NIST 800-171 Rev 3 : ce que vous devez savoir
Le 10 mai 2023, la version de travail de la norme NIST 800-171 Rev 3 a été publiée pour commentaires. Les commentaires sont attendus pour le 14 juillet 2023.
Pour rappel, la norme NIST 800-171 est la référence pour la protection des Informations non classifiées contrôlées (CUI). Elle est exigée pour les contractants et sous-contractants du gouvernement américain.
Comparativement à sa révision 2, la nouvelle révision 3 du NIST 800-171 apporte des changements importants.
Dans le présent article, nous allons voir les changements apportés dans la Rev 3 du NIST 800-171.
Rappel : le NIST 800 -171 Rev 2 a 14 domaines
Le NIST 800-171 Rev 2 est la version actuellement en vigueur. Elle le restera jusqu'à ce que NIST 800-171 Rev3 soit officiellement adoptée.
Le NIST 800-171 Rev 2 est composé de 14 domaines de cybersécurité. Pour des détails sur ces domaines, veuillez consulter ce lien.
Le NIST 800-171 Rev 3 passe à 17 domaines
En plus des 14 domaines du NIST 800-171 Rev2, la révision 3 introduit 3 nouveaux domaines, faisant passer le nombre total de domaines a 17.
Les 3 nouveaux domaines sont:
- La planification de la cybersécurité
- L’acquisition des systèmes et des services
- La gestion des chaînes d’approvisionnement
Le nombre total de contrôles du NIST 800-171 reste inchangé (110).
NIST 800-171 Rev 3 : suppression des exigences de sécurité obsolètes et redondantes
NIST 800-171 Rev 3 apporte des clarifications et élimine des exigences qui sont actuellement obsolètes ou redondantes. Ainsi, 10 des 14 domaines du NIST 800-171 Rev 2 ont été mis à jour (ajout de nouveaux contrôles de sécurité ou suppression).
Les domaines qui ont été ajustés sont les suivants:
- Contrôle d’accès : 5 contrôles de sécurité supprimés, 1 ajouté
- Gestion de la configuration : 1 contrôle de sécurité supprimé
- Identification et authentification : 1 contrôle ajouté, 4 supprimé
- Maintenance : 3 contrôles supprimés
- Protection des médias : 2 contrôle supprimés
- Sécurité physique et environnementale : 3 contrôles supprimés, 2 ajoutés
- Evaluation des risques : 1 contrôle supprimé, 1 ajouté
- Evaluation de la sécurité et monitoring : 1 contrôle supprimé, 3 ajoutés
- Protection des systèmes et des communications : 4 contrôles supprimés, 2 ajoutés
- Intégrité de l’information et des systèmes : 3 contrôles supprimés, 1 ajouté
Comme on peut le constater, NIST 800-171 Rev 3 est assez différent de la Rev 2.
Si vous êtes fournisseur du gouvernement américain et que vous êtes actuellement conformes au NIST 800-171 Rev2, attendez vous à ce que dans les années à venir, l’on vous demande de vous conformer au NIST 800-171 Rev 3.
Introduction d’un nouveau concept : Organization-defined parameters (ODP)
L’une des nouveautés du NIST 800-171 Rev 3 est l’introduction de paramètres définis par l'organisation (ODP) dans certaines exigences de sécurité afin d'accroître la flexibilité et d'aider les organisations à mieux gérer les risques.
Par exemple, dans le domaine Contrôle d’accès du NIST 800-171, le contrôle 3.1.8 indique qu’il est requis que les comptes utilisateurs se verrouillent après un nombre X de tentatives de connexion échouées. Si vous décidez de fixer votre nombre X à 10, cette valeur devient un ODP et est de facto considéré comme une partie intégrante du contrôle 3.1.8
Mise en vigueur du NIST 800-171 Rev 3
Pour l’instant, il n’est pas question de la mise en vigueur du NIST 800-171 Rev 3. Vous devez vous en tenir à la version 2 car il reste encore des étapes à franchir avant que la Rev3 soit effective.
- Un appel à commentaires public a été lancé depuis le 10 mai 2023. Les commentaires sont attendus pour le 14 juillet 2023.
- A partir du 14 juillet, les commentaires seront pris en compte par le NIST
- La version finale du NIST 800-171 Rev 3 est prévue pour Q2 2024 (estimation).
Note: il se pourrait qu’il y ait des délais supplémentaires. Vous devez noter que tant que la nouvelle révision n’est pas officiellement en vigueur, vous êtes tenus de respecter la Rev 2.
Commencer à se préparer
Bien qu’il ne faut pas commencer actuellement à mettre en place les exigences de la Rev3, nous vous suggérons de commencer à évaluer l’impact de ces changements, afin d’être prêts le moment venu.
Impact sur CMMC 2.0
Étant donné que CMMC est inspiré du NIST 800-171 Rev 2, lorsque la Rev 3 sera en vigueur, des changements seront forcément apportés à CMMC. Mais ce changement n'interviendra pas à court terme car non seulement la finalisation du NIST 800-171 Rev3 prendra encore du temps, mais il y aura une phase de transition.
Considerez donc qu'il n’y a aucun impact sur CMMC actuellement et qu'aucun changement n'est prévu dans les mois à venir.
Évaluer son niveau de préparation pour la conformité CMMC 2.0 ou NIST 800-171
Nous avons créé un formulaire qui vous permet d'évaluer votre niveau de préparation pour la conformité CMMC 2.0 ou NIST 800-171.
Comment StreamScan peut vous aider?
StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.
En tant que RPO CMMC, Streamscan est constamment informé de l’évolution de CMMC et NIST 800-171. Nous nous assurons que nos clients aient toujours la bonne information et nous les accompagnons dans la transition vers les nouvelles versions.
Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC ou NIST 800-171. Nous aidons régulièrement les organisations à déterminer et soumettre leur score SPRS au Département de la Défense Américaine (DoD).
Pour plus de détails sur notre service d'accompagnement CMMC et NIST 800-171, visitez ce lien.