Le catalogue NIST 800-53-R5
Le référentiel 800-53 est un document important produit et mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et de la sécurité associée. C’est aussi un document central pour les certifications de sécurité Cloud de type FedRamp. Au-delà des Etats-Unis, ce référentiel est beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework et du référentiel CIS.
Les fondamentaux
La notion de « due diligence » est centrale en sécurité et dans les mécanismes de conformité. L’idée fondamentale est de s’appuyer sur une véritable démarche risques plutôt que d’appliquer des check-lists « à l’aveugle » inadaptées au contexte métiers des systèmes que l’on doit sécuriser. Par ailleurs, les notions de Data Privacy prenant de plus en plus d’importance, une famille complète de mesures consacrées à la protection des données à caractère personnel a été ajoutée dans la version R5 du NIST 800-53. Cela rejoint les évolutions des exigences légales dans ce domaine, que ce soit le RGPD européen ou la CCPA (California Consumer Privacy Act) californienne et les référentiels spécifiques comme la norme international ISO 27701 ou le document du NIST dédié à cette question.
Le catalogue 800-53 se situe à la deuxième étape du cycle de sécurisation qui en comprend 6 : catégorisation du système en fonction des objectifs de sécurité, sélection, mise en œuvre, évaluation des mesures de sécurité, homologation et supervision. C’est donc une utilisation comparable au référentiel ISO 27002 pour la déclaration d’applicabilité (Statement of Applicability » de l’SO 27001 mais avec plus de détails et de mesures de sécurité.
Utilisation du catalogue
Les mesures sont classées par ordre alphabétique suivant 20 familles référencées dans le tableau ci-dessous. La version en cours (R5) comprend deux domaines supplémentaires SR et PT : gestion des risques liés aux sous-traitant et protection des traitements de données à caractère personnel.
Source : NIST
Chaque mesure de sécurité se présente sous cette forme :
- Identifiant: le domaine et le numéro de la mesure de sécurité.
- Nom de la mesure.
- Control: description de la mesure comprenant les paramètres d’implémentation à définir par l’entité.
- Discussion : recommandations d’implémentation et lien avec d’autres mesures.
- Control Enhancements : description des mesures complémentaires, numérotées. Elles sont sélectionnées en fonction du niveau de protection souhaité.
- References : récapitulatif des exigences légales et réglementaires de l’entité.
Le critère « Priority and Baseline Allocation » qui permettait (dans la version R4 du 800-53) de définir une priorité et un niveau de protection « à la carte » par la sélection des mesures complémentaires a été retiré de la version actuelle.
Trois approches sont désormais possibles pour délimiter le périmètre et mettre en œuvre les mesures du catalogue :
- Common (“inheritable”). Cette approche concerne toutes les mesures globales qui bénéficient à tous les systèmes. Par exemple, la plupart des mesures de sécurité physique.
- System-Specific. C’est le propriétaire du système qui doit mettre en œuvre la mesure de sécurité, spécifique à son système.
- Il faut différencier dans cette approche ce qui est du ressort du responsable du système et ce qui est commun à tous les systèmes. Par exemple, une mesure de type plan de secours pourra contenir une partie commune et une autre limitée à un environnement réseau.
PROSICA est en mesure de vous accompagner dans vos besoins de mise en conformité, par exemple pour la mise en œuvre des certifications ISO 27001 et Hébergeurs Données de Santé, des attestations ISEE 3402 SOC (type I et II) 1, 2, 3 et Cybersecurity ou encore dans le cadre des réglementations sur les activités d’importance vitales et les FSN (fournisseurs de Services Numériques).
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
ISO27017, RéférentielNIST, ISO27001, NIST, FISMA, NIST800-53, CybersecurityFramework