Partager via


NIST SP 800-171

À propos du NIST SP 800-171

Le NIST (National Institute of Standards and Technology) des États-Unis promeut et maintient des normes et des lignes directrices de mesure pour aider à protéger les systèmes d’information et d’information des agences fédérales. En réponse à l’ordre exécutif 13556 sur la gestion des informations non classifiées contrôlées (CUI), il a publié NIST SP 800-171, Protecting Controlled Unclassified Information In NonFederal Information Systems and Organizations. CUI est défini comme des informations, numériques et physiques, créées par un gouvernement (ou une entité en son nom) qui, bien qu’elles ne soient pas classifiées, sont toujours sensibles et nécessitent une protection.

Le NIST SP 800-171 a été initialement publié en juin 2015 et a été mis à jour plusieurs fois depuis lors en réponse à l’évolution des cybermenaces. Il fournit des instructions sur la façon dont CUI doit être accessible, transmis et stocké en toute sécurité dans des systèmes d’information et des organisations non féderaux ; ses exigences se répartissent en quatre catégories main :

  • Contrôles et processus de gestion et de protection
  • Surveillance et gestion des systèmes informatiques
  • Effacer les pratiques et procédures pour les utilisateurs finaux
  • Mise en œuvre de mesures de sécurité technologiques et physiques

Microsoft et NIST SP 800-171

Les organisations d’évaluation tierces accréditées, Kratos Secureinfo et Coalfire, se sont associées à Microsoft pour attester que ses services cloud dans l’étendue répondent aux critères du NIST SP 800-171, Protecting Controlled Unclassified Information (CUI) in NonFederal Information Systems and Organizations, lorsqu’ils traitent CUI. L’implémentation par Microsoft des exigences FedRAMP permet de s’assurer que les services cloud dans l’étendue de Microsoft respectent ou dépassent les exigences du NIST SP 800-171 à l’aide des systèmes et pratiques déjà en place.

Les exigences NIST SP 800-171 sont un sous-ensemble du NIST SP 800-53, la norme utilisée par FedRAMP. L’annexe D du NIST SP 800-171 fournit un mappage direct de ses exigences de sécurité CUI aux contrôles de sécurité pertinents dans NIST SP 800-53, pour lesquels les services cloud dans l’étendue ont déjà été évalués et autorisés dans le cadre du programme FedRAMP.

Toute entité qui traite ou stocke les CUI du gouvernement des États-Unis ( institutions de recherche, sociétés de conseil, entrepreneurs de fabrication) doit se conformer aux exigences strictes du NIST SP 800-171. Cette attestation signifie que les services cloud microsoft dans l’étendue peuvent prendre en charge les clients qui cherchent à déployer des charges de travail CUI avec l’assurance que Microsoft est entièrement conforme. Par exemple, tous les sous-traitants du Ministère de la Défense qui traitent, stockent ou transmettent des « informations de défense couvertes » à l’aide de services cloud Microsoft dans leur système d’information respectent les clauses DFARS du département de la Défense des États-Unis qui exigent la conformité aux exigences de sécurité du NIST SP 800-171.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

  • Azure Commercial, Azure Government
  • Dynamics 365 gouvernement des États-Unis
  • Intune
  • Office 365 U.S. Government Community Cloud (GCC), Office 365 GCC High et DoD
    • Notez que Office 365 Commercial n’est pas inclus dans l’audit tiers effectué pour le NIST 800-171 et n’est pas dans l’étendue.

Azure, Dynamics 365 et NIST SP 800-171

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure NIST SP 800-171.

Office 365 et NIST SP 800-171

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
GCC Service de flux d’activité, Services Bing, Delve, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Portail client, Office Online, Infrastructure du service Office, Rapports d’utilisation Office, OneDrive Entreprise, carte Personnes, SharePoint Online, Skype Entreprise, Windows Ink
GCC High Service de flux d’activité, services Bing, Exchange Online, services intelligents, Microsoft Teams, Office 365 portail client, Office Online, infrastructure du service Office, rapports d’utilisation d’Office, OneDrive Entreprise, carte Personnes, SharePoint Online, Skype Entreprise, Windows Ink
DOD Service de flux d’activité, services Bing, Exchange Online, services intelligents, Office 365 portail client, Office Online, infrastructure des services Office, rapports d’utilisation Office, OneDrive Entreprise, carte Personnes, Microsoft Teams, SharePoint Online, Skype Entreprise, Windows Ink

Forum aux questions

Puis-je utiliser la conformité Microsoft avec NIST SP 800-171 pour mon organization ?

Oui. Les clients Microsoft peuvent utiliser les contrôles audités décrits dans les rapports d’organisations d’évaluation tierces indépendantes (3PAO) sur les normes FedRAMP dans le cadre de leurs propres efforts d’analyse et de qualification des risques FedRAMP et NIST. Ces rapports témoignent de l’efficacité des contrôles que Microsoft a implémentés dans ses services cloud dans l’étendue. Il incombe aux clients de s’assurer que leurs charges de travail CUI sont conformes aux directives NIST SP 800-171.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources