imswebs

Comment se conformer à la norme NIST SP 800-171 Révision...

Cybersecurité

Comment se conformer à la norme NIST SP 800-171 Révision 3 en 2026

0views
0

Le National Institute of Standards and Technology (NIST) a développé le cadre NIST 800-171 pour établir des directives et des exigences de sécurité pour la protection des informations non classifiées contrôlées (CUI). Le NIST a créé le cadre pour la première fois en juin 2015, mais a depuis révisé la publication à plusieurs reprises, la dernière fois en novembre 2023.

La dernière révision du NIST, connue sous le nom de NIST 800-171 Révision 3, comprend des mises à jour importantes des familles de contrôles de la publication, des contrôles de sécurité (anciennement NFO), des critères de personnalisation et des paramètres définis par l'organisation (ODP). La révision 3 en particulier exige que les organisations se conforment à des exigences strictes en matière de gestion des risques liés aux tiers (TPRM), y compris la mise en œuvre de flux de travail d'évaluation des risques, une surveillance continue et des stratégies supplémentaires liées à la gestion des risques de la chaîne d'approvisionnement (SCRM).

Continuez à lire pour savoir ce que votre organisation doit faire pour se conformer à la dernière révision du NIST 800-171 et découvrez comment UpGuard peut vous aider sur votre chemin vers la conformité NIST.

Découvrez la solution de gestion des risques tiers n°1 au monde : UpGuard Vendor Risk >

Qu'est-ce que la publication spéciale NIST 800-171 ?

Comment se conformer à la norme NIST SP 800-171 Révision 3 en 2026

Le blog sur la cybersécurité d'UpGuard comprend un aperçu complet du NIST SP 800-171 et une liste de contrôle gratuite de conformité NIST 800-171. La lecture de ces ressources est le meilleur moyen de se familiariser avec les détails de la publication, car cet article traitera strictement des mises à jour incluses dans la version 3 (ainsi que de la manière dont ces mises à jour affectent les organisations qui étaient auparavant conformes à la norme NIST 800-171 Rév. 2).

Voici un bref rappel sur les composants critiques du NIST 800-171 :

Pourquoi la norme NIST SP 800-171 Révision 3 est-elle importante ?

La dernière révision du NIST SP 800-171 est essentielle car elle impose des exigences TPRM strictes à tous les sous-traitants gouvernementaux et fournisseurs associés qui gèrent des informations fédérales. Au total, la révision 3 de la publication comprend 17 nouvelles exigences qui n'étaient pas incluses auparavant dans la révision 2.

Le NIST a créé plusieurs documents de support pour accompagner la publication, y compris une analyse détaillée du NIST 800-171 qui suit tous les changements importants (y compris le format de la section de discussion et les changements de méthodologie) effectués entre la Rév. 2 et la Rév. 3. et un prototype de superposition CUI.

Quand le NIST SP 800-171R3 sera-t-il finalisé ?

Les organisations concernées par la dernière révision du NIST 800-171 doivent agir rapidement pour mettre en œuvre des solutions avant que le NIST ne finalise le document et que la conformité ne soit requise. Le NIST vise à achever le document au premier semestre 2024, tandis que l'institut procédera à des évaluations et des audits formels au début de 2025.

Le NIST a publié le projet public initial (IPD) de Rev.3 le 10 mai 2023. Après la publication de l'IPD, l'institut a organisé une période de commentaires publics pour discuter des changements avant de publier le projet public final (FPD en novembre 2023).

Quelles sont les exigences TPRM de la norme NIST 800-171 Rév. 3 ?

Les exigences TPRM du NIST 800-171 Rév. 3 sont étendues et peuvent mettre au défi même les organisations les plus préparées. Si votre organisation a du mal à étendre son programme de gestion des risques, voici le meilleur plan d’action :

Commencez par développer une compréhension des dernières exigences du NIST, puis évaluez vos processus TPRM par rapport à ces exigences pour identifier les éventuelles lacunes de conformité dans votre programme. Enfin, comblez ces lacunes et mettez en œuvre des stratégies pour améliorer votre programme TPRM afin de se conformer pleinement aux dernières spécifications NIST 800-171.

Découvrez comment UpGuard aide les organisations à améliorer leurs programmes TPRM>

Les exigences TPRM les plus critiques du NIST 800-171 Rév. 3 incluent :

  • 3.11.1 – Évaluation des risques : Exige que les organisations évaluent les risques liés au traitement, au stockage ou à la transmission des CUI et mettent à jour périodiquement les évaluations des risques.
  • 3.11.2 – Surveillance et analyse des vulnérabilités : Exige que les organisations surveillent et recherchent les vulnérabilités et corrigent les vulnérabilités identifiées.
  • 3.12.2 – Plan d'action et jalons : Cela oblige les organisations à créer un plan d’action pour corriger les lacunes et éliminer les vulnérabilités.
  • 3.12.3 – Surveillance continue : Oblige les organisations à installer une surveillance continue et des évaluations de sécurité pour protéger leur système.

3.11.1 Évaluation des risques

Les exigences d'évaluation des risques du NIST 800-171 obligent les organisations qui traitent, stockent ou transmettent des CUI à développer des flux de travail pour évaluer les risques associés à leur opération. Les évaluations des risques d'une organisation doivent évaluer ses propres risques et ceux des tiers, y compris les risques liés à la chaîne d'approvisionnement et à la conformité des fournisseurs. L'organisation est également responsable de la mise à jour périodique de ces évaluations des risques afin de suivre les changements du système d'information et l'expansion de la chaîne d'approvisionnement.

Comment UpGuard peut-il vous aider dans l'évaluation des risques ?

UpGuard Vendor Risk a aidé des centaines d'organisations à rationaliser leur processus d'évaluation des risques liés aux fournisseurs. Notre solution donne accès à des évaluations de risques personnalisées adaptées aux relations fournisseurs d'une organisation et à son exposition à des risques spécifiques.

En utilisant UpGuard Vendor Risk pour améliorer votre processus d'évaluation de la sécurité des fournisseurs, votre organisation peut :

  • Éliminez le besoin d’évaluations longues et sujettes aux erreurs basées sur des feuilles de calcul
  • Rassemblez des preuves et corrigez ou éliminez les risques, le tout dans le même flux de travail facile à utiliser
  • Réduisez le temps nécessaire pour évaluer un fournisseur nouveau ou existant
  • Répondre aux exigences d'évaluation des risques NIST 800-171

3.11.2 Surveillance et analyse des vulnérabilités

Le NIST 800-171 exige désormais que les organisations concernées installent des stratégies continues de surveillance et d'analyse des vulnérabilités dans leur programme TPRM. Ces exigences exigent également que les organisations corrigent rapidement les vulnérabilités connues et mettent à jour la portée de leur système de surveillance des vulnérabilités pour rechercher de nouvelles vulnérabilités à mesure qu'elles sont identifiées et signalées.

Vous pouvez utiliser ce modèle de questionnaire NIST 800-171 gratuit pour évaluer l'alignement de vos fournisseurs sur les normes NIST 800-171 en 2025.

Comment UpGuard peut-il vous aider à surveiller les vulnérabilités ?

Les solutions de cybersécurité UpGuard offrent aux organisations une tranquillité d'esprit en surveillant leurs surfaces d'attaque externes et tierces à la recherche de vulnérabilités. Organisations utilisant UpGuard pour la surveillance des vulnérabilités :

  • Gagnez en confiance dans votre programme de cybersécurité
  • Assurer une surveillance continue des actifs numériques et des fournisseurs tiers.
  • Bénéficiez d’une visibilité complète sur les actifs externes, connus et inconnus
  • Protégez la réputation de votre marque
  • Répondre aux exigences de surveillance des vulnérabilités NIST 800-171

3.12.2 Plan d'action et jalons

La dernière révision du NIST 800-171 exige que les sous-traitants gouvernementaux développent des workflows de gestion des vulnérabilités et de remédiation des risques. Plus précisément, les organisations doivent créer un plan d'action et des jalons pour leur système interne qui documentent les actions correctives et les vulnérabilités éliminées. Les organisations doivent également mettre à jour ce plan avec les conclusions pertinentes issues des évaluations de sécurité, des audits indépendants ou des activités de surveillance.

Comment UpGuard peut-il vous aider avec les workflows de remédiation et les rapports ?

UpGuard Vendor Risk élimine les tracas liés à la recherche de fournisseurs pour remédier aux risques en préparant des plans de remédiation personnalisés basés sur des évaluations pertinentes des risques des fournisseurs et les meilleures pratiques du secteur. La bibliothèque de rapports d'UpGuard permet également aux organisations de tenir facilement les parties prenantes informées grâce à des rapports faciles à utiliser, rapides et personnalisables.

En utilisant les solutions de reporting et de remédiation UpGuard, votre organisation sera en mesure de :

  • Gagnez du temps et déployez les ressources de sécurité plus efficacement
  • Suivez le processus de remédiation et enregistrez le moment où les fournisseurs terminent la remédiation.
  • Développer des rapports personnalisés de conformité et de remédiation.
  • Améliorez votre posture et votre cote de sécurité
  • Répondez aux exigences du plan d’action NIST 800-171.

3.12.3 Surveillance continue

Les organisations doivent désormais mettre en place des stratégies de surveillance continue pour atteindre la conformité NIST 800-171. Ces stratégies devraient inclure des processus de surveillance continue et des évaluations de sécurité pertinentes.

Comment UpGuard peut-il vous aider avec une surveillance continue ?

UpGuard permet aux organisations de prendre le contrôle de leur posture de sécurité en identifiant les vulnérabilités, en détectant les changements et en découvrant les menaces et vulnérabilités potentielles 24h/24 et 7j/7.

En utilisant UpGuard pour la gestion TPRM et des surfaces d'attaque, votre organisation pourra :

  • Surveillez et gérez en permanence les expositions tout au long de votre chaîne d’approvisionnement
  • Identifiez et hiérarchisez de manière proactive les vulnérabilités des fournisseurs en vue de leur correction.
  • Prenez des décisions éclairées en matière de risques, basées sur des informations précises en temps réel
  • Répondre aux exigences de surveillance continue du NIST 800-171

Comment UpGuard aide les organisations à se conformer à la norme NIST SP 800-171A Rev.3

UpGuard propose des solutions complètes de cybersécurité qui permettent aux organisations d'améliorer leurs programmes et fonctions TPRM, ASM et SCRM et de se conformer aux cadres importants, notamment NIST SP 800-171.

Le kit d'outils UpGuard comprend les fonctionnalités et solutions suivantes :

  • Surveillance continue : Obtenez des mises à jour en temps réel et gérez les expositions sur l'ensemble de votre surface d'attaque, y compris les domaines, les adresses IP, les applications, les points de terminaison, les plug-ins et les pare-feu.
  • Surface d'attaque réduite : Réduisez votre surface d'attaque en découvrant les vulnérabilités exploitables et les domaines à risque de typosquatting
  • Profil de sécurité partagé : Créez une page de confiance UpGuard pour éliminer les tracas liés à la réponse aux questionnaires de sécurité
  • Flux de travail et exemptions : Optimisez les flux de travail de remédiation, éliminez rapidement les risques et répondez aux demandes de sécurité.
  • Rapports et informations : Accédez à des rapports personnalisés pour les parties prenantes, les responsables du recrutement et les dirigeants, et consultez des informations sur votre surface d'attaque externe.
  • Questionnaires de sécurité des fournisseurs : Automatisez les questionnaires de sécurité pour mieux comprendre vos relations avec vos fournisseurs et votre posture de sécurité.
  • Cotes de sécurité : Évaluez la situation de sécurité de chaque fournisseur à l’aide de nos évaluations de sécurité dynamiques, objectives et basées sur les données.
  • Évaluations des risques : Rationalisez les flux de travail d’évaluation des risques, collectez des preuves et demandez rapidement des solutions

Source link

Like it? Share with your friends!

0

Posted by

log in

Captcha!
Forgot password?

forgot password

Back to
log in