La norme 800-53 Rev. 5 du National Institute of Standards and Technology (NIST) est un ensemble complet de contrôles de sécurité fondés sur les meilleures pratiques que de nombreuses organisations utilisent comme cadre pour leurs programmes de sécurité interne. La norme comporte plus de 1 000 contrôles différents organisés en familles de contrôles. Un tel éventail de contrôles disponibles peut rapidement devenir insurmontable pour les équipes de sécurité, de gestion des risques et d'audit qui doivent déterminer quels sont les contrôles les plus importants sur lesquels se concentrer. Lorsque vous êtes chargé d'évaluer non seulement les contrôles internes de votre propre organisation, mais aussi ceux de vos vendeurs et fournisseurs tiers, la tâche peut devenir encore plus complexe.
Dans cet article, nous expliquons comment organiser les contrôles en fonctions, puis nous identifions les 15 contrôles NIST les plus essentiels pour évaluer le risque de sécurité d'un fournisseur tiers ou d'un vendeur.
Questions critiques pour organiser les contrôles NIST 800-53 pour la gestion des risques de la chaîne d'approvisionnement
Pour déterminer quels sont les contrôles de cybersécurité NIST les plus applicables à la gestion du risque d'approvisionnement, commencez par répondre aux questions suivantes, classées dans l'une des cinq fonctions du cadre NIST :
- Identifier: Le fournisseur a-t-il identifié ses systèmes et composants critiques dans un cadre de gestion des risques ? C'est la base de l'élaboration d'un cadre de cybersécurité.
- Protéger: Le fournisseur a-t-il défini et mis en œuvre des contrôles pour gérer l'accès et la visibilité des systèmes critiques ? Il est essentiel de limiter ou de contenir les menaces par une gestion proactive des contrôles.
- Détecter: Le fournisseur a-t-il une visibilité sur les menaces nouvelles et émergentes ? Il est important d'identifier les événements (par exemple, les incidents, les faiblesses et les menaces) qui pourraient en fin de compte affecter votre organisation.
- Répondre: Le fournisseur peut-il identifier et gérer les incidents et les menaces ? Il s'agit de prendre des mesures pour contenir et minimiser l'impact des incidents de cybersécurité.
- Récupération: Le fournisseur a-t-il la capacité de rétablir les systèmes et services critiques ? Cette question permet de déterminer si le tiers peut restaurer les capacités ou les services touchés par un événement de cybersécurité.
Les 15 principaux contrôles NIST pour la gestion des risques liés à la chaîne d'approvisionnement
Le tableau suivant résume les 15 contrôles clés du NIST qui répondent aux questions ci-dessus, par fonction. Veuillez noter qu'il ne s'agit que d'un minimum de contrôles. Vous devez consulter votre auditeur pour les valider.
| Fonction | NIST 800-53 Contrôle |
|---|---|
| Identifier
Le fournisseur a-t-il identifié ses systèmes et composants critiques dans un cadre de gestion des risques ? |
RA-3 : Évaluation des risques - Effectuer des évaluations des risques, documenter les résultats, revoir et mettre à jour les évaluations à des fréquences définies.
SA-4 : Processus d'acquisition - Identifier les contrôles de sécurité et de respect de la vie privée dans le cadre de l'acquisition de nouveaux systèmes. CM-8 : Inventaire des composants du système - Élaborer et documenter un inventaire des composants du système qui reflète fidèlement les systèmes. SR-2 : Plan de gestion des risques - Élaborer un plan de gestion des risques de la chaîne d'approvisionnement. |
| Protéger
Le fournisseur a-t-il défini et mis en œuvre des contrôles pour gérer l'accès aux systèmes critiques et la visibilité sur ceux-ci ? |
SC-7 : Protection des frontières - Surveiller et contrôler les communications aux interfaces externes et internes gérées.
IA-2 : Identification et autorisation - Identifier et authentifier les utilisateurs de manière unique ; autorisation approuvée pour l'accès logique. AT-2 : Formation et sensibilisation - Les organisations doivent former les utilisateurs des systèmes à la sécurité et à la protection de la vie privée. CM-3 : Contrôle des modifications - Déterminer et documenter les types de modifications à apporter aux systèmes, enregistrer les modifications, les contrôler et les réviser. AC-3 : Application des règles d'accès - Appliquer les autorisations approuvées pour l'accès logique aux informations et aux ressources du système sur la base des règles de contrôle d'accès. |
| Détecter
Le fournisseur a-t-il une visibilité sur les menaces nouvelles et émergentes ? |
RA-5 : Surveillance et analyse de la vulnérabilité - Surveiller et rechercher les vulnérabilités des systèmes et des applications hébergées.
SI-4 : Surveillance des systèmes - Les systèmes doivent être surveillés afin de détecter les attaques et les indicateurs d'attaques potentielles. AU-2 : Enregistrement des événements - Identifier les types d'événements que les systèmes sont capables d'enregistrer. CP-2 : Planification des mesures d'urgence - Les organismes doivent tester le plan d'urgence pour les systèmes à l'aide de tests définis pour garantir l'efficacité du plan. CP-4 : Tests d'urgence - Tester l'efficacité du plan d'urgence pour les systèmes à l'aide de tests définis. |
| Réagir et récupérer
Le fournisseur peut-il identifier et gérer les incidents et les menaces ? A-t-il la capacité de récupérer les systèmes et services critiques ? |
IR-4 : Traitement et réponse aux incidents - Les organisations doivent mettre en œuvre une capacité de traitement des incidents, alignée sur un plan de réponse aux incidents. |
Comment mettre en œuvre les 15 principaux contrôles NIST pour la gestion des risques liés à la chaîne d'approvisionnement ?
L'audit des contrôles NIST ne se limite pas à l'identification des contrôles. Pour en savoir plus sur la mise en pratique de ces contrôles NIST, téléchargez notre note d'information, Les 15 principaux contrôles NIST de gestion des risques de la chaîne d'approvisionnement, et assistez à notre webinaire à la demande du même nom !
Prêt à aller plus loin ? Consultez la liste de contrôle de la conformité des tiers du NIST, qui offre un aperçu complet de la manière dont les pratiques de gestion des risques des tiers correspondent aux recommandations énoncées dans les documents NIST 800-53, NIST 800-161 et NST CSF.
Contactez Prevalent dès aujourd'hui pour une évaluation gratuite de la maturité ou demandez une démonstration
pour déterminer comment vos politiques SCRM actuelles se situent par rapport à ces contrôles critiques du NIST.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
