La gestion des exigences du CMMC requiert du temps, des efforts et une coordination de la part des équipes de test, de sécurité et IT. La réussite dépend de la compréhension des exigences du CMMC et de la façon dont elles s’appliquent aux technologies opérationnelles telles que les systèmes de test.
Le CMMC est basé sur la norme NIST 800-171 rév. 2, qui contient 110 commandes réparties dans 14 familles. De nombreuses ressources en ligne proposent des listes de ces contrôles, y compris le site du NIST, sur lequel vous pourrez télécharger un document texte ou un tableur décrivant les exigences, ou encore la norme NIST 800-171A qui comporte des directives à destination des évaluateurs pour l’examen de chaque contrôle. Nous l’avons dit : vous trouverez une analyse des contrôles de la norme NIST 800-171 sur d'autres sites dédiés à la sécurité.
Ce qui nous intéresse ici, c’est la manière dont ces contrôles s’appliquent aux systèmes de test. Les systèmes de test diffèrent des systèmes informatiques pour plusieurs raisons :
Compte tenu de ces différences, passons en revue certains thèmes de la norme NIST 800-171.
Les 22 premiers contrôles de la norme NIST 800-171 portent sur la restriction de l'accès au système de test. Le système doit restreindre l'accès aux utilisateurs autorisés et restreindre les processus automatisés (appareils) qui y ont accès. L’ingénieur de test doit identifier tous les utilisateurs potentiels du système, ainsi que leurs rôles. Dans cette analyse, gardez à l’esprit que certains utilisateurs peuvent être des processus distants, tels que des bases de données qui déplacent les données du système de test vers une base de données centrale.
Pour chacun des utilisateurs identifiés, l'architecte système doit créer une stratégie d'authentification. Utiliserez-vous l'ouverture de session Windows standard pour contrôler les accès au système ? Quels seront les droits d’accès des opérateurs et en quoi diffèrent-ils des administrateurs ? Comment les processus distants s'authentifieront-ils auprès du système ?
Les équipes de test doivent également tenir compte de l’accès physique et de la manière dont cela modifie le système. Ethernet étant un bus important dans les systèmes de test actuels, un utilisateur peut se connecter à un appareil en déplaçant le câble. Comment s’assurer que les données ne pourront être extraites de l’appareil via une connexion directe ? Si vous ne pouvez pas contrôler cet aspect, pouvez-vous protéger physiquement les câbles ?
La norme NIST 800-171 porte notamment sur la fourniture du bon niveau d’accès pour chaque opération. Les architectes de test devraient donc envisager comment appliquer ce principe d’accès à moindre privilège. Dans les systèmes où l’opérateur n’est pas connecté individuellement (ex. : un laboratoire où plusieurs personnes travaillent ensemble sur le testeur), les privilèges d’accès doivent être verrouillés très étroitement. Et si des privilèges plus élevés sont requis, par exemple dans le cadre de l'installation d'une mise à jour logicielle, le système devrait exiger qu'un administrateur individuel se connecte pour réaliser l'action en question.
Plusieurs des exigences de contrôle d'accès peuvent être satisfaites à l’aide d’outils standard de gestion des identités informatiques. Si le système de test s’exécute sous Windows, les équipes de test peuvent travailler avec leur groupe informatique pour tirer parti des outils d’identité de l’entreprise. Si le système est déconnecté ou utilise des périphériques non pris en charge par les systèmes informatiques, les architectes de test doivent déterminer comment ils répondront aux exigences de base telles que la complexité des mots de passe et les tentatives d’identification limitées.
Les exigences de cette branche sont pensées pour garantie la bonne formation des opérateurs et administrateurs aux principes de cybersécurité spécifiques à leurs rôles. Les équipes de test peuvent s’appuyer sur les formations dispensées par leurs équipes informatiques. Si les systèmes de test nécessitent des actions ou des protocoles spécifiques, la mise en place d’une formation sur ces exigences pourrait s’avérer pertinente.
Le fait de pouvoir identifier l’auteur d’une action donnée est un principe fondamental de la norme NIST 800-171. Cet aspect est très utile pour détecter les actions malveillantes. Et en cas d'incident, cette approche permet d’identifier les dommages et de réaliser une analyse des causes fondamentales. À cette fin, les systèmes de test doivent être conçus pour enregistrer des actions spécifiques.
Pour être efficaces, les journaux d'audit doivent capturer les actions privilégiées, à savoir celles qui modifient les accès ou les configurations. Les journaux d'audit créent un enregistrement de toutes les actions sur le système : qui est connecté, quelles données sont déplacées, quels objets système sont modifiés. Pour être précis, le système d'audit doit inscrire des horodatages sur la base d’une horloge fiable. Et pour être fiables, les journaux d’audit doivent être protégés contre toute modification ou suppression.
Dans le cadre de la conception d’un système de test, les architectes doivent mettre en place une stratégie pour créer, mettre à jour et protéger ces journaux d’audit.
Pour déployer un système de test sécurisé, l’équipe de test doit souvent appliquer des paramètres de configuration qui sécurisent davantage le système et les composants. La norme NIST 800-171 requiert la création d’un instantané de cette configuration en tant que référence. Ainsi, le système pourra être réinitialisé rapidement.
Les guides de mise en œuvre de technologies sécurisées (STIG) permettent aux administrateurs de s'assurer que le système reste configuré de la manière la plus sécurisée possible. Les fournisseurs travaillent avec la Defense Information Systems Agency (DISA) pour créer des STIG, qui incluent des instructions de vérification et d’ajustement des configurations de leurs produits. Une fois approuvés, ces documents sont publiés dans la base de données STIG du DoD, le département de la Défense des États-Unis. S’ils sont disponibles, collectez les STIG des composants logiciels du système de test.
La gestion des identités et des comptes est un autre élément important de la norme NIST 800-171. Les systèmes doivent authentifier les utilisateurs et les autres systèmes avant de leur fournir un accès. Tout comme pour la gestion des accès, les équipes de test peuvent s’appuyer sur des outils informatiques pour l’authentification et la mise en conformité des technologies PC standard du système.
Les architectes de test doivent donc identifier des moyens d’authentifier les composants du système. Les composants Ethernet, les bases de données et les ordinateurs en réseau doivent tous être authentifiés avant de se connecter au système de données de test.
Lorsque les défenses échouent et qu'un système est attaqué, l’organisation doit réagir rapidement. Cette famille de contrôles exige que les équipes planifient ces défaillances, notamment en suivant les incidents, en testant le système et en proposant des outils pour signaler les incidents aux autorités compétentes.
Les systèmes de test doivent faire l’objet d’une maintenance régulière, incluant notamment l’étalonnage. Dans le cadre de la norme NIST 800-171, les équipes doivent s’assurer que le système reste totalement sécurisé pendant les sessions de maintenance.
Le matériel doit être débarrassé de toute donnée sensible avant d'être envoyé en réparation ou étalonné. Les fournisseurs doivent fournir des lettres de volatilité comportant des instructions pour vider correctement les emplacements de mémoire de ces appareils, et les équipes de test doivent établir des processus pour protéger les données dans le cadre des processus de maintenance.
Si des données sensibles sont stockées sur des appareils multimédia, ces derniers doivent être protégés logiquement et physiquement. Les données des périphériques doivent être chiffrées. Les appareils doivent être protégés contre le vol et les systèmes doivent empêcher l'accès à partir de périphériques inconnus comme les clés USB.
L’architecte de test doit déterminer où les données seront stockées et comment les protéger dans ces emplacements. Les outils informatiques peuvent alors s’avérer utiles : Windows Bitlocker permet par exemple de crypter les données sur la plupart des ordinateurs serveurs. Pour d’autres appareils, il convient d’utiliser un programme de test permettant de crypter les données avant leur enregistrement, ou de contrôler les autorisations de connexion des appareils.
Pour garantir que seules certaines personnes ont accès au système de test et aux données, des processus de filtrage individuel et de contrôle des accès en cas de changement de rôle devront être mis en place. Les équipes de test doivent réfléchir à la mise en œuvre de processus de gestion des accès aux systèmes dans le cadre des politiques de l’entreprise.
La sécurité du système est parfois contournée par des actions physiques (modification des connexions, retrait de lecteurs) ou par l’ajustement des paramètres physiques du système. Lorsqu’elle met au point un système de test, l’équipe spécialisée doit prévoir ses modalités de sécurisation physique. Il peut notamment s’agir de contrôler l'accès à la pièce ou de verrouiller certains composants système.
Aucun plan de sécurité n'est parfait et les attaquants ajustent continuellement leurs stratégies. Pour maintenir la sécurité du système, les équipes de test doivent évaluer périodiquement leur profil de risque et effectuer les ajustements nécessaires. Les tests de vulnérabilité leur permettent d’identifier les faiblesses. Les équipes de test doivent planifier une stratégie de test de sécurité qui permettra de déceler les failles du système. Les grandes entreprises ont parfois une équipe de sécurité capable de concevoir un tel test en interne. Dans d’autres cas, les équipes de test peuvent faire appel un consultant externe pour réaliser cette tâche.
Les évaluations de la sécurité permettent d'analyser l'efficacité des contrôles de sécurité mis en place et d’identifier des pistes d’amélioration. Les équipes de sécurité doivent se réunir périodiquement pour analyser et mettre à jour le système de sécurité.
La norme NIST 800-171 est plus efficace lorsque le système est clairement défini et que les contrôles sont appliqués dans le cadre de cette définition. Outre les composants système, la définition doit inclure les connexions aux systèmes externes. Selon ces exigences, les connexions doivent être sécurisées et protégées. Cette protection doit garantir que les données ne sont pas communiquées en dehors du système sécurisé. Lorsque des données sont communiquées intentionnellement, elles doivent être cryptées pour éviter toute interception.
Cet ensemble de contrôles de la norme NIST 800-171 prévoit des exigences supplémentaires afin d’identifier les défauts du système et mettre à jour ces flux. Cela concerne notamment la mise à jour des protections contre le code malveillant. Les équipes de test doivent créer une stratégie de révision et de mise à jour, avec un minimum de perturbations sur le système de test.
Cet article propose un aperçu de la manière dont les ensembles de contrôles de la norme NIST 800-171 s’appliquent aux systèmes de test. Les équipes de test doivent examiner ces exigences dans le cadre de leur stratégie de déploiement des systèmes de test.
Découvrez les ressources que NI met à disposition pour vous aider à répondre à ces exigences.