Conformité NIST SP 800-171
Protection des informations non classifiées contrôlées (CUI)
Qu’est-ce que la norme NIST SP 800-171 ?
La publication spéciale NIST (SP) 800-171 définit les exigences de sécurité pour protéger les informations non classifiées contrôlées (Controlled Unclassified Information – CUI) dans les systèmes et organisations non fédéraux.
Elle garantit que les sous-traitants et partenaires manipulant des données gouvernementales préservent la confidentialité, l’intégrité et la disponibilité des informations, et elle constitue également la base des exigences CMMC.
Exigences clés de la NIST SP 800-171 :
- AC – Contrôle d’accès : Restreindre l’accès aux utilisateurs autorisés et gérer les droits d’utilisation.
- IA – Identification et authentification : Identifier et authentifier de manière unique les utilisateurs et les équipements.
- AU – Audit et responsabilité : Enregistrer, surveiller et rapporter les activités affectant les CUI.
- SC – Protection des systèmes et des communications : Protéger les données lors du stockage et de la transmission.
- IR – Réponse aux incidents : Détecter, signaler et répondre aux incidents de sécurité.
Comment Visual Guard facilite la conformité NIST SP 800-171 :
Contrôle d’accès basé sur les rôles (RBAC) :
Applique des permissions granulaires basées sur les rôles, départements ou projets afin de garantir que seuls les utilisateurs autorisés accèdent aux CUI.
Authentification forte et multi-facteur (MFA) :
Met en œuvre des politiques d’authentification robustes via mots de passe, MFA et intégration avec Entra ID, Active Directory ou des fournisseurs d’identité fédérés.
Audit et supervision :
Enregistre les accès, les changements de permissions et les opérations sensibles dans des journaux d’audit horodatés et inviolables.
Reporting de conformité :
Génère des rapports prêts pour audit destinés au DoD, aux évaluations CMMC et aux contrôles internes de conformité.
Supervision et alertes en temps réel :
Détecte et traite les activités suspectes ou les tentatives d’accès non autorisées grâce à des alertes configurables.
Intégration avec des fournisseurs d’identité externes :
Permet le Single Sign-On (SSO) entre applications afin de simplifier la gestion des identités et d’améliorer la traçabilité.
Capacités techniques détaillées
Gestion des identités et des accès
- Gestion centralisée des rôles et utilisateurs sur l’ensemble des applications
- Règles d’accès dynamiques et contextuelles (rôle, projet, terminal, localisation, horaire)
- Provisionnement et déprovisionnement automatiques via synchronisation d’annuaires
Authentification et politiques de sécurité
- Prise en charge des mots de passe, de l’authentification Windows, d’Entra ID ou de fournisseurs d’identité fédérés
- Support natif du MFA et du SSO
- Politiques d’accès conditionnel pour réduire les usages non autorisés
Audit et responsabilité
- Journaux d’audit immuables et horodatés
- Journaux exportables pour vérification de conformité
- Intégration avec des solutions SIEM (Splunk, Elastic, etc.)
Supervision et conformité
- Rapports préconfigurés de conformité et de contrôle d’accès
- Alertes en temps réel en cas d’anomalies ou de violations de politiques
- Outils pour la révision périodique et la recertification des droits utilisateurs
Cas d’usage
Protection des CUI dans un environnement de sous-traitant de la défense
Un sous-traitant américain de la défense doit se conformer à la norme NIST SP 800-171 afin de protéger les informations non classifiées contrôlées (CUI) utilisées dans plusieurs systèmes internes et projets.
Comment Visual Guard a aidé :
- Mise en œuvre de restrictions d’accès strictes basées sur les rôles et les projets pour les jeux de données sensibles.
- Application du MFA pour les accès privilégiés et distants aux CUI.
- Surveillance et journalisation de chaque accès et modification de données sensibles.
- Génération de rapports de conformité pour le DoD et les auditeurs externes.
Résultat : Le sous-traitant a sécurisé l’ensemble des CUI, réduit les risques cybersécurité et démontré sa conformité à la NIST SP 800-171, garantissant ainsi son éligibilité continue aux contrats gouvernementaux.