NIST 800-171 et la protection des Informations non classifiées contrôlées (CUI)
Si vous accédez ou créez des Informations non classifiées contrôlées (CUI) dans le cadre de vos relations d'affaires avec le gouvernement américain, vous devez respecter la norme de cybersécurité NIST 800-171. Et ceci, même si vous disposez de certifications de cybersécurité internationales telles que ISO 27001 ou SOC 2.
Dans le présent article, nous allons présenter la norme NIST 800-171.
Qu'est-ce que le NIST 800-171
Le NIST 800-171 est une norme de cybersécurité du gouvernement américain. Il est composé de 110 contrôles de sécurité qui fournissent des exigences pour protéger les informations sensibles non classifiées (communément appelées CUI - Controlled Unclassified Information). Ex de CUI : les architectures ou diagrammes nécessaires pour la fabrication d’un dispositif militaire, ou encore les résultats d’une Recherche initiée par le Gouvernement américain. Le NIST 800-171 définit les mesures de sécurité nécessaires pour protéger ces informations contre les menaces internes et externes.
Les domaines du NIST 800 - 171
Les 110 exigences de sécurité du NIST 800-171 sont organisées en 14 domaines. Ce sont:
- Contrôle d'accès
- Sensibilisation et formation
- Audit et responsabilité
- Gestion de la configuration
- Identification et authentification
- Réponse aux incidents
- La maintenance
- Protection des médias
- Sécurité du personnel
- Protection physique
- Évaluation des risques
- Évaluation de la sécurité
- Protection des systèmes et des communications
- Protection des systèmes et de l'information
Pas d'équivalence avec d’autres normes de cybersécurité
Le NIST 800-171 est beaucoup plus rigoureuse que la plupart des certifications/normes de cybersécurité du marché.
Il n’existe actuellement aucune norme de cybersécurité considérée comme équivalente au NIST 800-171. Les certifications de sécurité du marché (ex: SOC 2, ISO 27001, Cyber Sécuritaire Canada, etc.), ne couvrent pas tous les points exigés par le NIST 800-171.
Si vous devez vous conformer au NIST 800-171, vous allez devoir mettre en place chacun des requis de la norme, sans quoi vous ne serez pas conforme.
Avoir des politiques de sécurité est obligatoire pour se conformer au NIST 800-171
Pour se conformer au NIST 800-171, il ne suffit pas d’avoir des outils de sécurité en place. Il faut disposer aussi de politiques de sécurité documentées, approuvées et révisées de manière périodique. Exemples: politique de réponse aux incidents de sécurité, politique de contrôle d’accès, etc.
Chaque exigence contenue dans une politique doit être vérifiable et vous devez donner la preuve confirmant le respect de l’exigence.
Le SSP (System Security Plan) est un MUST
L’un des livrables clés du NIST 800-171 est le SSP qui peut être assimilée à la politique de sécurité globale de l’organisation. Le SSP permet d’avoir une idée des requis NIST 800-171 qui sont respectés par l’entreprise.
Le score SPRS (Supplier Performance Risk System)
Lorsque vous obtenez un contrat du gouvernement américain qui implique l’utilisation ou la création de CUI, il peut arriver qu’on vous demande de soumettre votre score SPRS. Certains de vos partenaires peuvent aussi exiger que vous soumettiez votre score SPRS. Ce score est obtenu après une analyse d’écarts entre votre niveau de sécurité vs NIST 800-171.
Avoir un SSP est obligatoire pour soumettre votre score SPRS.
Lien entre le NIST 800-171 et CMMC
La certification CMMC est dérivée du NIST 800-171. Il reprend les 14 domaines du NIST 800-171, auxquels s’ajoutent 3 domaines supplémentaires (17 domaines au total pour CMMC).
Evaluer son niveau de préparation pour la conformité CMMC ou NIST 800-171
Nous avons créé un formulaire qui vous permet d'évaluer votre niveau de préparation pour la conformité CMMC ou NIST 800-171.
Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC
StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC. Nous avons une parfaite maîtrise de CMMC et du NIST 800-171.
Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC ou NIST 800-171. Nous aidons régulièrement les organisations à déterminer et soumettre leur score SPRS au Département de la Défense Américaine (DoD).
Pour plus de détails sur notre service d'accompagnement CMMC et NIST 800-171, visitez ce lien
Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.