Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
NIST 800-53 : Un guide pour la conformité

NIST 800-53 : Un guide pour la conformité

Mar 3, 2021

La norme NIST 800-53 offre des orientations solides sur la manière dont les organisations doivent sélectionner et maintenir des contrôles de sécurité et de confidentialité personnalisés pour leurs systèmes d'information. NIST SP 800-53 Révision 5 est l'un des nombreux documents de conformité que vous devez connaître si vous travaillez dans le domaine de la technologie de l'information.

Cet article le décompose pour vous en parties digestes qui mettent l'accent sur la signification pratique et l'application de la norme.

Contenu connexe sélectionné :

Qu'est-ce que NIST 800-53 ?

NIST 800-53 est une norme de conformité de sécurité créée par le Département du Commerce des États-Unis et l'Institut National des Standards et de la Technologie en réponse aux capacités technologiques en rapide développement des adversaires nationaux. Elle compile les contrôles recommandés par le Laboratoire de Technologie de l'Information (ITL).

Le NIST 800-53 est obligatoire pour tous les systèmes d'information fédéraux des États-Unis, à l'exception de ceux liés à la sécurité nationale, et est neutre sur le plan technologique. Cependant, ses directives peuvent être adoptées par toute organisation exploitant un système d'information contenant des données sensibles ou réglementées. Il fournit un catalogue de contrôles de confidentialité et de sécurité pour se protéger contre une variété de menaces, allant des catastrophes naturelles aux attaques hostiles.

Contenu connexe sélectionné :

La norme a évolué pour intégrer les contrôles de confidentialité et de sécurité et pour promouvoir l'intégration avec d'autres approches de cybersécurité et de gestion des risques. En particulier, elle s'inscrit dans le cadre des Federal Information Processing Standards (FIPS) ; FIPS exige que les organisations mettent en œuvre une base minimale de contrôles de sécurité tels que définis dans NIST 800-53. La norme NIST aide également les organisations à se conformer au Federal Information Security Modernization Act (FISMA), qui détaille les directives de sécurité et de confidentialité dans le cadre de l'administration des programmes fédéraux.

Alors que l'infrastructure d'information continue de s'étendre et de s'intégrer, la nécessité d'intégrer la confidentialité et la sécurité dans chaque application augmente également, qu'il s'agisse d'un système fédéral ou privé. Avec l'ensemble complet de contrôles et de directives dans NIST 800-53, les organisations privées n'ont pas besoin de réinventer la roue pour maintenir la cybersécurité.

Quel est l'objectif de NIST 800-53 ?

L'objectif de la norme de sécurité et de confidentialité est triple :

  • Pour fournir un catalogue complet et flexible de contrôles pour la protection actuelle et future basée sur l'évolution de la technologie et des menaces
  • Pour développer une base pour évaluer les techniques et les processus de détermination de l'efficacité des contrôles
  • Pour améliorer la communication au sein des organisations grâce à un lexique commun pour la discussion des concepts de gestion des risques

Les contrôles établis par la publication spéciale (SP) 800-53 du NIST sont conçus pour améliorer la gestion des risques pour toute organisation ou système qui traite, stocke ou transmet des informations.

Contenu connexe sélectionné :

Qui doit se conformer à NIST 800-53 ?

La norme est obligatoire pour les systèmes d'information fédéraux, les organisations et les agences. Toute organisation travaillant avec le gouvernement fédéral doit également se conformer à NIST 800-53 pour maintenir la relation.

Cependant, la norme offre un cadre solide pour toute organisation afin de développer, maintenir et améliorer ses pratiques de sécurité de l'information, y compris les gouvernements étatiques, locaux et tribaux ainsi que les entreprises privées, des PME aux grandes entreprises.

Quels sont les avantages de NIST 800-53 ?

Le principal avantage de la norme est des systèmes d'information plus sécurisés. Les organisations privées se conforment volontairement à NIST 800-53 car ses 18 familles de contrôles les aident à relever le défi de sélectionner les contrôles de sécurité de base appropriés, les politiques et procédures pour protéger la sécurité et la confidentialité des informations.

De plus, cela vous encourage à analyser chaque contrôle de sécurité et de confidentialité que vous sélectionnez pour garantir son applicabilité à votre infrastructure et environnement. Ce processus de personnalisation aide à assurer non seulement la sécurité et la conformité, mais aussi le succès commercial. Il favorise une application cohérente et rentable des contrôles à travers votre infrastructure technologique de l'information.

Enfin, suivre les directives NIST 800-53 vous aide à établir une base solide pour la conformité avec d'autres réglementations et programmes tels que HIPAA, DFARS, PCI DSS et GDPR.

Quelles données la norme NIST SP 800-53 protège-t-elle ?

Bien que la norme ne fournisse pas une liste spécifique des types d'informations, elle offre des recommandations pour classer les types de données que votre organisation crée, stocke et transmet. Par exemple, une classification pourrait être « protégée » ; ces données pourraient inclure les noms des clients, les dates de naissance et les numéros de Sécurité sociale.

Contenu connexe sélectionné :

Contrôles de sécurité NIST 800-53

NIST 800-53 offre un catalogue de contrôles de sécurité et de confidentialité ainsi que des recommandations pour leur sélection. Chaque organisation devrait choisir des contrôles basés sur les exigences de protection de ses différents types de contenu. Cela nécessite une évaluation minutieuse des risques et une analyse de l'impact des incidents sur les différentes données et systèmes d'information. FIPS 199 définit trois niveaux d'impact :

  • Faible — La perte aurait un impact négatif limité.
  • Modéré — La perte aurait un impact négatif sérieux.
  • Élevé — La perte aurait un impact catastrophique.

Familles de sécurité et de contrôle

Les contrôles NIST 800-53 sont répartis dans les 20 familles suivantes :

ID

Nom de famille

Exemples de contrôles

AC

Contrôle d'accès

Gestion et surveillance des comptes ; moindre privilège ; séparation des fonctions

AT

Sensibilisation et formation

Formation des utilisateurs sur les menaces de sécurité ; formation technique pour les utilisateurs privilégiés

AU

Audit et responsabilité

Contenu des enregistrements d'audit ; analyse et rapport ; conservation des enregistrements

CA

Évaluation, Autorisation et Surveillance

Connexions aux réseaux publics et systèmes externes; tests d'intrusion

CM

Gestion de la configuration

Politiques de logiciels autorisés, contrôle des changements de configuration

CP

Planification de contingence

Sites alternatifs de traitement et de stockage ; stratégies de continuité d'activité ; tests

IA

Identification et authentification

Politiques d'authentification pour les utilisateurs, les appareils et les services ; gestion des identifiants

IP

Participation individuelle

Autorisation de consentement et de confidentialité

IR

Réponse aux incidents

Formation en réponse aux incidents, surveillance et rapportage

MA

Maintenance

Maintenance des systèmes, du personnel et des outils

MP

Protection des médias

Accès, stockage, transport, assainissement et utilisation des supports

PA

Autorisation de confidentialité

Collecte, utilisation et partage des informations personnelles identifiables (PII)

PE

Protection physique et de l'environnement

Accès physique ; alimentation d'urgence ; protection contre les incendies ; contrôle de la température

PL

Planification

Restrictions des médias sociaux et du réseautage ; architecture de sécurité en profondeur

PM

Gestion de programme

Stratégie de gestion des risques; insider threat program; architecture d'entreprise

PS

Sécurité du personnel

Contrôle du personnel, cessation et transfert ; personnel externe ; sanctions

RA

Évaluation des risques

Évaluation des risques; balayage des vulnérabilités; évaluation de l'impact sur la vie privée

SA

Acquisition de systèmes et services

Cycle de vie du développement de système; processus d'acquisition; gestion des risques de la chaîne d'approvisionnement

SC

Protection des systèmes et des communications

Partitionnement des applications ; protection des frontières ; gestion des clés cryptographiques

SI

Intégrité du système et de l'information

Remédiation des failles ; surveillance du système et alerte

Conseils pour la conformité NIST 800-53

Les meilleures pratiques suivantes vous aideront à sélectionner et à mettre en œuvre les contrôles de sécurité et de confidentialité appropriés pour la conformité NIST SP 800-53.

  • Identifiez vos données sensibles. Découvrez quel type de données votre organisation traite, où elles sont stockées, et comment elles sont reçues, conservées et transmises. Les données sensibles peuvent être réparties sur plusieurs systèmes et applications ; elles ne se trouvent pas nécessairement seulement là où vous pensez.
  • Classifiez les données sensibles. Catégorisez et étiquetez vos données selon leur valeur et leur sensibilité. Attribuez à chaque type d'information une valeur d'impact (faible, modéré ou élevé) pour chaque objectif de sécurité (confidentialité, intégrité et disponibilité), et catégorisez-la au niveau d'impact le plus élevé. Consultez FIPS 199 pour les catégories de sécurité appropriées et les niveaux d'impact qui se rapportent aux objectifs organisationnels, à la mission et au succès commercial de votre organisation. Automatisez la découverte et la classification pour rationaliser le processus et garantir des résultats cohérents et fiables.
  • Évaluez votre niveau actuel de cybersécurité avec une évaluation des risques. À un niveau élevé, risk assessment implique l'identification des risques, l'évaluation de la probabilité de leur survenue et de leur impact potentiel, la prise de mesures pour remédier aux risques les plus sérieux, puis l'évaluation de l'efficacité de ces mesures.
  • Documentez un plan pour améliorer vos politiques et procédures. Sélectionnez des contrôles en fonction de vos besoins commerciaux spécifiques. L'étendue et la rigueur du processus de sélection doivent être proportionnelles au niveau d'impact du risque atténué. Documentez votre plan et la justification de chaque choix de contrôle et de politique.
  • Fournissez une formation continue aux employés. Sensibilisez tous les employés à la gouvernance des accès et aux meilleures pratiques de cybersécurité, telles que la manière d'identifier et de signaler les logiciels malveillants.
  • Rendez la conformité un processus continu. Une fois que vous avez mis votre système en conformité avec NIST 800-53, maintenez et améliorez votre conformité avec des audits systématiques réguliers, surtout après un incident de sécurité.

Contenu connexe sélectionné :

Conclusion

Toutes les agences fédérales et organisations doivent se conformer à NIST 800-53, et si vous traitez avec elles, vous devrez également être en conformité. La conformité n'est pas une exigence pour les organisations qui ne font pas affaire avec le gouvernement fédéral, mais répondre à la norme vous aidera à établir une base solide pour la conformité avec un large éventail d'autres réglementations, telles que HIPAA et GDPR, donc vous n'aurez pas besoin de réinventer la roue à chaque fois.

FAQ

  1. Qu'est-ce que la série NIST 800 ?

La série NIST 800 est un ensemble de documents qui décrivent les politiques, procédures et directives du gouvernement fédéral des États-Unis pour la sécurité des systèmes d'information.

  1. Qu'est-ce que NIST 800-53 ?

NIST 800-53 est une norme réglementaire qui définit le socle minimal de contrôles de sécurité pour tous les systèmes d'information fédéraux des États-Unis, à l'exception de ceux liés à la sécurité nationale. Elle établit le socle minimal de contrôles de sécurité exigés par le Federal Information Processing Standard (FIPS).

  1. Quel est le but de NIST 800-53 ?

Le NIST 800-53 aide les organisations de tous types à concevoir et gérer correctement leurs systèmes de sécurité de l'information et à se conformer à la loi sur la modernisation de la sécurité de l'information fédérale (FISMA). Il propose un vaste catalogue de contrôles pour renforcer la sécurité et la confidentialité.

  1. Combien de contrôles sont décrits dans NIST 800-53 ?

NIST 800-53 comprend 20 familles de contrôles composées de plus de 1 000 contrôles distincts. Chaque famille est liée à un sujet spécifique, tel que le contrôle d'accès.

  1. Quelle est la version actuelle de NIST 800-53 ?

La révision 5 de NIST 800-53 a été publiée en septembre 2020.

  1. Qui doit se conformer à NIST 800-53 ?

NIST 800-53 est obligatoire uniquement pour les systèmes d'information fédéraux de toutes les agences et organisations. Cependant, les directives sont très utiles également pour les gouvernements des États, locaux et tribaux ainsi que pour les entreprises privées.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Mike Tierney

Ancien vice-président du Succès Client

Ancien VP of Customer Success chez Netwrix. Il possède un parcours diversifié construit sur 20 ans dans l'industrie du logiciel, ayant occupé les postes de PDG, COO et VP Product Management dans plusieurs entreprises axées sur la sécurité, la conformité et l'augmentation de la productivité des équipes informatiques.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité