Normes NIST (National Institute of Standards and Technology, Institut américain des normes et de la technologie)
Présentation
Les contrôles de sécurité de la norme 800-53 du National Institute of Standards and Technology (NIST) (Institut américain des normes et de la technologie) sont généralement applicables aux systèmes d'informations fédéraux américains. Les systèmes d'informations fédéraux doivent en général se soumettre à un processus d'évaluation et d'autorisation formel afin de garantir une protection suffisante de la confidentialité, de l'intégrité et de la disponibilité des informations et des systèmes d'information.
Le Cybersecurity Framework (CSF, framework de cybersécurité) du NIST (Institut américain des normes et de la technologie) est soutenu par de nombreuses administrations et industries partout dans le monde qui le recommandent en tant que base minimale à mettre en place pour toute entreprise, quels que soient sa taille et son secteur d'activité. D'après Gartner, en 2015, environ 30 % des entreprises américaines utilisaient actuellement le framework CSF, et ce chiffre devrait passer à 50 % d'ici 2020. Depuis l’exercice 2016, les mesures liées à la loi fédérale sur la modernisation de la sécurité de l’information (FISMA) des agences fédérales américaines s’organisent autour du CSF, et il est demandé à ces agences de mettre en œuvre le CSF dans le cadre du décret présidentiel relatif à la cybersécurité.
FAQ
-
Les services AWS sont-ils conformes à l’infrastructure NIST 800-53 ?
Oui, l'infrastructure et les services du cloud AWS ont été validés par un test effectué par un organisme tiers réalisé conformément aux contrôles NIST 800-53, révision 4, ainsi qu'aux exigences FedRAMP supplémentaires. AWS a reçu des ATO (Agency Authority to Operate) FedRAMP de la part de plusieurs agences d'autorisation pour les régions AWS GovCloud (US) et AWS USA Est/Ouest. Pour plus d'informations, consultez la page web Conformité AWS FedRAMP ou les pages web du marketplace FedRAMP suivantes :
-
Quelles sont mes responsabilités en tant que client en ce qui concerne la conformité de mes systèmes AWS avec les infrastructures NIST ?
Si certains de vos contrôles sont hérités d'AWS, beaucoup d'entre eux sont des héritages partagés entre vous, en tant que client, et AWS. La responsabilité des contrôles est partagée de la façon suivante :
- Responsabilité partagée : vous assurez la sécurité et fournissez les configurations de vos composants logiciels. AWS assure la sécurité de son infrastructure.
- Responsabilité unique du client : vous êtes entièrement responsable des systèmes d'exploitation invités, des applications déployées et de certaines ressources de la mise en réseau définies (par exemple, les pare-feu). Plus précisément, vous êtes entièrement responsable de la configuration et de la gestion de votre sécurité dans le cloud.
- Responsabilité unique d'AWS : AWS gère l'infrastructure du cloud, y compris le réseau, le stockage de données, les ressources du système, les centres de données, la sécurité physique, la fiabilité et la prise en charge du matériel et des logiciels. Les applications conçues sur le système AWS héritent des fonctionnalités et des options configurables fournies par AWS. AWS est entièrement responsable de la configuration et de la gestion de la sécurité du cloud.
Pour des raisons d'autorisation de sécurité, la conformité avec les exigences FedRAMP (en fonction de la base de contrôle faible/modéré/élevé de la norme NIST 800-53 rev 4) dépend de l'implémentation complète par AWS des contrôles réservés à AWS et des contrôles partagés, et de l'implémentation par vous-même des contrôles réservés au client et des contrôles partagés. Un organisme d'évaluation tiers agréé (3PAO) accrédité par FedRAMP a évalué et autorisé l'implémentation par AWS de notre responsabilité de contrôle. La partie des contrôles partagés qui vous incombe, ainsi que les contrôles liés aux applications que vous implémentez sur l'infrastructure AWS, doivent faire l'objet d'une évaluation et d'une autorisation distinctes gérées par vous-même, conformément à la norme NIST 800-37 et à vos procédures et stratégies d'autorisation de sécurité propres.
-
Comment les services AWS peuvent-ils m'aider à me conformer aux infrastructures NIST ?
Les systèmes AWS conformes à FedRAMP ont reçu des autorisations, satisfont les contrôles de sécurité FedRAMP (NIST SP 800-53), utilisent les modèles FedRAMP requis pour les packages de sécurité publiés dans le registre sécurisé du programme FedRAMP, ont été évalués par un organisme d'évaluation tiers agréé (3PAO) et satisfont aux exigences de surveillance continue de FedRAMP.
Selon le modèle de responsabilité partagée d'AWS, AWS gère la sécurité du cloud et vous êtes responsable de votre sécurité dans le cloud. Pour vous aider à mettre en œuvre le partage des responsabilités, AWS a créé la solution Accélérateur de zone de destination sur AWS (basée sur AWS CloudFormation). La solution Accélérateur de zone de destination sur AWS déploie une base cloud conçue pour s'aligner sur les pratiques exemplaires d'AWS et sur de nombreux cadres de conformité mondiaux, y compris les cadres basés sur le NIST. Grâce à cette solution, les clients ayant des charges de travail très réglementées et des exigences de conformité complexes peuvent mieux gérer et administrer leur environnement multi-comptes. Utilisé conjointement avec d'autres services AWS, elle offre une solution low-code complète pour plus de 35 services AWS. La solution Accélérateur de zone de destination sur AWS vous aide à déployer rapidement une base cloud sécurisée, résiliente, évolutive et entièrement automatisée qui accélère votre préparation au programme de conformité cloud. Remarque : cette solution, à elle seule, ne suffit pas à assurer votre conformité. Elle fournit l'infrastructure de base sur laquelle d'autres solutions complémentaires peuvent être intégrées.
-
Comment utiliser le CSF du NIST ?
Que vous soyez une organisation du secteur public ou privé, vous pouvez utiliser le livre blanc Framework de cybersécurité du NIST (CSF) pour évaluer votre environnement AWS par rapport au CSF du NIST et améliorer les mesures de sécurité que vous mettez en œuvre (votre partie du modèle des responsabilités partagées, également appelées sécurité dans le cloud). Pour faciliter l'alignement sur le CSF du NIST, nous proposons une description détaillée d'AWS Cloud services et des responsabilités associées tant de la part du client que d'AWS. Le livre blanc contient également un courrier d'un auditeur tiers attestant de la conformité d'AWS Cloud services aux pratiques de gestion des risques du CSF du NIST (notre part du modèle de responsabilité partagé, également appelée sécurité du cloud), ce qui permet aux entreprises d'assurer une protection adaptée de leurs données sur l'ensemble des services AWS.
Des organisations dont des administrations nationales et locales, des entités réglementées et des grandes entreprises, s'appuient sur ce livre blanc pour mettre en œuvre les solutions AWS de manière à obtenir les résultats en matière de gestion des risques prévus par le CSF du NIST.
Ressources du NIST
Framework de cybersécurité du NIST (CSF) Matrice de responsabilités des services AWS et du client pour l'alignement sur le CSF [Télécharger] Partenaires du framework de cybersécurité du NIST Cloud Audit Academy pour les charges de travail du gouvernement fédéral américain et du ministère américain de la Défense (DoD) sur AWS