La norme 800-53 Rev. 5 du National Institute of Standards and Technology (NIST) est un ensemble complet de contrôles de sécurité fondés sur les meilleures pratiques que de nombreuses organisations utilisent comme cadre pour leurs programmes de sécurité interne. La norme comporte plus de 1 000 contrôles différents organisés en familles de contrôles. Un tel éventail de contrôles disponibles peut rapidement devenir écrasant pour les équipes de sécurité, de gestion des risques et d'audit qui doivent déterminer quels sont les plus importants sur lesquels se concentrer. Lorsque vous êtes chargé d'évaluer non seulement les contrôles internes de votre propre organisation, mais aussi ceux de vos vendeurs et fournisseurs tiers, la tâche peut devenir encore plus complexe.
Dans ce billet, nous expliquons comment organiser les contrôles en fonctions, puis nous identifions les 15 contrôles NIST les plus essentiels pour évaluer le risque de sécurité des fournisseurs ou des vendeurs tiers.
Lorsque vous vous demandez quels sont les contrôles de cybersécurité NIST les plus applicables en matière de gestion des risques d'approvisionnement, commencez par répondre à ces questions - classées dans l'une des cinq fonctions du cadre NIST :
Les 15 principaux contrôles de gestion des risques de la chaîne d'approvisionnement du NIST
Découvrez comment vous pouvez utiliser le NIST SP 800-53 comme base pour construire un programme de gestion des risques de la chaîne d'approvisionnement plus robuste.
Le tableau suivant résume les 15 contrôles clés du NIST qui répondent aux questions ci-dessus, par fonction. Veuillez noter qu'il ne s'agit que des contrôles minimums. Vous devez consulter votre contrôleur pour la validation.
Fonction | Contrôle NIST 800-53 |
---|---|
Identifier Le fournisseur a-t-il identifié ses systèmes et composants critiques dans un cadre de gestion des risques ? |
RA-3 : Évaluation des risques - Effectuer des évaluations des risques, documenter les résultats, et revoir et mettre à jour les évaluations à des fréquences définies. SA-4 : Processus d'acquisition - Identifier les contrôles de sécurité et de confidentialité dans le cadre de l'acquisition de nouveaux systèmes. CM-8 : Inventaire des composants du système - Développer et documenter un inventaire des composants du système qui reflète fidèlement les systèmes. SR-2 : Plan de gestion des risques - Élaborer un plan de gestion des risques de la chaîne d'approvisionnement. |
Protéger Le fournisseur a-t-il défini et mis en place des contrôles pour gérer l'accès et la visibilité des systèmes critiques ? |
SC-7 : Protection des frontières - Surveiller et contrôler les communications aux interfaces gérées externes et internes. IA-2 : Identification et autorisation - Identifier et authentifier les utilisateurs de façon unique ; autorisation approuvée pour l'accès logique. AT-2 : Formation et sensibilisation - Les organisations doivent fournir une formation sur la sécurité et la confidentialité aux utilisateurs du système. CM-3 : Contrôle des changements - Déterminer et documenter les types de changements à apporter aux systèmes, enregistrer les changements, les surveiller et les réviser. AC-3 : Access Enforcement - Appliquer l'autorisation approuvée pour l'accès logique aux informations et aux ressources du système sur la base des politiques de contrôle d'accès. |
Détecter Le fournisseur a-t-il une visibilité sur les menaces nouvelles et émergentes ? |
RA-5 : Surveillance et analyse des vulnérabilités - surveiller et analyser les vulnérabilités des systèmes et des applications hébergées. SI-4 : Surveillance des systèmes - Les systèmes doivent être surveillés pour détecter les attaques et les indicateurs d'attaques potentielles. AU-2 : Enregistrement des événements - Identifier les types d'événements que les systèmes sont capables d'enregistrer. CP-2 : Planification des mesures d'urgence - Les organisations doivent tester le plan d'urgence des systèmes en utilisant des tests définis pour garantir l'efficacité du plan. CP-4 : Test de contingence - Tester l'efficacité du plan de contingence pour les systèmes à l'aide de tests définis. |
Réagir et se rétablir Le fournisseur peut-il identifier et gérer les incidents et les menaces ? A-t-il la capacité de récupérer les systèmes et services critiques ? |
IR-4 : Traitement et réponse aux incidents - Les organisations doivent mettre en place une capacité de traitement des incidents, alignée sur un plan de réponse aux incidents. |
L'audit des contrôles NIST ne se limite pas à la simple identification des contrôles. Pour en savoir plus sur la façon de mettre en pratique ces contrôles NIST, téléchargez notre dossier exécutif, Les 15 principaux contrôles NIST de gestion des risques de la chaîne d'approvisionnement et regardez notre webinaire à la demande du même nom !
Prêt à aller plus loin ? Consultez la liste de contrôle de la conformité des tiers du NIST, qui donne un aperçu complet de la façon dont les pratiques de gestion des risques des tiers correspondent aux recommandations décrites dans les documents NIST 800-53, NIST 800-161 et NST CSF.
Contactez Prevalent dès aujourd'hui pour une évaluation gratuite de la maturité ou demandez une démo pour déterminer comment vos politiques actuelles de gestion de la chaîne d'approvisionnement se situent par rapport à ces contrôles critiques du NIST.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024