Publication spéciale NIST 800-30

La publication spéciale 800-30 du NIST fournit des conseils pour la conduite d'évaluations des risques des systèmes d'information et des organisations fédérales, en amplifiant les conseils de la publication spéciale 800-39. Les évaluations des risques, réalisées aux trois niveaux de la hiérarchie de gestion des risques, font partie d'un processus global de gestion des risques, fournissant aux cadres supérieurs les informations nécessaires pour déterminer les mesures appropriées à prendre en réponse aux risques identifiés. En particulier, elle fournit des conseils pour la réalisation de chacune des étapes du processus d'évaluation des risques (c'est-à-dire la préparation de l'évaluation, la conduite de l'évaluation, la communication des résultats de l'évaluation et la maintenance de l'évaluation) et la manière dont les évaluations des risques et les autres processus de gestion des risques organisationnels se complètent et s'informent mutuellement.

La publication spéciale 800-30 fournit également des conseils aux organisations sur l'identification des facteurs de risque spécifiques à surveiller en permanence, afin qu'elles puissent déterminer si les risques ont atteint des niveaux inacceptables (c'est-à-dire dépassant la tolérance au risque organisationnelle) et si des mesures différentes doivent être prises.

Les modules comprennent:

  • Publication spéciale NIST 800-30 – Guide de gestion des risques pour les systèmes informatiques

Méthodologie d'évaluation des risques 800-30

La norme NIST 800-30 s'inscrit dans un processus global décrivant les étapes spécifiques nécessaires à l'évaluation des risques liés à son système informatique par une organisation. Elle est généralement utilisée dans les systèmes d'information fédéraux. Ce guide détaillé explique comment mener l'évaluation, identifier les actifs, les vulnérabilités ou les menaces, et évaluer leur impact potentiel sur l'organisation. 

Ce guide constitue une feuille de route pour l'évaluation. Il aide l'organisation à s'y préparer, à en mener chaque étape, puis à communiquer efficacement les résultats dans les rapports d'évaluation des risques. Il permet de mieux évaluer les contrôles de sécurité existants et les améliorations nécessaires.

Cette méthodologie permet de rationaliser ce qui peut être un processus complexe, en garantissant que les étapes d’une analyse des risques sont effectuées correctement.

Pourquoi nous choisir

Continuum GRC est un expert de premier plan en gestion des risques (et tout ce qui l'entoure). Nous accompagnons les entreprises nationales et internationales pour les aider à mieux appréhender la complexité des différentes évaluations, réglementations et exigences de conformité. Nous maîtrisons parfaitement la norme NIST 800-30 et aidons les équipes d'évaluation des risques à l'utiliser efficacement. Nous vous aiderons à mieux identifier et prioriser les mesures de réponse aux risques au sein de votre organisation, et à créer des rapports et une documentation efficaces. Forts de notre expérience auprès de nombreuses organisations fédérales de haut niveau, nous vous faisons gagner du temps et des ressources pour cette étape clé.

QFP

Réaliser une évaluation des risques peut s'avérer complexe. De nombreuses étapes doivent être traitées dans un ordre précis. La norme NIST SP 800-30 détaille chaque étape, garantissant ainsi un processus méthodique et rigoureux. Il s'agit d'une feuille de route pour garantir la sécurité de votre système informatique lors du traitement des données sensibles.

La norme NIST SP 800-30 offre aux organisations une méthodologie structurée pour réaliser des évaluations efficaces des risques de leurs systèmes d'information. Grâce à une méthode cohérente pour identifier, analyser et hiérarchiser les risques pesant sur leurs données sensibles, elle améliore la prise de décision et les dépenses en matière de gestion des risques. Les équipes savent où allouer proactivement leurs ressources et leur attention.

L'objectif est de fournir aux organisations une approche structurée pour l'évaluation des risques liés à leurs systèmes informatiques. Elle commence par la définition des éléments nécessaires à la préparation de l'évaluation, comme le périmètre et les objectifs. Elle accompagne l'équipe tout au long de la réalisation de l'évaluation et de l'identification des menaces. Elle permet de documenter efficacement les résultats en vue de leur atténuation et, enfin, d'établir une surveillance continue.

Diverses méthodes peuvent être utilisées pour la norme NIST 800-30. Analyse de données quantitatives ou qualitatives, analyse coûts-avantages, données historiques, matrices de risques, analyse des vulnérabilités et tests de pénétration sont autant d'outils disponibles. La norme NIST 800-30 décrit et recommande différents outils en fonction des objectifs.

Il est important de commencer par définir clairement le périmètre et l'objectif de l'évaluation. Quels systèmes, données et sites sont concernés ? C'est en commençant par là que l'utilisation de la norme NIST 800-30 sera la plus efficace. Continuum GRC peut également aider votre organisation à traverser ce processus de manière plus efficace.

Qu'attendez-vous?

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

Téléchargez notre brochure d'entreprise.

À propos de la norme

Publication spéciale 800-30 du NIST, intitulée « Guide pour la réalisation d'évaluations des risques », Fournit un cadre pour l'évaluation des risques des systèmes d'information et des organisations fédérales. Il s'inscrit dans le Cadre de gestion des risques (RMF) du NIST et est conforme à la norme NIST SP 800-53. La conformité à la norme NIST 800-30 ne se résume pas à une liste d'exigences obligatoires, mais plutôt à l'adoption d'un processus structuré d'identification, d'évaluation et de gestion des risques pour les systèmes d'information. Vous trouverez ci-dessous un aperçu des principaux éléments et étapes de la norme NIST 800-30 que les organisations, en particulier les agences fédérales ou celles soumises à la réglementation fédérale, doivent suivre pour se conformer :

Exigences clés de conformité pour la norme NIST 800-30

  1. Objectif et portée de l'évaluation des risques:

    • Objectif:Effectuer des évaluations des risques pour identifier les risques pour les opérations organisationnelles, les actifs, les individus et les autres organisations résultant du fonctionnement des systèmes d’information.
    • Applicabilité: S'applique aux agences fédérales, aux entrepreneurs et aux organisations gérant les systèmes d'information fédéraux. Les organisations non fédérales peuvent également l'adopter pour une gestion rigoureuse des risques.
    • Intégration avec RMF:Les évaluations des risques doivent être conformes aux étapes RMF du NIST (catégoriser, sélectionner, mettre en œuvre, évaluer, autoriser, surveiller) conformément à la norme NIST SP 800-37.

  2. Processus d'évaluation des risques: La norme NIST 800-30 décrit un processus d'évaluation des risques en quatre étapes que les organisations doivent suivre :

    Étape 1 : Préparez-vous à l'évaluation des risques

    • Définir l’objectif, la portée et les limites de l’évaluation des risques (par exemple, des systèmes, des processus ou des actifs spécifiques).
    • Identifier le contexte organisationnel, y compris la mission, les objectifs et la tolérance au risque.
    • Établir des hypothèses et des contraintes (par exemple, sources de menaces, vulnérabilités et probabilité).
    • Déterminer l’approche d’évaluation des risques (qualitative, quantitative ou hybride).
    • Identifier les rôles et les responsabilités des parties prenantes (par exemple, les évaluateurs des risques, les propriétaires de systèmes, les responsables de la sécurité).

    Étape 2 : Réaliser l'évaluation des risques

    • Identifier les sources de menaces: Cataloguez les menaces potentielles (par exemple, conflictuelles, environnementales, erreurs humaines) à l'aide de sources telles que NIST SP 800-30 Annexe D ou des renseignements sur les menaces.
    • Identifier les vulnérabilités:Évaluer les faiblesses du système que les menaces pourraient exploiter (par exemple, les mauvaises configurations, les logiciels obsolètes).
    • Déterminer la probabilité et l'impact:Évaluer la probabilité qu'une menace exploite une vulnérabilité et l'impact potentiel (par exemple, faible, modéré, élevé) à l'aide des matrices de risques du NIST 800-30 (annexes G et H).
    • Calculer le risque:Combinez la probabilité et l’impact pour déterminer le niveau de risque (par exemple, faible, modéré, élevé) pour chaque paire menace-vulnérabilité.
    • Conclusions du document:Enregistrez tous les risques identifiés, y compris les événements de menace, les vulnérabilités, la probabilité, l’impact et les niveaux de risque.

    Étape 3 : Communiquer les résultats

    • Partager les résultats de l’évaluation des risques avec les parties prenantes concernées (par exemple, les propriétaires du système, les responsables de l’autorisation).
    • Fournissez des rapports clairs et exploitables qui incluent les niveaux de risque, les impacts potentiels et les mesures d’atténuation recommandées.
    • Assurez-vous que la communication est conforme aux exigences de gouvernance et de reporting de l’organisation.

    Étape 4 : Maintenir l’évaluation des risques

    • Surveillez les risques en permanence pour tenir compte des changements dans les menaces, les vulnérabilités ou les configurations du système.
    • Mettez à jour l’évaluation des risques périodiquement ou lorsque des changements importants se produisent (par exemple, de nouvelles menaces, des mises à niveau du système).
    • Intégrer les résultats dans les processus de gestion des risques en cours de l'organisation (par exemple, plan d'action et jalons [POA&M]).

  3. Modèle et cadre de risque:

    • Adoptez le modèle de risque NIST 800-30, qui définit le risque comme une fonction de menace, de vulnérabilité, de probabilité et d’impact.
    • Utiliser une terminologie et des méthodologies cohérentes telles que décrites dans la publication pour garantir la répétabilité et la comparabilité.
    • S’aligner sur la tolérance au risque organisationnelle et sur la stratégie de gestion des risques.

  4. Documentation et rapports:

    • Maintenir une documentation détaillée du processus d’évaluation des risques, y compris les méthodologies, les sources de données et les hypothèses.
    • Produire un rapport d’évaluation des risques qui comprend :
      • Résumé des risques et de leur gravité.
      • Recommandations pour l’atténuation des risques (par exemple, contrôles de sécurité du NIST SP 800-53).
      • Preuves à l’appui (par exemple, données sur les menaces et les vulnérabilités).
    • Assurez-vous que la documentation est conforme aux exigences fédérales, telles que celles de la FISMA (Federal Information Security Modernization Act).

  5. Intégration avec les contrôles de sécurité:

    • Utiliser les résultats de l’évaluation des risques pour éclairer la sélection et la mise en œuvre des contrôles de sécurité du NIST SP 800-53.
    • Assurez-vous que les contrôles répondent aux risques identifiés et sont adaptés à la catégorisation de sécurité du système (par exemple, faible, modéré, élevé selon FIPS 199).
    • Valider l’efficacité du contrôle par des tests et une surveillance.

  6. Rôles et responsabilités:

    • Attribuer des rôles clairs pour la conduite et la supervision de l’évaluation des risques (par exemple, responsable des risques, responsable de la sécurité des systèmes d’information, responsable de l’autorisation).
    • Assurez-vous que le personnel est formé aux méthodologies NIST 800-30 et aux pratiques d’évaluation des risques.

  7. Conformité aux réglementations fédérales:

    • Pour les agences fédérales, la conformité à la norme NIST 800-30 est obligatoire en vertu de la FISMA, qui exige des évaluations périodiques des risques pour les systèmes d'information.
    • Les entrepreneurs ou fournisseurs soutenant les systèmes fédéraux doivent s’aligner sur la norme NIST 800-30 dans le cadre de leurs obligations contractuelles.
    • Assurez-vous que les évaluations des risques soutiennent les plans de sécurité du système (SSP) et les processus d’autorisation d’exploitation (ATO).

  8. Flexibilité et évolutivité::

    • Adaptez le processus d’évaluation des risques à la taille, à la complexité et au profil de risque de l’organisation.
    • Appliquer la norme NIST 800-30 à différents niveaux (organisation, mission/processus métier ou niveau du système d’information).

Considérations supplémentaires

  • Sources de menaces et de vulnérabilités:Utilisez des sources crédibles pour les données sur les menaces et les vulnérabilités, telles que la base de données nationale sur les vulnérabilités (NVD) du NIST, les flux de renseignements sur les menaces ou les données historiques sur les incidents.
  • Contrôle continu:Intégrer les évaluations des risques dans une stratégie de surveillance continue pour faire face à l’évolution des menaces et des vulnérabilités.
  • Outils et automatisation:Bien que la norme NIST 800-30 n'impose pas d'outils spécifiques, les organisations peuvent utiliser des outils automatisés de gestion des risques (par exemple, des plateformes GRC) pour rationaliser le processus, à condition qu'ils s'alignent sur la méthodologie NIST.
  • Interdépendances: Tenez compte des risques liés aux systèmes interconnectés, aux fournisseurs tiers ou aux chaînes d’approvisionnement.

Conséquences de la non-conformité

Le non-respect de la norme NIST 800-30 pour les systèmes fédéraux peut entraîner :

  • Non-conformité à la FISMA ou à d’autres réglementations fédérales.
  • Refus ou révocation d'un ATO.
  • Risque accru d’incidents de sécurité en raison de vulnérabilités non traitées.
  • Constatations d’audit potentielles ou sanctions pour les agences fédérales ou les entrepreneurs.

Ressources pour la conformité

  • NIST SP 800-30 (Révision 1):Guide principal pour la méthodologie d’évaluation des risques.
  • NISTSP 800-53: Contrôles de sécurité pour atténuer les risques identifiés.
  • FIPS 199/200: Normes de catégorisation de sécurité et exigences minimales de sécurité.
  • NISTSP 800-37:Guide RMF pour l’intégration des évaluations des risques dans le processus d’autorisation du système.
  • Annexes dans la norme NIST 800-30:Fournir des modèles, des matrices de risques et des exemples de sources de menaces, de vulnérabilités et de détermination des risques.
Vignette YouTubeYouTube icône