Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > CMMC Compliance > Exigences du 32 CFR : Mises à jour clés pour la conformité CMMC
Exigences du 32 CFR : Mises à jour clés pour la conformité CMMC

Exigences du 32 CFR : Mises à jour clés pour la conformité CMMC

par Danielle Barbour updated décembre 16, 2024 CMMC Compliance
temps de lecture: 13 minutes

L’implémentation de la règle finale 32 CFR le 16 décembre 2024 avance le calendrier de conformité CMMC, exigeant une action immédiate des organisations dans la base industrielle de défense (DIB).

La publication de 32 CFR dans le Federal Register est significative car elle annonce une nouvelle ère dans les protocoles de cybersécurité du Département de la Défense (DoD), nécessitant une refonte urgente des cadres de sécurité existants. Ce changement de paradigme vise à renforcer la posture de cybersécurité des entités manipulant des informations sensibles non classifiées contrôlées (CUI) et des informations contractuelles fédérales (FCI).

Cette réglementation impose des mandats de cybersécurité rigoureux qui ne peuvent être ignorés. Les sous-traitants de la défense doivent agir maintenant pour comprendre et s’adapter aux implications opérationnelles et contractuelles de cette réglementation révolutionnaire. Le non-respect pourrait entraîner des conséquences graves, y compris la perte de contrats et des risques pour la sécurité nationale.

Dans cet article, nous allons disséquer les composants critiques de 32 CFR, son impact sur les organisations manipulant des CUI et FCI, et la transformation imminente du programme de certification du modèle de maturité en cybersécurité (CMMC) 2.0.

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire maintenant

Explication de 32 CFR

Le 32 CFR décrit des exigences spécifiques cruciales pour maintenir des mesures de cybersécurité robustes au sein de la DIB. 32 CFR est un élément critique pour protéger la sécurité nationale en définissant les réglementations pour la gestion et la sécurisation des FCI et CUI. La conformité aux exigences de 32 CFR aide les sous-traitants de la défense à protéger les données sensibles partagées avec le DoD, renforçant ainsi la sécurité nationale.

De plus, le CMMC 2.0 a été introduit pour aligner davantage les pratiques de cybersécurité avec les exigences définies par 32 CFR. Le calendrier du CMMC illustre la progression des règles et mises à jour, telles que la règle proposée du CMMC et la règle finale, améliorant la posture de cybersécurité des sous-traitants. Sous CMMC 2.0, les sous-traitants de la défense et les sous-traitants doivent atteindre des niveaux spécifiques de maturité en cybersécurité pour obtenir la certification. Cet alignement stratégique entre 32 CFR et CMMC 2.0 améliore non seulement la sécurité des données mais favorise également la confiance et la résilience au sein de la DIB.

Le processus de certification CMMC est ardu, mais notre feuille de route de conformité CMMC 2.0 peut vous aider.

Comprendre et se conformer à 32 CFR et CMMC 2.0 est crucial pour les sous-traitants de la défense tout au long de la supply chain. Adhérer aux trois niveaux de certification du cadre CMMC 2.0 assure une défense robuste contre les cybermenaces, protégeant les informations sensibles contre les accès non autorisés.

Résumé des points clés

  1. Date limite de conformité accélérée

    L’implémentation de la règle finale 32 CFR le 16 décembre 2024 accélère le calendrier de conformité CMMC, nécessitant une action immédiate des organisations au sein de la base industrielle de défense (DIB) pour répondre aux nouvelles exigences de cybersécurité plus strictes.

  2. Protocoles de cybersécurité renforcés

    La réglementation représente un changement de paradigme dans les protocoles de cybersécurité du Département de la Défense (DoD), avec un accent sur la protection des informations non classifiées contrôlées (CUI) et des informations contractuelles fédérales (FCI). La conformité à ces mises à jour est cruciale pour maintenir la sécurité nationale.

  3. Intégration avec CMMC 2.0

    32 CFR est étroitement intégré au cadre CMMC 2.0, qui simplifie et aligne les pratiques de cybersécurité à travers trois niveaux de certification. Cette intégration rationalise le processus de conformité, favorisant une résilience et une confiance accrues en cybersécurité au sein de la DIB.

  4. Exigences de conformité détaillées

    Les sous-traitants de la défense doivent respecter des exigences détaillées de reporting et de tenue de dossiers sous 32 CFR, y compris le reporting d’incidents en temps opportun et le maintien de dossiers complets des pratiques de cybersécurité, pour se qualifier pour la certification CMMC et assurer la protection des données sensibles.

  5. Transition et adaptation stratégiques

    La transition vers 32 CFR et CMMC 2.0 présente des défis mais offre également une voie structurée pour renforcer la résilience en cybersécurité. S’engager avec des experts de l’industrie, investir dans la formation et tirer parti des forums collaboratifs sont des stratégies recommandées pour une adaptation et une conformité réussies.

Exigences de 32 CFR

Les exigences de 32 CFR sont cruciales pour garantir la conformité en cybersécurité au sein de la base industrielle de défense (DIB). Ces exigences, alignées avec le cadre CMMC 2.0, mettent l’accent sur la protection des FCI et CUI. Les organisations doivent respecter ces normes de cybersécurité pour se qualifier pour la certification CMMC.

L’aperçu de 32 CFR explique les exigences spécifiques de reporting auxquelles les sous-traitants doivent adhérer selon la règle finale. Cela inclut le reporting d’incidents en temps opportun et le maintien de dossiers des pratiques de cybersécurité. Le texte de 32 CFR fournit une explication détaillée des exigences précises de reporting que les sous-traitants sont tenus de suivre selon la règle finale. Les exigences incluent :

  • Signaler rapidement les incidents de cybersécurité pour s’assurer que toute menace ou violation potentielle est communiquée aux autorités compétentes sans délai.
  • Maintenir des dossiers complets des pratiques de cybersécurité, y compris la documentation des mesures mises en œuvre par les organisations pour protéger les informations sensibles et toute mise à jour ou modification apportée à leurs protocoles de cybersécurité.

Ces exigences et d’autres aident à garantir que les sous-traitants adhèrent aux normes fédérales de cybersécurité et contribuent à la protection des informations critiques. Pour une explication complète des exigences de cybersécurité de 32 CFR, les organisations devraient envisager de revoir les règles proposées et finales.

Impact de 32 CFR

Les modifications proposées dans la règle CMMC 32 CFR visent à renforcer la sécurité nationale en imposant des pratiques de cybersécurité strictes à travers toute la DIB.

Les modifications proposées dans la règle CMMC 32 CFR visent à améliorer la cybersécurité pour la DIB, en commençant par la mise en œuvre de CMMC 2.0. Cela implique de rationaliser le processus de certification, d’établir un calendrier clair et d’aligner les organisations avec CMMC 2.0 pour mieux protéger les FCI et CUI. Les révisions clarifient comment 32 CFR et le cadre CMMC, y compris ses trois niveaux de maturité, offrent une approche de conformité structurée. À mesure que le calendrier avance, les mises à jour soulignent la nécessité de la certification CMMC 2.0 pour maintenir des pratiques de cybersécurité solides. Comprendre ces changements est crucial pour la conformité.

Pour les sous-traitants de la défense, se tenir au courant des mises à jour du calendrier CMMC 2.0 et obtenir la certification CMMC 2.0 est vital. Ce processus continu non seulement sécurise leur position au sein de la supply chain de défense mais contribue également de manière significative à l’objectif plus large de sécurité nationale. Avec la règle finale CMMC en préparation, l’accent sur l’alignement avec 32 CFR reste une priorité absolue pour toutes les parties prenantes impliquées.

Certification CMMC : Un cadre pour une cybersécurité renforcée

32 CFR révolutionne l’approche de la cybersécurité dans le secteur de la défense ; en établissant un ensemble clair et structuré de directives, il vise à garantir que tous les sous-traitants et sous-traitants au sein de la DIB adhèrent aux normes de cybersécurité nécessaires pour protéger les CUI et FCI. Cette réglementation est une réponse aux menaces et vulnérabilités de cybersécurité en cours qui posent un risque pour la sécurité nationale et l’intégrité des processus d’acquisition de défense.

Un des composants clés de 32 CFR est l’intégration avec CMMC 2.0, qui s’appuie sur le cadre initial du programme de certification du modèle de maturité en cybersécurité original (CMMC 1.0). CMMC 2.0 cherche à rationaliser le processus de certification en réduisant le nombre de niveaux de maturité et en simplifiant les exigences d’évaluation. Cela permet une approche plus ciblée et efficace pour atteindre la conformité en cybersécurité. Le nouveau modèle met l’accent sur la flexibilité et l’évolutivité, permettant une réponse plus adaptable au paysage dynamique de la cybersécurité.

CMMC 2.0 introduit trois niveaux principaux de certification, chacun correspondant à des degrés variés de maturité en cybersécurité. Pour les sous-traitants de la défense, comprendre ces niveaux et les exigences correspondantes est impératif. Les organisations doivent évaluer leur posture actuelle en cybersécurité, identifier les lacunes et mettre en œuvre les mesures nécessaires pour atteindre le niveau de certification approprié. Atteindre la conformité assure non seulement le respect des contrats mais renforce également la résilience globale en cybersécurité de l’organisation.

Niveau 1 CMMC : Fondamental

Niveau 1 CMMC de CMMC 2.0, connu sous le nom de “Fondamental”, pose les bases de la cybersécurité en imposant des pratiques d’hygiène cybernétique de base. Ce niveau concerne principalement la protection des FCI. Les organisations doivent mettre en œuvre des mesures de sécurité fondamentales telles que l’utilisation de mots de passe forts, la mise à jour régulière des logiciels et l’assurance de contrôles d’accès sécurisés.

Le niveau 1 CMMC vise à protéger les informations gouvernementales sensibles contre les accès non autorisés et les cybermenaces. Il est crucial pour les organisations manipulant des FCI d’adhérer à ces pratiques fondamentales pour prévenir les violations de données et maintenir la confiance dans les contrats gouvernementaux, assurant ainsi la conformité avec les normes 32 CFR et CMMC 2.0.

Niveau 2 CMMC : Avancé

Niveau 2 CMMC, appelé “Avancé”, est étroitement aligné avec les exigences décrites dans NIST SP 800-171 et se concentre sur la protection des informations non classifiées contrôlées (CUI). Les organisations aspirant à atteindre ce niveau doivent démontrer un cadre de cybersécurité robuste qui va au-delà de l’hygiène de base. Elles doivent mettre en œuvre des contrôles de sécurité renforcés, tels que l’authentification multifactorielle, la planification de réponse aux incidents et la surveillance continue de l’activité réseau. Le niveau 2 CMMC est essentiel pour les sous-traitants de la défense visant à sécuriser les CUI, car il aligne les pratiques de cybersécurité avec des réglementations fédérales strictes, notamment au sein des directives 32 CFR et CMMC.

Niveau 3 CMMC : Expert

Niveau 3 CMMC, connu sous le nom de “Expert”, représente le sommet de la maturité en cybersécurité au sein de CMMC 2.0. Ce niveau exige les normes les plus élevées de pratiques de cybersécurité, réservé aux contrats à haut risque impliquant des informations critiques pour la sécurité nationale. Les organisations doivent mettre en œuvre des technologies et des stratégies de pointe telles que la détection avancée des menaces, les capacités de réponse aux incidents et les évaluations continues des risques. La conformité à ce niveau respecte non seulement les exigences rigoureuses établies par NIST 800-171 mais aussi NIST 800-171. En obtenant la certification CMMC Niveau 3, les sous-traitants démontrent un engagement sans égal à protéger les informations sensibles de la nation.

Intégration de 32 CFR avec les exigences existantes

Alors que 32 CFR devient effectif, il est impératif pour les organisations au sein de la DIB de comprendre son intégration avec les cadres existants, en particulier la règle intérimaire publiée 48 CFR et le supplément Federal Acquisition Regulation de la Défense (DFARS).

La règle intérimaire d’acquisition CMMC de la partie 204 de 48 CFR, qui est maintenant publiée, est cruciale pour prescrire les aspects liés à l’approvisionnement de la conformité CMMC. Cette nouvelle règle permettra au Département de la Défense (DoD) d’exiger des niveaux CMMC spécifiques dans les appels d’offres et les contrats, augmentant l’importance de maintenir la conformité.

Sous la règle 48 CFR, les agents contractants ont le pouvoir de retenir les attributions de contrats aux sous-traitants ne disposant pas de l’évaluation de niveau de certification CMMC requise ou de l’affirmation continue de conformité pour les FCI et CUI. Ces exigences se répercutent à travers les niveaux de sous-traitance, garantissant que même les fournisseurs de niveau inférieur adhèrent aux normes de cybersécurité nécessaires.

Pour les sous-traitants de la défense, cela signifie un changement crucial, nécessitant une préparation non seulement pour les exigences de 32 CFR mais aussi pour les mandats d’approvisionnement de 48 CFR. Les organisations doivent s’engager de manière proactive avec ces exigences évolutives pour protéger leur éligibilité aux contrats et sécuriser leur place au sein de la DIB. Être proactif implique une évaluation continue et une adaptation des mesures de cybersécurité pour s’aligner sur les mandats 32 CFR et 48 CFR.

En restant informées et en mettant en œuvre des stratégies de conformité robustes, les organisations peuvent non seulement protéger leur éligibilité aux contrats de défense mais aussi améliorer leur réputation en tant que partenaires de confiance au sein de la communauté de défense. Cette approche proactive est vitale pour prospérer dans un environnement compétitif où la cybersécurité est un déterminant critique du succès opérationnel et de la sécurité nationale.

Rapport 2024 de Kiteworks sur la sécurité et la conformité des communications de contenu sensible

CMMC 2.0 et NIST SP 800-171 : Renforcer la posture de cybersécurité

Le Defense Industrial Base Cybersecurity Assessment Center (DCMA DIBCAC) de l’Agence de gestion des contrats de défense joue un rôle clé dans la protection des informations sensibles du DoD en évaluant et en garantissant la conformité en cybersécurité au sein de la base industrielle de défense.

Dans le cadre de ses responsabilités, le DCMA DIBCAC vérifie la mise en œuvre par les sous-traitants des normes NIST SP 800-171, soutenant les clauses DFARS 252.204-7012 et 252.204-7020. Le DCMA DIBCAC utilise un processus de priorisation stratégique pour ses évaluations, s’adaptant aux menaces cybernétiques évolutives et aux priorités du DoD. Le centre se concentre sur les programmes, technologies et infrastructures critiques pour la mission, ainsi que sur les sous-traitants (principaux et de niveau inférieur) qui soutiennent les capacités du DoD.

De plus, le DCMA DIBCAC prend en compte les menaces cybernétiques, les vulnérabilités, les incidents et les demandes spécifiques de la direction du DoD lors de la détermination des priorités d’évaluation. À ce jour, le centre a évalué 357 entités, y compris des sous-traitants principaux majeurs, démontrant son engagement envers une surveillance complète de la cybersécurité.

Exigences actuelles pour la gestion des CUI et FCI

Actuellement, les sous-traitants de la défense et les sous-traitants doivent respecter des exigences spécifiques lors de la gestion des FCI et CUI. Pour les contrats impliquant des FCI, les sous-traitants doivent se conformer à la clause 52.204-21 du Federal Acquisition Regulation (FAR), qui impose 15 mesures de protection de base.

Ces mesures forment la base de sécurité minimale pour toute entité recevant des FCI du gouvernement américain. Lorsqu’il s’agit de CUI, les exigences deviennent plus strictes. La clause DFARS 252.204-7012 exige que les sous-traitants mettent en œuvre 110 exigences de sécurité spécifiées dans NIST SP 800-171.

Cet ensemble complet d’exigences vise à fournir une sécurité adéquate sur tous les systèmes d’information des sous-traitants couverts. De plus, les sous-traitants doivent s’assurer que tout fournisseur de services cloud (CSP) qu’ils utilisent pour gérer les CUI répond aux exigences du Federal Risk and Authorization Management Program (FedRAMP) Moderate Baseline ou équivalentes.

Évaluation de la préparation au CMMC

Pour prouver la conformité, les sous-traitants sont tenus de développer un plan de sécurité du système (SSP) qui détaille les politiques et procédures en place pour respecter les normes NIST SP 800-171. Le SSP sert de document fondamental pour l’auto-évaluation requise par NIST SP 800-171.

Besoin de vous conformer au CMMC ? Voici votre liste de contrôle complète de conformité CMMC.

Les sous-traitants doivent ensuite soumettre leurs scores d’auto-évaluation au SPRS. Un score parfait de 110 indique la mise en œuvre complète de toutes les exigences de sécurité. Si le score d’un sous-traitant est inférieur à 110, révélant des lacunes en matière de sécurité, il doit créer un plan d’action identifiant les tâches de sécurité qui doivent encore être accomplies. Les clauses DFARS 252.204-7019 et 252.204-7020 renforcent ces exigences. La clause 252.204-7019 exige que les sous-traitants subissent une évaluation NIST SP 800-171 (de base, moyenne ou élevée) selon la méthodologie d’évaluation du DoD.

Les scores résultants doivent être rapportés au DoD via SPRS et ne doivent pas dater de plus de trois ans au moment de l’attribution du contrat. La clause 252.204-7020 accorde au DoD le droit de mener des évaluations de niveau supérieur de la conformité en cybersécurité des sous-traitants, exigeant que les sous-traitants fournissent un accès complet à leurs installations, systèmes et personnel.

Conformité CMMC 2.0 pour les sous-traitants

Un aspect crucial de ces exigences est leur application aux sous-traitants. Les sous-traitants principaux sont responsables de la transmission de ces exigences de cybersécurité à leurs sous-traitants qui traitent, stockent ou transmettent des CUI. Avant d’attribuer des contrats aux sous-traitants, les sous-traitants principaux doivent vérifier que leurs sous-traitants ont des scores SPRS actuels enregistrés, assurant une approche complète de la cybersécurité tout au long de la supply chain.

Transition vers CMMC 2.0 : Défis et recommandations

La conformité CMMC 2.0 présente des défis significatifs pour les sous-traitants de la défense, en particulier concernant la transition des pratiques actuelles vers le cadre de cybersécurité prescrit par les niveaux CMMC 2.0 1, 2 et 3. Malgré ces défis, le changement offre une voie structurée pour renforcer la résilience en cybersécurité. Une adaptation réussie nécessitera un effort concerté pour évaluer les mesures de cybersécurité existantes, identifier les lacunes et mettre en œuvre les améliorations nécessaires en ligne avec les exigences CMMC.

Pour naviguer dans ces défis, les organisations au sein de la DIB sont encouragées à s’engager dans un dialogue continu avec les agents contractants et les experts en cybersécurité pour assurer l’alignement avec les normes évolutives. Investir dans la formation des employés et des outils de cybersécurité à jour sera essentiel pour obtenir la certification CMMC.

De plus, tirer parti des forums collaboratifs et des ressources offertes par les associations industrielles peut fournir un soutien inestimable et un aperçu des meilleures pratiques pour la conformité et l’amélioration de la cybersécurité.

32 CFR : Embrasser l’avenir de la cybersécurité au sein de la DIB

Avec la règle finale 32 CFR maintenant en vigueur, le paysage de la cybersécurité au sein de la DIB est prêt pour une transformation majeure. Plus précisément, l’intégration de 32 CFR avec les cadres existants, tels que la règle intérimaire 48 CFR et NIST SP 800-171, établit une approche robuste et multi-couches de la cybersécurité.

Alors que les organisations se préparent à répondre à ces normes rigoureuses, l’accent est mis non seulement sur l’atteinte de la conformité mais aussi sur le renforcement de la résilience globale en cybersécurité. En comprenant et en mettant en œuvre les exigences de 32 CFR et la règle intérimaire 48 CFR publiée, la DIB peut considérablement renforcer ses défenses contre les cybermenaces sophistiquées.

Bien que cette transition présente des défis, elle offre également une opportunité unique d’élever les pratiques de cybersécurité dans l’ensemble, sécurisant les informations sensibles cruciales pour la défense nationale. Grâce à une adaptation proactive et une planification stratégique, les sous-traitants de la défense peuvent naviguer dans ce paysage complexe, assurant non seulement la conformité mais aussi la protection des informations de défense vitales pour les années à venir.

Kiteworks aide les organisations à atteindre la conformité CMMC avec un réseau de contenu privé

La règle finale 32 CFR marque un tournant dans le paysage de la cybersécurité pour la base industrielle de défense, soulignant la nécessité d’une conformité stricte avec les normes mises à jour. En s’alignant sur CMMC 2.0 et les cadres existants comme NIST SP 800-171, les organisations peuvent renforcer leur résilience en cybersécurité. Adopter ces changements ne concerne pas seulement la conformité mais aussi le renforcement des défenses contre les cybermenaces évolutives. Grâce à une adaptation stratégique, les sous-traitants de la défense ont l’opportunité d’améliorer leur posture de cybersécurité et d’assurer la protection des informations critiques de défense nationale.

Kiteworks peut aider. Le réseau de contenu privé de Kiteworks, une plateforme de partage et de transfert de fichiers sécurisés validée FIPS 140-2 Niveau, consolide la messagerie électronique, le partage de fichiers, les formulaires web, le SFTP, le transfert sécurisé de fichiers, et la gestion des droits numériques de nouvelle génération pour que les organisations contrôlent, protègent et suivent chaque fichier entrant et sortant de l’organisation.

Kiteworks prend en charge près de 90 % des exigences de niveau 2 CMMC 2.0 dès la sortie de la boîte. En conséquence, les sous-traitants et sous-traitants du DoD peuvent accélérer leur processus d’accréditation de niveau 2 CMMC 2.0 en s’assurant qu’ils disposent de la bonne plateforme de communication de contenu sensible.

Kiteworks permet une conformité rapide au CMMC 2.0 avec des fonctions et caractéristiques clés, notamment :

  • Certification avec les normes et exigences de conformité du gouvernement américain, y compris SSAE-16/SOC 2, NIST SP 800-171 et NIST SP 800-172
  • Validation FIPS 140-2 Niveau 1
  • Autorisé FedRAMP pour le niveau d’impact modéré CUI
  • Chiffrement AES 256 bits pour les données au repos, TLS 1.2 pour les données en transit, et propriété exclusive de la clé de chiffrement

Pour en savoir plus sur Kiteworks, réservez une démo personnalisée aujourd’hui.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks