Le NIST propose des exigences de sécurité renforcées pour certains prestataires du gouvernement

L'Institut national des normes et technologies (NIST) a annoncé des modifications proposées à la publication spéciale (SP) 800-171 du NIST, intitulée « Protection des informations contrôlées non classifiées dans les systèmes et organisations non fédéraux ». Les modifications proposées sont doubles : (1) apporter des modifications rédactionnelles mineures et des clarifications à la SP 800-171 existante, et (2) proposer des exigences de sécurité renforcées pour les programmes critiques et les actifs de grande valeur afin de les protéger contre les menaces persistantes avancées (APT) dans une nouvelle publication, la SP 800-171B. Ces propositions auront non seulement une incidence sur les entrepreneurs gouvernementaux qui sont directement soumis à ces exigences en vertu de leurs accords avec le gouvernement, mais pourraient également avoir des répercussions sur le secteur privé. Ces propositions sont ouvertes aux commentaires du public jusqu'au 2 août 2019*.

Publiées initialement en 2015, les règles NIST SP 800-171 ont pour objectif de définir des normes minimales de sécurité pour les prestataires gouvernementaux qui traitent, stockent ou transmettent des informations contrôlées non classifiées (CUI). Les types d'informations considérées comme CUI sont répertoriés dans le registre CUI et comprennent un large éventail d'informations, allant des informations fiscales fédérales aux informations critiques en matière de défense. Les révisions proposées pour la norme SP 800-171, révision 2, sont des modifications rédactionnelles mineures ; aucune modification n'a été proposée concernant les exigences de sécurité de base ou dérivées. Le NIST a déclaré qu'une mise à jour complète de la norme SP 800-171 serait bientôt disponible dans la révision 3.

Cependant, le NIST a proposé de nouvelles normes de sécurité rigoureuses pour les systèmes et organisations non fédéraux qui soutiennent des programmes critiques ou font partie d'actifs de grande valeur, tels que les systèmes d'armement, dans sa nouvelle publication, SP 800-171B. La norme SP 800-171B du NIST s'appuie sur les exigences de sécurité énoncées dans la norme SP 800-171. Comme les contrôles du NIST SP 800-171 sont fréquemment cités dans les accords du secteur privé comme exigences minimales pour les fournisseurs qui traitent, stockent ou transmettent les données d'une organisation, les contrôles proposés sont susceptibles de s'étendre à d'autres secteurs et d'avoir un impact sur les fournisseurs, qu'ils aient ou non un contrat avec le gouvernement.

Quelles sont les nouvelles exigences de la norme SP 800-171B ?

Les nouvelles exigences de la norme NIST 800-171B visent à compléter (et non à remplacer) la norme SP 800-171 et fixent des critères nettement plus élevés en matière de pratiques de sécurité minimales dans les organisations concernées par rapport à la norme SP 800-171 de manière plus générale. Plus précisément, la norme SP 800-171B ajoute 32 exigences de sécurité renforcées aux 110 contrôles de sécurité énumérés dans la norme SP 800-171, en mettant l'accent sur trois éléments principaux : (1) une architecture résistante aux intrusions ; (2) des opérations limitant les dommages ; et (3) la conception de systèmes pour la cyber-résilience et la capacité de survie. Par exemple, la norme NIST 800-171B ajoute les trois exigences suivantes aux contrôles existants liés à l'accès aux informations CUI (limitant davantage les droits d'accès) : (1) recourir à une double autorisation pour exécuter des opérations critiques ou sensibles au niveau du système et de l'organisation ; (2) restreindre l'accès aux systèmes et aux composants du système uniquement aux ressources d'information détenues, fournies ou émises par l'organisation ; et (3) utiliser des solutions de transfert d'informations sécurisées pour contrôler les flux d'informations entre les domaines de sécurité sur les systèmes connectés.

Pour la plupart des entreprises, les exigences renforcées sont probablement plus coûteuses que les exigences générales de la norme NIST SP 800-171. Un exemple coûteux de nouvelle exigence est l'obligation pour les organisations de mettre en place et de maintenir un centre d'opérations de sécurité à temps plein et une équipe d'intervention en cas d'incident pouvant être déployée dans n'importe quel endroit dans les 24 heures. La proposition prévoit que le NIST autorisera les organisations à passer des contrats avec des tiers pour se conformer à ces nouvelles normes, plutôt que d'exiger des organisations qu'elles aient la capacité de se conformer à ces normes en interne.

Quel sera l'impact de la norme SP 800-171B sur les organisations ?

Conformément à la norme SP 800-171B, les organisations ne seront tenues de se conformer à cette norme « que lorsqu'une agence fédérale l'exige dans le cadre d'un contrat, d'une subvention ou de tout autre accord ». Ainsi, une fois la norme SP 800-171B finalisée, les organisations devront examiner leurs accords afin de déterminer si elles sont tenues de s'y conformer. Comme mentionné ci-dessus, les organisations du secteur privé sont susceptibles d'exiger de plus en plus de leurs fournisseurs qu'ils satisfassent aux exigences accrues relatives aux données propres à l'organisation que celle-ci considère comme hautement sensibles, en particulier les organisations qui traitent de grands volumes de données sensibles. Par conséquent, et quelle que soit la date à laquelle la norme NIST SP 800-171B sera publiée dans sa forme définitive, les organisations qui savent qu'elles seront probablement soumises à ces nouvelles exigences devraient commencer à réfléchir à la manière de les mettre en œuvre. Certaines de ces exigences nécessiteront de nouvelles technologies, des formations et du personnel, de sorte que plus tôt chaque organisation élaborera un plan et une stratégie de mise en œuvre, plus celle-ci sera fluide et rentable.

Comment pouvez-vous commenter ces propositions ?

Les commentaires doivent être envoyés par courrier électronique à l'adresse [email protected] ou sur le site https://www.regulations.gov, sous la référence NIST-2019-0002.

Pour en savoir plus sur les propositions ou pour obtenir de l'aide afin de soumettre un commentaire, veuillez contacter l'un des auteurs.

*Note de la rédaction : date mise à jour le 10 juillet 2019.

Une femme aux longs cheveux blonds, vêtue d'un blazer noir, d'un haut noir et d'un collier de perles superposé, sourit dans un cadre professionnel, reflétant l'assurance polie que l'on retrouve souvent chez les avocats de Chicago et ceux qui se spécialisent dans le droit de la propriété intellectuelle.

[email protected]

Milwaukee 414.297.5864

[email protected]

Madison 608.250.7420

Perspectives connexes

Voir tous les articles

27 mai 2025 Aperçus des technologies innovantes

Un nouveau règlement de la FCA en matière de cybersécurité renforce la tendance en matière d'application de la loi

Une annonce récente du ministère de la Justice des États-Unis montre que l'accent mis par le gouvernement sur la lutte contre la cybersécurité dans le cadre de la loi sur les fausses déclarations (False Claims Act) ne faiblit pas.

3 avril 2025 Aperçu des technologies innovantes

Le dernier accord conclu par la FCA en matière de cybersécurité montre que l'application de la loi reste une priorité sous l'administration Trump

La mise en application des mesures de cybersécurité liées à la FCA se poursuit sous l'administration Trump.

3 mars 2025 Aperçu des technologies innovantes

Plus les choses changent… Le dernier règlement cybernétique du ministère américain de la Justice montre que le risque lié à la loi sur les fausses déclarations persiste

Les mesures de cybersécurité liées à la FCA semblent se poursuivre sous l'administration Trump.