Normes NIST (National Institute of Standards and Technology, Institut américain des normes et de la technologie)

Présentation

600x400_NIST_Logo

Les contrôles de sécurité de la norme 800-53 du National Institute of Standards and Technology (NIST) (Institut américain des normes et de la technologie) sont généralement applicables aux systèmes d'information fédéraux américains. Les systèmes d'informations fédéraux doivent en général se soumettre à un processus d'évaluation et d'autorisation formel afin de garantir une protection suffisante de la confidentialité, de l'intégrité et de la disponibilité des informations et des systèmes d'information.

Le Cybersecurity Framework (CSF, framework de cybersécurité) du NIST (Institut américain des normes et de la technologie) est soutenu par de nombreuses administrations et industries partout dans le monde qui le recommandent en tant que base minimale à mettre en place pour toute entreprise, quels que soient sa taille et son secteur d'activité. D'après Gartner, en 2015, environ 30 % des entreprises américaines utilisaient actuellement le framework CSF, et ce chiffre devrait passer à 50 % d'ici 2020. Depuis l'année fiscale 2016, les mesures liées à la loi FISMA (Federal Information Security Modernization Act) des agences fédérales américaines s'organisent autour du CSF, et il est demandé à ces agences de mettre en œuvre le CSF dans le cadre du décret présidentiel relatif à la cybersécurité.

  • Les services AWS sont-ils conformes à l'infrastructure NIST 800-53 ?

    Oui, l'infrastructure et les services AWS Cloud ont été validés par un test effectué par un organisme tiers réalisé conformément aux contrôles NIST 800-53, révision 4 ainsi qu'aux exigences FedRAMP supplémentaires. AWS a reçu des ATO (Agency Authority to Operate) FedRAMP de la part de plusieurs agences d'autorisation pour les régions AWS GovCloud (US) et AWS USA Est/Ouest. Pour plus d'informations, consultez la page Web conformité AWS FedRAMP, ou les pages Web du marketplace FedRAMP suivantes :

  • Quelles sont mes responsabilités en tant que client en ce qui concerne la conformité de mes systèmes AWS avec les infrastructures NIST ?

    Certains de vos contrôles sont hérités spécifiquement d'AWS. L'héritage de nombreux autres contrôles se partage entre vous en tant que client et AWS. Dans le cadre d'un accord de non-divulgation, AWS fournit un modèle SSP AWS FedRAMP basé sur la norme NIST 800-53 Rev. 4. La base de contrôle faible/modéré/élevé est préremplie avec la norme NIST 800-5 Rev. 4 applicable. La responsabilité des contrôles est partagée de la façon suivante :

    • Responsabilité partagée : vous assurez la sécurité et fournissez les configurations de vos composants logiciels. AWS assure la sécurité de son infrastructure.
    • Responsabilité unique du client : vous êtes entièrement responsable des systèmes d'exploitation invités, des applications déployées et de certaines ressources de la mise en réseau définies (par exemple, les pare-feu). Plus précisément, vous êtes entièrement responsable de la configuration et de la gestion de la sécurité dans le cloud.
    • Responsabilité unique d'AWS : AWS gère l'infrastructure du cloud, y compris le réseau, le stockage de données, les ressources du système, les centres de données, la sécurité physique, la fiabilité et la prise en charge du matériel et des logiciels. Les applications conçues sur le système AWS héritent des fonctionnalités et des options configurables fournies par AWS. AWS est entièrement responsable de la configuration et de la gestion de la sécurité du cloud.

    Pour des raisons d'autorisation de sécurité, la conformité avec les exigences FedRAMP (en fonction de la base de contrôle faible/modéré/élevé de la norme NIST 800-53 rev 4) dépend de l'implémentation complète par AWS des contrôles réservés à AWS et des contrôles partagés, et de l'implémentation par vous-même des contrôles réservés au client et des contrôles partagés. Un organisme d'évaluation tiers agréé (3PAO) accrédité par FedRAMP a évalué et autorisé l'implémentation par AWS de notre responsabilité de contrôle. La partie des contrôles partagés qui vous incombe, ainsi que les contrôles liés aux applications que vous implémentez sur l'infrastructure AWS, doivent faire l'objet d'une évaluation et d'une autorisation distinctes gérées par vous-même, conformément à la norme NIST 800-37 et à vos procédures et stratégies d'autorisation de sécurité propres.

  • Comment les services AWS peuvent-ils m'aider à me conformer aux infrastructures NIST ?

    Les systèmes AWS conformes à FedRAMP ont reçu des autorisations, satisfont les contrôles de sécurité FedRAMP (NIST SP 800-53), utilisent les modèles FedRAMP requis pour les packages de sécurité publiés dans le registre sécurisé du programme FedRAMP, ont été évalués par un organisme d'évaluation tiers agréé (3PAO) et satisfont aux exigences de surveillance continue de FedRAMP.

    Selon le modèle de responsabilité partagée AWS, AWS gère la sécurité du cloud et vous êtes responsable de la sécurité dans le cloud. Pour vous aider à implémenter votre part des responsabilités partagées, AWS a créé les solutions Quick Start (optimisées par AWS CloudFormation) qui utilisent un simple clic pour automatiser le déploiement de technologies clés sur le Cloud AWS. Chaque Quick Start lance, configure et exécute les services de calcul, de réseau, de stockage et d'autres services AWS nécessaires pour déployer une charge de travail sur AWS qui répondent aux exigences en matière de conformité aux normes et infrastructures de sécurité comme NIST 800-53.

    Les Quick Start AWS simplifient, automatisent et implémentent des bases de sécurité par le biais d'ensembles de règles complets pouvant être systématiquement appliqués. Par exemple, le Quick Start Architecture normalisée pour les infrastructures d'assurance NIST sur le cloud AWS comprend des modèles AWS CloudFormation. Ces modèles peuvent être intégrés à AWS Service Catalog pour automatiser la création d'une charge de travail pour une architecture de base standardisée conforme aux normes NIST 800-53 Révision 4 et NIST 800-171. Ce Quick Start inclut également une référence aux contrôles de sécurité, qui met en correspondance les décisions, fonctionnalités et configurations en matière d'architecture des contrôles de sécurité. Quick Start peut être utilisé pour soutenir vos efforts en matière de conformité dans AWS, de manière pertinente pour les objectifs de conformité et de sécurité du cloud AWS de votre organisation.

  • Comment utiliser le CSF du NIST ?

    Que vous soyez une organisation du secteur public ou privé, vous pouvez utiliser le livre blanc Framework de cybersécurité du NIST (CSF) pour évaluer votre environnement AWS par rapport au CSF du NIST et améliorer les mesures de sécurité que vous mettez en œuvre (votre partie du modèle des responsabilités partagées, également appelées sécurité dans le cloud). Pour faciliter l'alignement sur le CSF du NIST, nous proposons une description détaillée d'AWS Cloud services et des responsabilités associées tant de la part du client que d'AWS. Le livre blanc contient également un courrier d'un auditeur tiers attestant de la conformité des services du cloud AWS aux pratiques de gestion des risques du CSF du NIST (notre part du modèle de responsabilité partagé, également appelée sécurité du cloud), ce qui permet aux entreprises d'assurer une protection adaptée de leurs données sur l'ensemble des services AWS.

    Des organisations dont des administrations nationales et locales, des entités réglementées et des grandes entreprises, s'appuient sur ce livre blanc pour mettre en œuvre les solutions AWS de manière à obtenir les résultats en matière de gestion des risques prévus par le CSF du NIST.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »