Répondre aux exigences des normes NIST 800-53, NIST 800-161 et NIST CSF en matière de risque pour les tiers

Le NIST a rédigé plusieurs normes industrielles traitant de l'identification, de l'évaluation et de la gestion des risques liés à la chaîne d'approvisionnement. Voici un aperçu de quelques directives du NIST relatives aux risques liés aux tiers et de la manière dont Prevalent peut vous aider.

Personnel de Mitratech
Personnel de Mitratech Juin 23, 2022 9 min de lecture
Decorative image

Le National Institute of Standards and Technology (NIST) est une agence fédérale relevant du département américain du Commerce. Le NIST est chargé notamment d'établir des normes et des lignes directrices en matière d'informatique et de technologies de l'information à l'intention des agences fédérales. Cependant, comme le NIST publie et tient à jour des ressources essentielles pour la gestion des risques liés à la cybersécurité applicables à toute entreprise, de nombreuses organisations du secteur privé considèrent la conformité à ces normes et lignes directrices comme une priorité absolue.

Plusieurs publications spéciales du NIST prévoient des contrôles spécifiques qui obligent les organisations à mettre en place et à appliquer des processus permettant d'identifier, d'évaluer et de gérer les risques liés à la chaîne d'approvisionnement. Ces publications spéciales du NIST comprennent :

Les directives du NIST se complétant mutuellement, les organisations qui adoptent une norme spécifique peuvent établir des correspondances avec les autres, ce qui leur permet de répondre à plusieurs exigences à l'aide d'un cadre unique. La plateforme de gestion des risques tiers de Prevalent peut être utilisée pour répondre aux exigences du NIST en matière de renforcement de la sécurité de la chaîne d'approvisionnement.

Cet article explique chaque publication spéciale du NIST et établit une correspondance entre les capacités courantes et ces cadres.

Contrôles de gestion des risques liés à la chaîne d'approvisionnement dans la norme SP 800-53 Rev. 5

La sécurité de la chaîne d'approvisionnement et les contrôles de confidentialité des données ont évolué à mesure que la norme SP 800-53 a été révisée. Par exemple, dans la norme SP 800-53 Rev. 4, la protection de la chaîne d'approvisionnement était couverte par un groupe de contrôle plus large, celui de l'acquisition de systèmes et de services. Ce contrôle unique répondait à la nécessité d'identifier les vulnérabilités tout au long du cycle de vie d'un système d'information et d'y répondre par des stratégies et des contrôles. Il encourageait les organisations à acquérir et à se procurer des solutions tierces pour mettre en œuvre des mesures de sécurité. Il exigeait également des organisations qu'elles examinent et évaluent les fournisseurs et leurs produits avant de s'engager, afin d'améliorer la visibilité de la chaîne d'approvisionnement.

Reconnaissant le nombre croissant de violations de données liées à des fournisseurs tiers et d'autres incidents de sécurité, la norme SP 800-53 Rev. 5 élargit et affine les directives en matière de sécurité et de confidentialité de la chaîne d'approvisionnement en établissant un tout nouveau groupe de contrôle, SR-Supply Chain Risk Management (gestion des risques liés à la chaîne d'approvisionnement). Elle exige également des organisations qu'elles élaborent et planifient la gestion des risques liés à la chaîne d'approvisionnement en :

  • Utiliser des plans et des politiques formels de gestion des risques pour piloter le processus de gestion de la chaîne d'approvisionnement
  • Mettre l'accent sur la sécurité et la protection de la vie privée en collaborant à l'identification des risques et des menaces et en appliquant des contrôles fondés sur la sécurité et la protection de la vie privée
  • Exiger la transparence des systèmes et des produits (par exemple, le cycle de vie, la traçabilité et l'authenticité des composants)
  • Sensibilisation accrue à la nécessité d'évaluer au préalable les organisations et d'assurer la visibilité des problèmes et des violations.

Comment la norme SP 800-161 Rev. 1 complète la gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement

La norme NIST SP 800-53 est considérée comme le fondement sur lequel reposent tous les autres contrôles de cybersécurité. Avec la norme SP 800-161 Rev. 1, le NIST définit un cadre complémentaire pour encadrer, évaluer, répondre et surveiller les risques liés à la cybersécurité dans la chaîne d'approvisionnement. Ensemble, la norme SP 800-53 et les directives de contrôle supplémentaires de la norme SP 800-161 constituent un cadre complet pour évaluer et atténuer les risques liés aux fournisseurs.

Exigences en matière de gestion des risques liés à la chaîne d'approvisionnement dans le cadre de cybersécurité v2.0

Le Cybersecurity Framework est une autre publication du NIST qui s'applique à la gestion des risques liés aux tiers et à la sécurité de la chaîne d'approvisionnement. Ce cadre s'appuie sur les cadres de sécurité existants, tels que CIS, COBIT, ISA, ISO/IEC et NIST, afin d'éviter d'imposer aux organisations une charge excessive pour répondre aux exigences. NIST CSF 2.0, publié en février 2024, réorganise les contrôles de gestion des risques liés à la chaîne d'approvisionnement dans le cadre d'une nouvelle fonction appelée « Govern ». Les sous-catégories spécifiques de gestion des risques liés à la chaîne d'approvisionnement identifiées dans le CSF comprennent :

  • GV.SC-01 : Un programme, une stratégie, des objectifs, des politiques et des processus de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement sont établis et approuvés par les parties prenantes de l'organisation.
  • GV.SC-02 : Les rôles et responsabilités en matière de cybersécurité pour les fournisseurs, les clients et les partenaires sont établis, communiqués et coordonnés en interne et en externe.
  • GV.SC-03 : La gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement est intégrée à la cybersécurité et à la gestion des risques d'entreprise, à l'évaluation des risques et aux processus d'amélioration.
  • GV.SC-04 : Les fournisseurs sont connus et classés par ordre de priorité en fonction de leur importance.
  • GV.SC-05 : Les exigences relatives à la gestion des risques liés à la cybersécurité dans les chaînes d'approvisionnement sont établies, hiérarchisées et intégrées dans les contrats et autres types d'accords conclus avec les fournisseurs et autres tiers concernés.
  • GV.SC-06 : Une planification et une diligence raisonnable sont effectuées afin de réduire les risques avant de conclure des relations formelles avec des fournisseurs ou d'autres tiers.
  • GV.SC-07 : Les risques posés par un fournisseur, ses produits et services, ainsi que par d'autres tiers sont compris, consignés, classés par ordre de priorité, évalués, traités et surveillés tout au long de la relation.
  • GV.SC-08 : Les fournisseurs concernés et autres tiers sont inclus dans les activités de planification, d'intervention et de rétablissement en cas d'incident.
  • GV.SC-09 : Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées aux programmes de cybersécurité et de gestion des risques d'entreprise, et leur performance est surveillée tout au long du cycle de vie des produits et services technologiques.
  • GV.SC-10 : Les plans de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement comprennent des dispositions relatives aux activités qui ont lieu après la conclusion d'un partenariat ou d'un contrat de service.

Conformité aux directives NIST SP 800-53r5 et NIST 800-161r1 relatives à la cybersécurité de la chaîne d'approvisionnement à l'aide de la plateforme Prevalent

Prevalent peut aider à répondre aux exigences relatives aux tiers énoncées dans la norme NIST SP 800-53r5 « Security and Privacy Controls for Federal Information Systems and Organizations » ( Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations fédéraux ) ainsi que dans la norme NIST 800-161r1 « Cybersecurity Supply Chain Risk Management Practices » (Pratiques de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement) grâce à une plateforme automatisée permettant de gérer le processus d'évaluation des risques liés aux fournisseurs et de déterminer la conformité de ces derniers aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données.

Avec la plateforme de gestion des risques tiers prévalente, vous pouvez :

  • Suivre et analyser en permanence les menaces observables de l'extérieur qui pèsent sur les fournisseurs et autres tiers, et compléter et valider les données de contrôle de sécurité communiquées par les fournisseurs afin de se conformer aux exigences CA-2 (1) Évaluations des contrôles | Évaluations spécialisées, CA-2 (3) Évaluations des contrôles | Exploitation des résultats provenant d'organisations externes et SA-4 (7) Surveillance du système | Connaissance intégrée de la situation.
  • Révéler les cyberincidents impliquant des tiers pour 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages onion, plus de 80 forums à accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de partage de données pour les identifiants divulgués, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités afin de répondre aux exigences CA-7 (3) Surveillance continue | Analyse des tendances, PM-16 Programme de sensibilisation aux menaces, PM-31 Stratégie de surveillance continue, SA-4 (3) Processus d'acquisition | Plan de surveillance continue des contrôles et SI-5 Alertes, avis et directives de sécurité.
  • Identifiez et atténuez rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation afin de vous conformer aux exigences CP-2 (7) Plan d'urgence | Coordination avec les prestataires de services externes, IR-4 (3) Gestion des incidents | Coordination de la chaîne d'approvisionnement, IR-6 (1) Signalement des incidents | Coordination de la chaîne d'approvisionnement et IR-8 Plan d'intervention en cas d'incident.
  • Automatisez la gestion du cycle de vie des contrats afin de garantir que les clauses contractuelles clés relatives à la réponse aux incidents sont en place et que les niveaux de service et les délais de réponse sont gérés de manière à respecter les accords IR-5 (surveillance des incidents ) et SR-8 (notification).
  • Évaluez les contrôles des partenaires de la chaîne d'approvisionnement à l'aide de plus de 750 modèles d'enquête d'évaluation des risques standardisés, notamment pour le NIST, l'ISO et bien d'autres, d'un assistant de création d'enquêtes personnalisées et d'un questionnaire qui met en correspondance les réponses avec toute réglementation ou tout cadre de conformité afin de répondre aux exigences CA-2 (3) Évaluations de sécurité | Organisations externes, RA-1 Politiques et procédures, RA-3 Évaluation des risques, RA-7 Réponse aux risques et SR-6 Évaluations et examens des fournisseurs.
  • Classez et hiérarchisez tous les fournisseurs à l'aide de plusieurs critères afin de répondre aux exigences de l'analyse de criticité RA-9 et de l'inventaire des fournisseurs SR-13.
  • Fournissez un accès instantané à des milliers de profils de risque fournisseur complets et conformes aux normes du secteur, offrant des informations en temps réel sur la sécurité, la réputation et les finances, afin de répondre aux exigences du processus d'acquisition SA-9 et des stratégies, outils et méthodes d'acquisition SR-5.
  • Définissez et documentez votre programme TPRM afin de vous conformer aux politiques et procédures SR-1 et aux contrôles et processus SR-3 relatifs à la chaîne d'approvisionnement.
  • Améliorez continuellement votre programme TPRM et veillez à ce qu'il soit agile et flexible afin de s'adapter au plan de gestion des risques liés à la chaîne d'approvisionnement SR-2.

Conformité au cadre du NIST pour l'amélioration de la cybersécurité des infrastructures critiques
Cadre (CSF) v2.0 Exigences relatives aux tiers

Grâce à la plateforme de gestion des risques tiers prévalente, vous pouvez :

  • Définissez et documentez votre programme de gestion des risques liés aux tiers grâce à des services professionnels spécialisés. Obtenez un plan clair qui tient compte de la stratégie du programme, des rôles et responsabilités, et de l'intégration dans la stratégie globale de gestion des risques de l'entreprise, tout en incorporant les meilleures pratiques pour une gestion de bout en bout des risques liés aux tiers afin de traiter la gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement (GV.SC-01, GV.SC-02, GV.SC-03 et GV.SC-09).
  • Centraliser, profiler, hiérarchiser et noter les risques inhérents à tous les tiers comme première étape cruciale dans les phases d'intégration et de hiérarchisation du cycle de vie des fournisseurs afin de gérer les risques liés à la cybersécurité dans la chaîne d'approvisionnement (GV.SC-04).
  • Centralisez la distribution, la discussion, la conservation et la révision des contrats fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés dans le cadre de la gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement (GV.SC-05).
  • Centralisez et automatisez la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'informations (RFI) dans une solution unique qui permet d'effectuer une vérification préalable à la signature du contrat dans le cadre de la gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement (GV.SC-06).
  • Utilisez une solution complète pour évaluer et surveiller tous les aspects liés à la sécurité de l'information qui concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement afin de gérer les risques liés à la cybersécurité dans la chaîne d'approvisionnement (GV.SC-07).
  • Identifier, réagir, signaler et atténuer l'impact des incidents de sécurité liés aux fournisseurs tiers dans le cadre de la gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement (GV.SC-08).
  • Automatisez les évaluations des contrats et les procédures de départ afin de réduire les risques liés à l'exposition post-contractuelle de votre organisation dans le cadre de la gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement (GV.SC-10).

Prochaines étapes pour la conformité aux normes NIST

Le NIST exige une gestion et un suivi rigoureux des risques liés à la sécurité de la chaîne d'approvisionnement des tiers. Les normes SP 800-53r5, SP 800-161r1 et CSF v2.0 précisent que :

  • une politique de gestion des risques devrait être mise en place
  • les contrôles de sécurité doivent être sélectionnés
  • une politique devrait être codifiée dans les contrats avec les fournisseurs, le cas échéant
  • Les fournisseurs doivent être évalués, gérés et contrôlés conformément aux exigences et aux contrôles.

Prevalent fournit une plateforme unifiée dotée de fonctionnalités conformes aux normes NIST qui vous permettent d'auditer efficacement les contrôles de sécurité des fournisseurs. Pour obtenir la liste complète des exigences NIST en matière de gestion des risques liés à la chaîne d'approvisionnement et découvrir comment les fonctionnalités de Prevalent y répondent, consultez la liste de contrôle NIST relative à la conformité des tiers ou demandez une démonstration dès aujourd'hui. Pour savoir comment la gestion des risques liés aux tiers s'applique à plus de 50 autres réglementations, téléchargez lemanuel de conformité aux cadres de cybersécurité de l' .

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.