NIST SP 800-171.

NIST SP 800-171 est la norme américaine qui définit les exigences de sécurité pour la protection des informations non classifiées contrôlées dans les systèmes non fédéraux. C'est le socle technique du CMMC pour les sous-traitants de la défense. La révision 3 (2024) a renforcé les contrôles. Si vous vendez au DoD américain, cette norme est obligatoire ; si vous opérez uniquement en Europe, elle est documentaire.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

La vision de Cyber Academy

NIST SP 800-171 est la norme américaine qui définit les exigences de sécurité pour la protection des informations non classifiées contrôlées dans les systèmes non fédéraux. C'est le socle technique du CMMC pour les sous-traitants de la défense. La révision 3 (2024) a renforcé les contrôles. Si vous vendez au DoD américain, cette norme est obligatoire ; si vous opérez uniquement en Europe, elle est documentaire.

Ce que NIST SP 800-171 exige réellement

Lorsque le gouvernement américain partage des données sensibles mais non classifiées avec un sous-traitant, une université ou un prestataire de services, il a besoin de l'assurance que ces données seront protégées alors même qu'elles résident désormais en dehors des systèmes fédéraux. NIST SP 800-171 est le catalogue d'exigences de sécurité qui répond à ce besoin.

Il indique à toute organisation non fédérale manipulant des Controlled Unclassified Information comment les protéger : à travers le contrôle d'accès, la sensibilisation et la formation, l'audit et la responsabilité, la gestion de configuration, l'identification et l'authentification, la réponse aux incidents, la maintenance, la protection des supports, la protection physique, la sécurité du personnel, l'évaluation des risques, l'évaluation de la sécurité, la protection des systèmes et des communications, ainsi que l'intégrité des systèmes et de l'information. L'objectif est l'uniformité. Plutôt que chaque agence invente ses propres clauses, les sous-traitants répondent à un même socle cohérent.

Les exigences sont dérivées du catalogue de contrôles bien plus vaste NIST SP 800-53 utilisé au sein des systèmes fédéraux, mais adaptées aux réalités d'une organisation privée. Elles sont formulées comme des résultats que vous devez atteindre, et non comme un produit ou une architecture unique prescrit, ce qui laisse à une organisation la latitude de les mettre en œuvre d'une manière adaptée à ses propres systèmes. Ce dont vous ne disposez pas, c'est de la latitude de décider si vous devez les respecter. Lorsque l'exigence figure dans votre contrat, sa mise en œuvre est une condition pour conserver ce contrat.

Les CUI, et pourquoi la question du périmètre prime sur tout

Tout dans NIST SP 800-171 repose sur une question préalable : où les Controlled Unclassified Information résident-elles réellement dans votre environnement ? Les CUI sont des informations que le gouvernement crée ou détient, ou qu'une organisation crée pour le gouvernement, qui requièrent une protection en vertu d'une loi, d'un règlement ou d'une politique applicable à l'ensemble du gouvernement, mais qui ne sont pas classifiées. Elles couvrent des catégories telles que les dessins techniques, les données soumises au contrôle des exportations, les informations personnelles identifiables détenues pour le compte d'une agence, et d'autres éléments sensibles similaires. La norme ne s'applique qu'aux systèmes qui stockent, traitent ou transmettent ces données.

C'est pourquoi la définition du périmètre est le travail qui détermine tout le reste. Définissez la frontière trop largement et vous imposez des contrôles de niveau fédéral à l'ensemble de votre réseau, à un coût considérable. Définissez-la trop étroitement et vous laissez des CUI exposées dans un système que vous avez oublié de comptabiliser. L'essentiel d'un programme 800-171 crédible consiste à identifier les CUI, à isoler les systèmes qui les manipulent et à réduire ce périmètre afin que les contrôles s'appliquent là où ils sont réellement nécessaires plutôt que partout.

Où s'arrête 800-171 et où commence CMMC

NIST SP 800-171 est le catalogue de contrôles. La Cybersecurity Maturity Model Certification (CMMC) est le mécanisme de vérification que le Department of Defense américain a construit par-dessus. Pendant des années, les sous-traitants attestaient eux-mêmes qu'ils respectaient le 800-171, et l'écart entre l'attestation et la réalité ne se révélait qu'après un incident. CMMC Level 2 correspond directement à NIST SP 800-171 mais ajoute une évaluation indépendante, de sorte qu'une signature ne suffit plus. Si vous mettez réellement en œuvre le 800-171, vous avez accompli l'essentiel du travail de fond pour CMMC Level 2 ; ce qui reste, c'est de produire des preuves et de survivre à une évaluation menée par quelqu'un d'autre que vous.

La Revision 3, publiée en 2024, a restructuré et resserré les exigences, réorganisé les familles de contrôles et déplacé certains éléments précis vers une publication d'évaluation complémentaire. Pour un fournisseur européen, la pertinence est entièrement contractuelle. Si vous sous-traitez pour un prime américain, fabriquez des composants de défense ou traitez des CUI pour un programme du DoD, le 800-171 vous lie de la même manière qu'il lie une entreprise américaine. Si votre marché est purement européen, il constitue un contexte informatif qui vous aide à lire CMMC et les exigences des marchés publics américains, et il se conjugue naturellement avec la discipline fondée sur les risques du NIST Cybersecurity Framework plutôt que de la remplacer.

Frequently asked questions

01Qui doit se conformer à NIST SP 800-171 ?

Toute organisation non fédérale qui stocke, traite ou transmet des Controlled Unclassified Information pour le compte du gouvernement américain, y compris les sous-traitants, les sous-traitants de second rang, les universités et les institutions de recherche. L'obligation est inscrite dans le contrat ou la subvention.

02Quelle est la différence entre NIST SP 800-171 et CMMC ?

NIST SP 800-171 est le catalogue d'exigences de sécurité pour la protection des CUI. CMMC est le programme de certification du Department of Defense américain qui vérifie que ces exigences sont effectivement mises en œuvre. CMMC Level 2 s'appuie directement sur le 800-171 et y ajoute une évaluation indépendante.

03Que sont les Controlled Unclassified Information (CUI) ?

Les CUI sont des informations gouvernementales qui requièrent une protection en vertu d'une loi, d'un règlement ou d'une politique applicable à l'ensemble du gouvernement, mais qui ne sont pas classifiées. Elles incluent des catégories telles que les données techniques, les informations soumises au contrôle des exportations et les informations personnelles identifiables détenues pour une agence. NIST SP 800-171 ne s'applique qu'aux systèmes qui les manipulent.

04Quel est le lien entre NIST SP 800-171 et NIST SP 800-53 ?

Les exigences du 800-171 sont dérivées du catalogue de contrôles plus vaste 800-53 utilisé au sein des systèmes d'information fédéraux, mais adaptées aux organisations non fédérales. Le 800-53 protège directement les systèmes fédéraux ; le 800-171 est l'ensemble modéré appliqué aux sous-traitants manipulant des CUI.

05NIST SP 800-171 s'applique-t-il aux organisations européennes ?

Uniquement lorsqu'elles manipulent des CUI dans la chaîne d'approvisionnement du gouvernement américain, par exemple en tant que sous-traitant d'un prime américain ou en tant que sous-traitant de traitement de CUI pour un programme du DoD. Pour une activité purement européenne, il est informatif plutôt qu'obligatoire.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.