
En mai, le National Institute of Standards and Technology (NIST) a mis à jour ses directives visant à aider les entreprises du secteur privé qui traitent avec le gouvernement fédéral à protéger les données sensibles. Le document est connu sous le nom de publication spéciale 800-171 du NIST (SP 800-171) dont la dernière révision clarifie et simplifie les instructions.
Qu'est-ce que le NIST ?
Le NIST est une agence non réglementaire du ministère américain du Commerce. Sa mission est de promouvoir l’innovation technologique et la compétitivité industrielle en faisant progresser la science de la mesure, les normes et les techniques de métrologie afin de renforcer la sécurité économique et d’améliorer la qualité de vie. L’agence élabore des normes, des mesures et des directives allant de la sécurité dans le secteur de la construction aux cadres d’exigences relatifs à la cybersécurité.
Qui doit se conformer aux directives NIST SP 800-171 ?
Toute organisation qui travaille avec le gouvernement fédéral et traite des informations contrôlées non classifiées (CUI) pour le compte du gouvernement est contractuellement tenue de respecter les directives NIST SP 800-171. Les données considérées comme CUI doivent être spécifiées dans votre contrat avec le gouvernement.
Que sont les informations contrôlées non classifiées (CUI) ?
Les CUI sont des informations gouvernementales sensibles mais qui ne répondent pas aux critères de classification. Ces données doivent se rapporter à une loi, un règlement ou une politique gouvernementale. La propriété intellectuelle, les informations techniques contrôlées, les informations sur la santé des employés, les informations commerciales exclusives, les informations personnelles identifiables et les informations sensibles destinées aux forces de l’ordre sont autant d’exemples de CUI.
Dans ses directives, le NIST décrit les bonnes pratiques visant à protéger ces données contre les accès non autorisés, la divulgation et la perte. Ces questions sont importantes, car les organisations qui traitent, stockent et transmettent des CUI soutiennent souvent des programmes gouvernementaux impliquant des actifs critiques tels que l’armement et les systèmes de communication.
Qu'est-ce qui a changé par rapport aux directives précédentes ?
Auparavant, certaines formulations des directives étaient ambiguës et ne correspondaient pas à celles du catalogue des contrôles de sécurité et de protection de la vie privée utilisé par les agences fédérales. La dernière révision a été élaborée dans le but d’améliorer l’uniformité et la facilité d’utilisation, en partie sur la base des commentaires des utilisateurs sur les versions précédentes.
Les principales modifications sont les suivantes :
- Restructuration des exigences de sécurité pour les aligner sur les contrôles de sécurité visés par la SP 800-53
- Paramètres définis par l’organisation (ODP) pour personnaliser certains contrôles en fonction des besoins spécifiques de votre organisation
- Nouveaux critères de personnalisation plus clairs
- Recatégorisation des contrôles sur la base des nouveaux critères d’adaptation
- Conseils supplémentaires pour mieux soutenir la mise en œuvre et améliorer les résultats
La compatibilité technique des directives révisées a également été améliorée. Elle sont désormais disponibles dans des formats lisibles par machine tels que JSON et Excel pour que les développeurs d’outils de cybersécurité puissent les importer dans leurs applications.
Les procédures d’évaluation complémentaires ont aussi été mises à jour. Celles-ci ont pour but d’aider les organisations à évaluer si elles répondent aux exigences de sécurité.
Les modifications de la documentation des procédures d’évaluation sont les suivantes :
- Paramètres définis par l’organisation (ODP) pour améliorer la traçabilité et la facilité d’utilisation
- Révision de la structure et de la syntaxe pour plus de cohérence
- Conseils supplémentaires sur les modalités d’évaluation des exigences de sécurité
Quel est l’impact des directives du NIST sur les PME ?
Les directives NIST SP 800-171 ont des incidences financières et opérationnelles pour les PME qui gèrent des CUI gouvernementales.
- Impacts financiers : les PME qui traitent des CUI gouvernementales doivent se conformer aux directives sous peine de litiges contractuels ou de pénalités. Les PME qui ne sont pas sous contrat avec le gouvernement mais qui font partie des chaînes d’approvisionnement gouvernementales sont tenues elles aussi de respecter ces exigences. La conformité avec ces directives implique des investissements dans l’infrastructure, le personnel et la maintenance continue. Toutefois, la conformité avec la norme NIST SP 800-171 peut permettre de s’assurer un avantage concurrentiel lors de l’attribution de marchés publics et d’obtenir une couverture préférentielle auprès de certaines compagnies d’assurance.
- Impacts opérationnels : le respect des normes implique la mise en place de contrôles de sécurité complets destinés à protéger les CUI, y compris les moyens technologiques, les processus et la formation nécessaires. Cela comprend le chiffrement, le contrôle des accès, les systèmes de surveillance et les fonctionnalités de réponse aux incidents.
Comment les PME peuvent-elles s'assurer qu'elles sont conformes à la norme NIST SP 800-171 ?
La conformité est un défi pour les PME, en particulier pour celles dont les ressources et l’expertise dans ce domaine sont limitées. Si vous procédez par vous-même, il est essentiel de lire dans leur intégralité votre contrat gouvernemental et le cadre d’exigences SP 800-171 du NIST, et d’utiliser l’évaluation complémentaire pour vérifier vos contrôles.
De nombreuses PME choisissent de s’adresser à des experts en cybersécurité et à des fournisseurs de services de sécurité gérés. Si vous empruntez cette voie, assurez-vous que vos consultants sont informés de la dernière révision des directives NIST SP 800-171.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter