires internationales, à l'application de la loi, aux brevets, aux transports, aux politiques et procédures juridiques et nucléaires, et bien d'autres encore.
Pourquoi le CUI a-t-il besoin d’être protégé ?
Même si le slogan omniprésent des thrillers d'espionnage « c'est classifié » a peut-être plus de poids dans la culture populaire que son homologue « non classifié », de nombreuses données non classifiées restent très sensibles. Violations La divulgation de données non classifiées peut perturber les programmes et procédures économiques et de sécurité nationale, entraînant des conséquences potentiellement désastreuses pour les opérations organisationnelles, les actifs financiers et les individus.
En outre, la perte ou la protection inadéquate des CUI peut avoir un impact direct sur la sécurité nationale — et les menaces de cybersécurité auxquelles sont confrontés le gouvernement fédéral et le DoD sont en constante augmentation, qu'elles soient dues à des fuites, à de l'espionnage ou à de la négligence.
Les entreprises qui ne se conforment pas à la norme NIST 800-171 pour protéger efficacement les CUI s'exposent aux conséquences de contrats rapidement annulés, de poursuites judiciaires, d'amendes et de dommages à leur réputation.
Quels sont les contrôles NIST 800-171 ?
Si vous êtes un prestataire travaillant pour le Département de la Défense des États-Unis (DoD), vous devrez peut-être vous conformer aux contrôles NIST 800-171. Ces contrôles constituent un ensemble de directives garantissant la protection des informations non classifiées contrôlées (CUI) dans les systèmes d'information et les organisations non fédérales. Ces directives décrivent les exigences de sécurité minimales à respecter pour garantir la confidentialité, l'intégrité et la disponibilité des CUI.
Les contrôles NIST 800-171 sont divisés en 14 familles, couvrant des sujets tels que le contrôle d'accès, la sensibilisation et la formation, la réponse aux incidents et la protection des systèmes et des communications. Le respect de ces contrôles exige qu'une organisation procède à des évaluations régulières des risques, élabore et mette en œuvre des plans de sécurité, et conserve une documentation attestant de sa conformité. En adhérant à ces contrôles, les sous-traitants peuvent mieux protéger les informations sensibles et conserver la confiance du DoD.
Normes et exigences NIST SP 800-171
1. Contrôle d'accès
22 exigences visant à protéger le flux d’informations sensibles au sein des réseaux et des systèmes — et à protéger l’accès à ces réseaux et systèmes.
2. Sensibilisation et formation
3 exigences pour garantir que les administrateurs système, les utilisateurs et les employés connaissent les risques de cybersécurité auxquels ils sont confrontés et sont formés aux procédures de sécurité.
3. Audit et responsabilité
9 exigences pour l’audit et l’analyse des journaux système et des événements — y compris l’enregistrement, le stockage et la révision des enregistrements.
4. Gestion de la configuration
9 exigences pour configurer le matériel et les logiciels sur les systèmes et les réseaux, empêcher l'installation de logiciels non autorisés et restreindre les programmes non essentiels.
5. Identification et authentification
11 exigences pour identifier les utilisateurs autorisés, surveiller les procédures et politiques de mot de passe et appliquer les distinctions entre les accès privilégiés et non privilégiés.
6. Réponse aux incidents
3 exigences pour garantir que des capacités sont en place pour détecter, contenir et récupérer des données pour une variété d'incidents de cybersécurité, et tester ces capacités.
7. Entretien
6 exigences pour déterminer les meilleures pratiques en matière de procédures de maintenance du réseau — et s’assurer qu’elles sont effectuées régulièrement et par des parties autorisées.
8. Protection des médias
9 exigences pour établir les meilleures pratiques de gestion ou de suppression des données et supports sensibles, tant physiques que numériques.
9. Sécurité du personnel
Deux exigences visent à protéger les données personnelles identifiables (CUI) associées au personnel et aux employés : premièrement, contrôler les individus avant qu'ils n'accèdent aux données sensibles et, deuxièmement, mettre fin ou transférer l'autorisation.
10. Protection physique
6 exigences pour contrôler l'accès physique aux CUI, y compris l'accès des visiteurs aux chantiers, au matériel, aux appareils et aux équipements.
11. Évaluation des risques
2 exigences pour les organisations qui doivent analyser régulièrement leurs systèmes à la recherche de vulnérabilités, maintenir les périphériques réseau et les logiciels à jour et sécurisés, et effectuer régulièrement des évaluations des risques.
12. Évaluation de la sécurité
4 exigences visant à garantir que les plans de protection des CUI restent efficaces en élaborant, en surveillant, en renouvelant et en révisant les contrôles du système et les plans et procédures de sécurité.
13. Protection du système et des communications
16 exigences visant à surveiller les systèmes qui transmettent des informations, à restreindre le transfert non autorisé d’informations et à mettre en œuvre les meilleures pratiques en matière de politiques de cryptage.
14. Intégrité du système et de l'information
7 exigences visant à surveiller la protection continue des systèmes au sein de l'organisation, y compris les processus d'identification des utilisations non autorisées et l'exécution des alertes de sécurité du système.
Liste de contrôle de conformité NIST 800-171
Pour vous conformer à la norme NIST 800-171, vous devez passer un audit réalisé par une entité certifiée ou un partenaire en cybersécurité. Avant l'audit, vous devez suivre quelques étapes préliminaires, simples et rapides. Pour vous préparer au mieux à un audit NIST, suivez cette liste de contrôle pratique :
1. Identifiez la portée de vos efforts de conformité : La première étape consiste à déterminer l'étendue de vos efforts de conformité. Cela implique d'examiner la norme NIST 800-171 et d'identifier les contrôles et exigences applicables à votre organisation. Vous devrez peut-être suivre une formation complémentaire, mettre en place des contrôles d'accès physique plus stricts et établir un processus de protection des supports.
Vous devez également ajuster les limites de votre système afin de vous assurer que seuls les éléments nécessaires de votre organisation sont inclus dans le périmètre de conformité. En identifiant le périmètre de vos efforts de conformité, vous pouvez mieux concentrer vos ressources et garantir le respect de toutes les exigences nécessaires.
2. Rassemblez la documentation nécessaire : Pour réussir un audit de conformité NIST 800-171, vous devez disposer de documents attestant du respect de tous les contrôles et exigences. Vous devrez rassembler des documents sur plusieurs aspects avant l'audit, notamment l'architecture système et réseau, les limites du système, le flux de données, le personnel, les processus et procédures, et les changements anticipés.
En rassemblant cette documentation, vous pouvez démontrer que vous avez une compréhension globale des activités de votre organisation. posture de sécurité et prennent les mesures appropriées pour protéger les informations contrôlées non classifiées (CUI).
3. Effectuer une analyse des écarts et un examen : Il est important de comprendre les écarts entre votre situation actuelle et la conformité totale à la norme NIST 800-171. Concentrez-vous sur les principales exigences de contrôle d'accès et progressez progressivement. Documentez tout défaut de conception ou toute lacune en matière de contrôle afin d'apporter les modifications nécessaires.
Un partenaire NIST expérimenté peut vous aider à réaliser l'analyse des lacunes et l'analyse système les plus complètes possible. Grâce à cette analyse et à cette analyse, vous pouvez identifier les points à améliorer en matière de sécurité et prendre les mesures appropriées pour remédier aux éventuelles lacunes.
4. Élaborer un plan de sécurité et un plan de remédiation : Une fois votre analyse des écarts terminée, vous pouvez commencer à planifier sur plusieurs fronts. Tout d'abord, vous devrez élaborer et documenter un plan de sécurité global conforme aux normes NIST. Ce plan doit décrire les objectifs et les procédures de sécurité de votre organisation.
Vous devriez également créer un plan de remédiation En cas de compromission de l'interface utilisateur, il est conseillé de respecter les exigences du NIST pour éviter toute sanction. Enfin, un plan d'action et des jalons (POAandM) est essentiel pour garantir le bon déroulement du projet. En élaborant un plan de sécurité et un plan de remédiation, vous vous assurez que votre organisation est bien préparée à réagir à tout incident de sécurité et peut minimiser l'impact de toute violation.
5. Collectez des preuves de piste d’audit : À mesure que vous apportez des modifications à la conformité, vous devrez produire des preuves d'audit démontrant vos actions et garantir la responsabilité. Cela implique d'identifier les exigences d'audit que vous respecterez, conformément aux 14 critères NIST 800-171 énumérés ci-dessus.
Les preuves de la piste d'audit peuvent inclure les journaux système, les rapports d'incidents de sécurité et d'autres documents démontrant que vous respectez les exigences requises. En collectant des preuves de la piste d'audit, vous pouvez démontrer aux auditeurs que vous prenez les mesures appropriées pour protéger les CUI et garantir votre conformité à la norme NIST 800-171.
Conformité à la norme NIST SP 800-171 en 2023
De nombreux sous-traitants du DoD doivent non seulement se conformer aux normes NIST, mais également adhérer au CMMC. Selon les mises à jour et améliorations du CMMC 2.0 annoncées en novembre 2021, les exigences de certification varient selon la sensibilité des CUI traitées par l'entreprise.
Pour commencer, les organisations doivent évaluer leurs programmes de sécurité en termes de contrôles d'accès, de gestion des risques, de plan de réponse aux incidents, etc. 110 contrôles peuvent sembler beaucoup, mais Les capacités de sécurité automatisées et basées sur le ML de BigID les organisations sont couvertes en matière de conformité aux normes NIST SP 800-171 et CMMC 2.0.
Regardez BigID pour : profond et large classification des données fonctionnalités qui incluent le PNL, la classification floue et technologie graphique; notation automatisée des risques qui mesure les risques en fonction de divers types de données ; intelligence d'accès aux fichiers qui identifie les données surexposées et les utilisateurs surprivilégiés ; une application de données de violation qui simplifie la réponse aux incidents après une violation ; et bien plus encore.
Avec le plus profond fondation de découverte de données Là-bas, BigID peut aider n'importe quelle entreprise à trouver et à protéger toutes ses CUI réglementées à haut risque ; à réduire de manière proactive les risques sur ses données les plus sensibles ; corriger, conserver ou supprimer les informations gouvernementales sensibles; et finalement mettre à niveau leurs programmes de sécurité Conformité NIST normes.
Organisez une démonstration rapide pour en savoir plus sur la façon de sécuriser les CUI avec BigID — et décrocher davantage de gros contrats gouvernementaux.
Auteur
