Le 14 mai 2024, le National Institute of Standards and Technology (NIST) a publié des mises à jour importantes de deux publications clés : la publication spéciale 800-171 (Protection de l’information contrôlée non classifiée sur les systèmes et les organisations non fédéraux) et la publication spéciale 800-171A (Évaluation des exigences de sécurité pour les renseignements contrôlés non classifiés). Ces révisions, connues sous le nom de « révision 3 », sont cruciales pour les entrepreneurs fédéraux et toutes les entités qui traitent avec des renseignements contrôlés non classifiés (CUI) dans le cadre de leurs activités avec le gouvernement fédéral.
Quoi de neuf dans la SP 800-171 Rév. 3?
Les mises à jour de la norme SP 800-171 ont été conçues pour mieux s’aligner sur les contrôles décrits dans la Publication spéciale 800-53 Rév. 5 du NIST (Contrôles de sécurité et de confidentialité pour les systèmes d’information et les organisations). Cet alignement garantit une approche plus cohérente et plus complète de la sécurité de l’information entre les différents types d’organisations. Les principaux changements comprennent:
-
Harmonisation avec les contrôles de la PS 800-53 Rév. 5 : Les révisions harmonisent les contrôles de sécurité de la PS 800-171 avec ceux de la PS 800-53 Rév. 5, favorisant un cadre de sécurité unifié.
-
Contrôles sur mesure : Les contrôles ont été réalignés en fonction de nouveaux critères d’adaptation, garantissant qu’ils sont directement pertinents pour la gestion des CUI.
-
Mise en œuvre du Décret exécutif 13556 : Les révisions mettent en œuvre davantage le cadre défini dans le Décret exécutif 13556 – Informations non classifiées contrôlées, améliorant la clarté et la conformité.
-
Ajustements modérés de la base de référence : La base de référence modérée pour les contrôles de la PS 800-53 Rév. 5 a été adaptée pour exclure les exigences qui relèvent principalement de la responsabilité du gouvernement fédéral ou qui ne sont pas directement liées à la protection de CUI. Cette rationalisation aide les organisations à se concentrer sur les contrôles de sécurité les plus pertinents.
-
Flexibilité accrue : Les mises à jour permettent une adaptation plus spécifique des contrôles organisationnels pour répondre aux normes de sécurité, offrant aux organisations une plus grande flexibilité dans leurs implémentations de sécurité.
Améliorations apportées au SP 800-171A Rév. 3
Parallèlement aux mises à jour de la disposition spéciale 800-171, les procédures d’évaluation décrites dans la disposition spéciale 800-171A ont également été révisées. Ces mises à jour garantissent que les méthodes de détermination de la conformité à la norme SP 800-171 sont alignées sur les nouvelles révisions:
-
Procédures d’évaluation harmonisées: Les critères d’évaluation ont été mis à jour pour refléter les modifications apportées à la norme SP 800-171, fournissant un cadre clair pour évaluer si une organisation répond aux normes de sécurité requises.
-
Cohérence et clarté: Ces mises à jour offrent au secteur privé plus de clarté sur les exigences de sécurité, ce qui facilite la démonstration de la conformité.
Incidence sur les entrepreneurs fédéraux
Pour les entrepreneurs fédéraux et les entités qui gèrent la CUI, ces mises à jour arrivent à un moment critique. Le Département de la Défense (DoD) poursuit la mise en œuvre de la Certification du Modèle de maturité de la cybersécurité (CMMC), qui intègre ces directives du NIST. Il est essentiel que les entrepreneurs se conforment aux dernières révisions des normes SP 800-171 et 800-171A pour maintenir leur admissibilité aux marchés fédéraux.
Aller de l’Avant
Les révisions des normes SP 800-171 et 800-171A reflètent l’engagement continu du NIST à améliorer les normes de cybersécurité. En alignant ces publications sur la norme SP 800-53 Rév. 5 et en adaptant les contrôles pour mieux protéger les CUI, le NIST aide les organisations à renforcer leur posture de sécurité tout en fournissant des conseils clairs sur la conformité.
Les organisations qui gèrent CUI devraient examiner les publications mises à jour et évaluer leurs mesures de sécurité actuelles par rapport aux nouvelles exigences. Cela garantira non seulement la conformité, mais améliorera également leur résilience globale en matière de cybersécurité.
Les dernières révisions des normes NIST SP 800-171 et 800-171A représentent une avancée significative dans la protection des informations contrôlées non classifiées. En restant informés et en s’adaptant à ces changements, les entrepreneurs fédéraux et les entités connexes peuvent continuer à sécuriser efficacement leurs systèmes et à respecter les normes en constante évolution de la sécurité de l’information.
