Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Tests totaux:
485,773,462
737,046
130,956

NIST SP 800-171 Compliance

NIST SP 800-171 sets the security requirements for protecting Controlled Unclassified Information and underpins CMMC. Learn how ImmuniWeb supports its vulnerability scanning and security testing requirements.

Temps de lecture:8 min. Mise à jour:8 juillet 2025
Conformité NIST SP 800-171 (Rev. 3)
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
NIST SP 800-171 (Rev.3) Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.

Conformité NIST SP 800-171 (Rev. 3)

Qu’est-ce que NIST SP 800-171?

NIST SP 800-171 spécifie les exigences de sécurité qu'un contrat ou toute autre organisation non fédérale doit respecter lorsque des informations CUI résident sur ses systèmes. Ces exigences s'appliquent à des familles de contrôles telles que le contrôle d'accès, l'audit et la responsabilité, la gestion de configuration, l'évaluation des risques, l'évaluation de sécurité, la protection des systèmes et des communications, ainsi que l'intégrité des systèmes et de l'information.

NIST SP 800-171 spécifie les exigences de sécurité qu'un contrat ou toute autre organisation non fédérale doit respecter lorsque des informations CUI résident sur ses systèmes. Ces exigences s'appliquent à des familles de contrôles telles que le contrôle d'accès, l'audit et la responsabilité, la gestion de configuration, l'évaluation des risques, l'évaluation de sécurité, la protection des systèmes et des communications, ainsi que l'intégrité des systèmes et de l'information.

See how ImmuniWeb supports NIST 800-171 vulnerability scanning and flaw remediation - testing the systems where CUI lives. Request a demo· or run a free Community Edition test.

Qui doit se conformer à la norme NIST 800-171?

NIST SP 800-171 s'applique à:

  • Les contractants du Department of Defense traitant du CUI, conformément au DFARS 252.204-7012.
  • Fournisseurs et sous-traitants de la base industrielle de défense qui reçoivent ou génèrent des CUI.
  • Other federal contractors required by contract to protect CUI.

Dans les environnements où des informations contrôlées non classifiées (CUI) sont traitées par des applications exposées à Internet, ces applications doivent être sécurisées et testées.

Exigences clés de NIST 800-171 pour la sécurité des applications

Several requirement families drive application-security work:

  • Risk Assessment - vulnerability monitoring and scanning: scan systems and applications for vulnerabilities at an organization-defined frequency and when new vulnerabilities are identified.
  • Security Assessment: assess the security controls protecting CUI to determine whether they are effective.
  • System and Information Integrity - flaw remediation: identify, report and correct system and application flaws in a timely way.

NIST 800-171 Security Requirements in Depth

Vulnerability Monitoring and Scanning

NIST 800-171 requires ongoing vulnerability scanning of systems and applications, with the scope updated as new vulnerabilities emerge. Automated scanning of internet-facing web and mobile applications feeds this requirement directly, and attack-surface management keeps the scope complete.

Security Assessment and Flaw Remediation

Les organisations doivent évaluer l'efficacité des contrôles de sécurité et remédier aux failles rapidement. Les tests d'intrusion valident l'efficacité des contrôles contre des attaques réelles, et des rapports de remédiation clairs prouvent une correction en temps opportun.

Risques courants des applications Web et mobiles à remédier

Les vulnérabilités applicatives que ces exigences visent à détecter correspondent étroitement à l'OWASP Top 10:

  • Broken Access Control — les utilisateurs accédant à des données ou à des actions qu'ils ne devraient pas.
  • Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
  • Injection — Injection SQL, de commande ou autre via des entrées non validées.
  • Insecure Design —missing security controls by design, not just by bug.
  • Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
  • Composants vulnérables et obsolètes — bibliothèques et frameworks non patchés.
  • Échecs d'identification et d'authentification —gestion faible des connexions, des sessions ou des identifiants.
  • Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
  • Security Logging & Monitoring Failures —attacks going undetected.
  • Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.

Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.

Comment respecter la norme NIST 800-171 avec ImmuniWeb

  1. Scope CUI systems. Map internet-facing apps and assets that handle CUI with ImmuniWeb Discovery.
  2. Scan for vulnerabilities with Neuron at your defined frequency.
  3. Assess controls with On-Demand and MobileSuite penetration testing.
  4. Remediate flaws using actionable, zero-false-positive reports.
  5. Secure development with Continuous in CI/CD.
  6. Re-test after changes and on a recurring basis.

Comment ImmuniWeb vous aide à atteindre la conformité NIST 800-171

ImmuniWeb supports the vulnerability-scanning, security-assessment and flaw-remediation requirements with testing that produces assessment-ready evidence.

Exigence Ce que cela nécessite Produits ImmuniWeb
Scanning des vulnérabilités Scan systems/applications for vulnerabilities. Neuron, Discovery
Security assessment Assess control effectiveness via penetration testing. On-Demand, MobileSuite
Flaw remediation / secure dev Correct flaws; secure the development life cycle. Neuron, On-Demand, Continuous

ImmuniWeb Neuron et Neuron Mobile assurent le scanning automatisé ; On-Demand et MobileSuite fournissent du penetration testing ; Continuous intègre le testing dans le CI/CD ; et Discovery cartographie la surface d’attaque où la CUI pourrait être exposée – ces solutions produisent conjointement des preuves pour les évaluations CMMC et DFARS.

NIST 800-171 vs cadres internationaux

Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:

Framework Perspective sécurité des applications Comment ImmuniWeb s'aligne
NIST SP 800-171 Vulnerability scanning, assessment, flaw remediation Tests d’intrusion Web/mobile + scans + ASM
CMMC (Level 2) Verifies 800-171 implementation Testing as assessment evidence
NIST SP 800-53 Catalogue de contrôles élargi Tests et surveillance des applications
ISO/IEC 27001 Annexe A: contrôles techniques Tests comme preuve de contrôle

Tests d'intrusion vs scans de sécurité

Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.

Liste de contrôle de conformité (Sécurité des applications)

  • CUI systems and internet-facing apps inventoried
  • Scanning des vulnérabilités à la fréquence définie
  • Contrôles de sécurité évalués via des tests d'intrusion
  • Flaws remediated promptly and re-tested
  • Secure development practices applied
  • Preuves conservées pour l’évaluation SPRS / CMMC
  • Correct 800-171 revision confirmed for each contract

Why NIST 800-171 Compliance Matters

Compliance with NIST 800-171 is a condition of winning and keeping U.S. Department of Defense contracts, and CMMC now verifies it through self-assessment or third-party assessment. A low SPRS score or failed assessment can put contracts at risk.

Comme les applications Web et mobiles traitant des données CUI constituent une véritable surface d'attaque, les analyses de vulnérabilité et les tests de sécurité démontrables sont parmi les moyens les plus directs de prouver le respect des exigences pertinentes.

Foire aux questions

  • Q
    What is NIST SP 800-171?
    A
    A NIST publication defining the security requirements for protecting Controlled Unclassified Information (CUI) on nonfederal systems, required of DoD contractors and the basis of CMMC Level 2.
  • Q
    What is the difference between Rev 2 and Rev 3?
    A
    La version 2 (110 exigences / 14 familles) est celle à laquelle la plupart des contrats et le CMMC font actuellement référence ; la version 3 (mai 2024) a restructuré les exigences et les a alignées sur le NIST 800-53, la transition s'opérant via de futurs actes réglementaires.
  • Q
    Who must comply with NIST 800-171?
    A
    Department of Defense contractors and their suppliers handling CUI, and other federal contractors required by contract.
  • Q
    Does NIST 800-171 require vulnerability scanning and testing?
    A
    Oui – cela nécessite des analyses de vulnérabilité continues, des évaluations de sécurité et la remédiation des failles pour les systèmes et applications traitant du CUI.
  • Q
    How does ImmuniWeb help with NIST 800-171?
    A
    By scanning and penetration testing the web and mobile applications that handle CUI and by mapping the attack surface for assessment evidence.
  • Q
    How does NIST 800-171 relate to CMMC?
    A
    CMMC Level 2 verifies that contractors have implemented the NIST 800-171 requirements.
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
NIST SP 800-171 (Rev.3) Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.
Parlez à un expert