Des solutions complètes et intégrées de gestion des risques sont disponibles pour toutes les normes internationales !

Nos modules d'évaluation des risques participent tous à la mise en correspondance automatique avec les cadres de conformité mondiaux, ce qui vous permet d'économiser du temps et des problèmes. Mieux encore, nos notations, rapports et tableaux de bord en temps réel vous aident à rester à jour et en conformité.

Créez facilement votre propre module de risque ou utilisez notre inventaire préconfiguré couvrant :

Publication spéciale NIST 800-37

La publication spéciale NIST 800-37 décrit le cadre de gestion des risques (RMF) et fournit des lignes directrices pour l'application du RMF aux systèmes d'information et aux organisations. Le RMF fournit un processus discipliné, structuré et flexible pour la gestion des risques de sécurité et de confidentialité qui comprend la catégorisation de la sécurité des informations, la sélection, la mise en œuvre et l'évaluation des contrôles, les autorisations de contrôle commun et de système et la surveillance continue. Le RMF comprend des activités pour préparer les organisations à exécuter le cadre à des niveaux de gestion des risques appropriés. Le RMF favorise également la gestion des risques en temps quasi réel et l'autorisation continue du système d'information et du contrôle commun par la mise en œuvre de processus de surveillance continue ; fournit aux cadres supérieurs et aux dirigeants les informations nécessaires pour prendre des décisions efficaces et rentables en matière de gestion des risques concernant les systèmes prenant en charge leurs missions et leurs fonctions commerciales ; et intègre la sécurité et la confidentialité dans le cycle de vie du développement du système. L'exécution des tâches du RMF relie les processus essentiels de gestion des risques au niveau du système aux processus de gestion des risques au niveau de l'organisation. En outre, il établit la responsabilité et l'obligation de rendre compte des contrôles mis en œuvre dans les systèmes d'information d'une organisation et hérités par ces systèmes.

Les modules comprennent:

  • Publication spéciale NIST 800-37 - Cadre de gestion des risques pour les systèmes d'information et les organisations

Révisions de la norme NIST 800-37

La norme NIST 800-37 est une publication de l'Institut national des statistiques (NIST) qui propose une approche systématique de la gestion des risques liés à la sécurité et à la confidentialité des systèmes d'information. La révision 1 s'applique à l'utilisation de cette approche pour les systèmes d'information fédéraux. Elle inclut certains processus de sécurité, comme la sélection des contrôles et la catégorisation de la sécurité.

La révision 2 s’appuie sur la révision 1 avec des contrôles de sécurité plus robustes et plus complets qui intègrent des processus de gestion des risques liés à la confidentialité, entre autres pratiques. 

Dans l’ensemble, la norme NIST 800-37 vise à appliquer le cadre de gestion des risques (RMF) du NIST tout au long du cycle de vie du système d’information.

Gérer et automatiser la conformité NIST

Les révisions de la norme NIST 800-37 s'inscrivent dans un processus global en sept étapes visant à évaluer et à renforcer méthodiquement la sécurité des systèmes informatiques d'une organisation, principalement dans les organismes fédéraux. Cette approche progressive permet d'évaluer les menaces et vulnérabilités potentielles, de hiérarchiser et de mettre en œuvre les correctifs, et de surveiller en permanence les mesures de sécurité. Ce cadre permet à l'organisation d'utiliser des outils d'automatisation pour mieux gérer des tâches telles que l'évaluation et la surveillance des contrôles de sécurité.

Gérant risques de cybersécurité Cela peut être fait plus efficacement en combinant la norme NIST 800-37 et des outils d'automatisation pour rester en conformité.

QFP

Une stratégie de cybersécurité robuste constitue une approche proactive pour assurer la continuité des activités. Être capable d'identifier les vulnérabilités et menaces potentielles, de hiérarchiser leur impact et de les traiter en amont contribue grandement à garantir la continuité des activités. Les étapes de la norme NIST 800-30 contribuent également à une reprise plus rapide en cas de violation de données.

La norme NIST 800-30 simplifie et systématise les étapes d'un programme de gestion des risques. L'objectif est d'intégrer une approche de gestion des risques tout au long du cycle de vie d'un système. Ces étapes touchent tous les aspects de la gestion des risques : planification, processus, contrôles, accès et responsabilités. Une compréhension active crée une culture de gestion des risques.

La documentation est essentielle pour consigner les menaces, les mesures d'atténuation et la réflexion qui sous-tend les décisions clés. Ces documents garantissent transparence et responsabilisation. À terme, ils aident également une organisation à suivre ses progrès et constituent une ressource pour les futures évaluations de la mise en œuvre des contrôles de sécurité.

La mise en œuvre se déroule en sept étapes : 

  • Préparer : établir des priorités 
  • Catégoriser : classer les systèmes et les impacts potentiels sur l'organisation
  • Sélectionnez : les contrôles de sécurité adaptés au système et au niveau de risque
  • Mettre en œuvre : des contrôles sélectionnés avec une documentation appropriée
  • Évaluer : s'assurer que les contrôles fonctionnent correctement
  • Autoriser : approuver l'utilisation du système
  • Surveiller : surveiller en permanence pour garantir la conformité des contrôles

L'acceptation et le transfert du risque sont deux stratégies de réponse courantes. L'acceptation du risque consiste à reconnaître le risque tout en estimant qu'il se situe dans un niveau acceptable. Elle ne justifie pas le coût de mesures d'atténuation.

Le transfert de risque reconnaît un risque et en confie la gestion à un tiers, comme un assureur. On le retrouve dans certains secteurs comme la construction ou la finance.

Qu'attendez-vous?

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

Téléchargez notre brochure d'entreprise.

À propos de la norme

La publication spéciale 800-37 du NIST, appelée Cadre de gestion des risques (RMF), fournit un processus structuré de gestion des risques de sécurité et de confidentialité pour les systèmes d'information et les organisations fédérales. Elle décrit un processus en sept étapes pour garantir la sécurité et la conformité des systèmes aux normes fédérales. Vous trouverez ci-dessous un résumé concis des exigences de conformité de la norme NIST 800-37, révision 2 (publiée en décembre 2018), conçu pour fournir une compréhension claire des mesures à prendre par les organisations pour se conformer.

Aperçu des exigences de conformité à la norme NIST 800-37

Le RMF s'applique aux agences fédérales, aux sous-traitants et aux organisations qui traitent des données fédérales. Il met l'accent sur l'intégration de la sécurité, de la confidentialité et de la gestion des risques dans le cycle de développement des systèmes. La conformité implique la mise en œuvre des étapes et exigences suivantes :

1. Préparer

  • Objectif:Établir une stratégie de gestion des risques et préparer l’organisation à la mise en œuvre du RMF.
  • Exigences:
    • Identifier les rôles et responsabilités en matière de gestion des risques au niveau organisationnel et systémique.
    • Élaborer une stratégie de gestion des risques, y compris des approches de tolérance et d’évaluation des risques.
    • Effectuer des évaluations des risques au niveau de l’organisation et du système pour identifier les menaces, les vulnérabilités et les impacts.
    • Établir une stratégie de sécurité et de confidentialité au niveau du système, y compris des processus de catégorisation.
    • Assurer l’intégration des exigences de sécurité et de confidentialité dans l’architecture d’entreprise et les processus d’acquisition.
    • Maintenir un inventaire des systèmes d’information et de leurs connexions.
    • Communiquer les activités du RMF aux parties prenantes et établir des structures de gouvernance.

2. Catégoriser

  • Objectif:Catégorisez le système en fonction de l’impact potentiel d’une violation de sécurité ou de confidentialité.
  • Exigences:
    • Catégorisez le système à l’aide des normes FIPS 199 (impact faible, modéré ou élevé) en fonction de la confidentialité, de l’intégrité et de la disponibilité.
    • Documentez la catégorisation dans un rapport de catégorisation de sécurité.
    • Tenez compte des impacts sur la confidentialité à l’aide des contrôles de confidentialité NIST SP 800-53B.
    • Examiner et approuver la catégorisation par le propriétaire du système et le responsable autorisé (AO).

3 Sélectionner

  • Objectif: Sélectionnez les contrôles de sécurité et de confidentialité appropriés en fonction de la catégorisation du système.
  • Exigences:
    • Sélectionnez un ensemble de contrôles de base du NIST SP 800-53 (Rév. 5) adapté au niveau d'impact du système.
    • Adaptez les contrôles pour répondre aux risques spécifiques du système, aux besoins de la mission ou aux environnements opérationnels.
    • Envisagez des superpositions (ensembles de contrôles prédéfinis pour des technologies ou des environnements spécifiques, par exemple, les systèmes cloud).
    • Documentez les contrôles sélectionnés dans un Plan de sécurité et de confidentialité (par exemple, Plan de sécurité du système, SSP).
    • Inclure des stratégies de surveillance continue dans le plan.

4. Mettre en œuvre

  • Objectif:Implémenter les contrôles sélectionnés dans le système et son environnement.
  • Exigences:
    • Déployer les contrôles techniques, administratifs et physiques tels que spécifiés dans le SSP.
    • Documentez les détails de mise en œuvre, y compris la manière dont les contrôles sont appliqués (par exemple, configurations, politiques).
    • Assurez-vous que les contrôles traitent à la fois de la sécurité (par exemple, contrôle d’accès, cryptage) et de la confidentialité (par exemple, minimisation des données, consentement).
    • Intégrer les contrôles dans le cycle de vie du développement du système et dans les processus opérationnels.

5. Évaluer

  • Objectif:Évaluer l’efficacité des contrôles mis en œuvre.
  • Exigences:
    • Élaborer un plan d’évaluation conforme aux procédures d’évaluation NIST SP 800-53A.
    • Effectuer des évaluations indépendantes par des évaluateurs qualifiés pour vérifier la mise en œuvre et l’efficacité du contrôle.
    • Contrôles de test en utilisant des méthodes appropriées (par exemple, entretiens, examens de documents, tests techniques).
    • Documenter les résultats dans un Rapport d'évaluation de la sécurité (SAR) et, le cas échéant, un Rapport d'évaluation de la confidentialité.
    • Identifier les lacunes et élaborer une Plan d'action et jalons (POA&M) pour combler les lacunes.

6. Autoriser

  • Objectif:Obtenir l’autorisation d’exploiter (ATO) le système en fonction de l’acceptation des risques.
  • Exigences:
    • Élaborer un dossier d’autorisation de sécurité et de confidentialité, comprenant :
      • Plan de sécurité du système (PSS)
      • Rapport d'évaluation de la sécurité (SAR)
      • Plan d'action et jalons (POA&M)
    • Soumettez le dossier à l’agent d’autorisation (AO) pour examen.
    • L'AO évalue les risques résiduels et détermine s'ils sont acceptables.
    • Émettre une ATO, un refus d’autorisation ou une autorisation limitée avec conditions.
    • S’assurer que les décisions d’autorisation sont documentées et communiquées aux parties prenantes.

7. moniteur

  • Objectif:Surveiller en permanence le système pour garantir la conformité et la gestion des risques en continu.
  • Exigences:
    • Mettre en œuvre une stratégie de surveillance continue telle que décrite dans le SSP.
    • Surveillez régulièrement les contrôles de sécurité et de confidentialité (par exemple, via des outils automatisés, des audits ou des analyses).
    • Signaler les changements dans l’état du système, les nouveaux risques ou les incidents à l’AO et aux autres parties prenantes.
    • Mettez à jour le SSP, le SAR et le POA&M selon les besoins pour refléter les changements dans le système ou l'environnement.
    • Effectuer des réévaluations périodiques et des réautorisations selon les besoins (par exemple, tous les 3 ans ou après des changements importants).

Considérations supplémentaires en matière de conformité

  • Documentation: Maintenir une documentation complète pour toutes les étapes du RMF, y compris les évaluations des risques, les sélections de contrôle et les décisions d’autorisation.
  • Intégration aux normes fédérales:Assurer l’alignement avec les normes connexes, telles que :
    • FIPS 199/200:Pour la catégorisation du système et les exigences minimales de sécurité.
    • NISTSP 800-53:Pour la sélection du contrôle de sécurité et de confidentialité.
    • FedRAMP (si basé sur le cloud) : exigences supplémentaires pour les fournisseurs de services cloud.
  • Formation: Assurez-vous que le personnel impliqué dans les processus RMF est formé aux pratiques de sécurité et de confidentialité.
  • Intégration de la confidentialité:Intégrer les exigences de confidentialité (par exemple, NIST SP 800-53B) pour assurer la protection des données et la conformité aux lois telles que la FISMA et la loi sur la protection de la vie privée.
  • Gestion des risques de la chaîne d'approvisionnement: Traitez les risques liés aux composants ou services tiers, comme souligné dans la révision 2.
  • Contrôle continu:Utilisez des outils tels que les systèmes de gestion des informations et des événements de sécurité (SIEM) pour suivre la conformité en temps réel.

Principaux livrables en matière de conformité

  • Plan de sécurité du système (PSS): Détaille le système, sa catégorisation et les contrôles sélectionnés.
  • Rapport d'évaluation de la sécurité (SAR):Résultats de l'évaluation du contrôle des documents.
  • Plan d'action et jalons (POA&M):Décrit les plans de correction des déficiences de contrôle.
  • Paquet d'autorisation:Combine SSP, SAR et POA&M pour l'approbation de l'ATO.
  • Rapports de surveillance continue:Fournir des preuves continues de conformité.

Qui doit se conformer ?

  • Les agences fédérales et leurs systèmes.
  • Entrepreneurs ou organisations exploitant des systèmes qui traitent, stockent ou transmettent des données fédérales.
  • Fournisseurs de services cloud dans le cadre de FedRAMP (le cas échéant).

Conséquences de la non-conformité

  • Refus ou révocation de l'ATO, empêchant le fonctionnement du système.
  • Risque accru de violations de la sécurité ou de la confidentialité.
  • Pénalités potentielles en vertu de la FISMA ou d’autres réglementations fédérales pour les agences fédérales ou les entrepreneurs.

Ressources pour la conformité

  • NIST SP 800-37 Rév. 2:Orientation principale du RMF.
  • NIST SP 800-53 Rév. 5:Catalogue des contrôles de sécurité et de confidentialité.
  • Norme NIST SP 800-53A:Procédures d’évaluation des contrôles.
  • FIPS 199/200: Normes de catégorisation et exigences minimales de sécurité.
  • Directives FedRAMP (le cas échéant) : Pour les systèmes cloud.