CMMC vs. ITAR : Les entrepreneurs de la défense doivent-ils se conformer à l'un ou à l'autre ?

CMMC vs. ITAR : Les entrepreneurs de la défense doivent-ils se conformer à l’un ou à l’autre ?

Dans la sous-traitance de défense, la conformité aux réglementations est une partie essentielle de la conduite des affaires. La Certification du modèle de maturité en cybersécurité (CMMC) 2.0 et les Réglementations internationales sur le trafic d’armes (ITAR) sont des cadres réglementaires vitaux qui impactent l’industrie. Ces réglementations sont conçues pour protéger les informations sensibles et la sécurité nationale, mais elles doivent être clarifiées pour les sous-traitants de défense qui cherchent à comprendre quel cadre s’applique à leurs opérations. Ce billet de blog fournit un aperçu de la CMMC 2.0 et de l’ITAR, en comparant leurs différences fondamentales et en donnant des orientations sur les sous-traitants de défense qui doivent se conformer à l’une ou à l’autre.

CMMC 2.0 : Un aperçu

La Certification du modèle de maturité en cybersécurité, ou CMMC, est une norme de cybersécurité unifiée développée par le Département de la Défense des États-Unis (DoD) pour garantir la sécurité des informations sensibles au sein de la Base industrielle de défense (DIB). La conformité à la CMMC est requise pour tous les sous-traitants de défense qui travaillent avec le DoD et gèrent des informations non classifiées contrôlées (CUI). Ces informations peuvent inclure des données techniques, des données de recherche et d’ingénierie, ou d’autres données sensibles mais non classifiées liées aux opérations de défense.

En novembre 2021, le DoD a introduit la CMMC 2.0, une version mise à jour du modèle original, pour rationaliser le processus de certification et réduire la charge sur les petites entreprises. La CMMC 2.0 est construite sur trois niveaux, chacun avec un ensemble spécifique de procédures et de pratiques requises pour atteindre la conformité :

Niveau 1 : Cybersécurité fondamentale

Ce niveau se concentre sur l’hygiène de base en matière de cybersécurité, englobant les pratiques décrites dans la Publication spéciale 800-171 de l’Institut national des normes et de la technologie (NIST), avec quelques exigences supplémentaires. Ce niveau est le standard minimum pour les sous-traitants de défense qui gèrent des informations contractuelles fédérales (FCI).

Niveau 2 : Cybersécurité avancée

Les sous-traitants de défense qui gèrent des CUI doivent se conformer

Niveau 2, qui intègre des pratiques de sécurité supplémentaires au-delà de celles décrites dans NIST SP 800-171. Ce niveau vise à protéger les informations sensibles contre les cybermenaces avancées.

Niveau 3 : Expert en cybersécurité

Ce niveau est réservé aux programmes et technologies critiques nécessitant la plus haute protection en cybersécurité. Le niveau 3 intègre des exigences de sécurité plus strictes, y compris une surveillance continue et des capacités de détection de menaces avancées.

ITAR : Une vue d’ensemble

L’International Traffic in Arms Regulations, ou ITAR, est un ensemble de réglementations qui contrôle l’exportation, l’importation et le courtage d’articles de défense, de services de défense et de données techniques connexes. L’ITAR est appliqué par le département d’État américain, la Direction du contrôle du commerce de défense (DDTC) et vise à empêcher le transfert non autorisé de technologies de défense sensibles à des entités étrangères.

Les entrepreneurs en défense qui fabriquent, exportent ou fournissent des services liés à des articles sur la Liste des munitions des États-Unis (USML) doivent s’inscrire auprès de la DDTC et se conformer à l’ITAR. L’USML couvre divers articles liés à la défense, y compris les systèmes d’armes, l’électronique militaire et l’équipement de protection.

Comparaison entre CMMC 2.0 et ITAR

Bien que CMMC 2.0 et ITAR soient essentiels pour les entrepreneurs en défense, ils ont des objectifs et des exigences différents. La section suivante fournit une comparaison des deux cadres réglementaires.

Portée

CMMC 2.0 se concentre sur la cybersécurité et vise explicitement les entrepreneurs en défense travaillant avec le DoD qui gèrent FCI ou CUI. L’ITAR, en revanche, a une portée plus large, couvrant l’exportation, l’importation et le courtage d’articles de défense, de services de défense et de données techniques connexes.

Applicabilité

CMMC 2.0 s’applique à tous les entrepreneurs en défense travaillant avec le DoD, quels que soient la taille ou la nature de leurs opérations. L’ITAR s’applique aux entrepreneurs en défense qui fabriquent, exportent ou fournissent des services liés à des articles sur l’USML.

Application

Le CMMC 2.0 est appliqué par le DoD et exige que les entrepreneurs de défense subissent une évaluation par une tierce partie pour vérifier la conformité. La certification doit être maintenue tout au long de la période du contrat. Le DDTC du Département d’État applique l’ITAR, et les violations peuvent entraîner de sévères pénalités civiles et criminelles, y compris des amendes, de l’emprisonnement, et l’interdiction de futurs contrats.

Exigences

Le CMMC 2.0 décrit un ensemble de pratiques et de processus de cybersécurité à travers trois niveaux, avec des exigences spécifiques selon le niveau d’implication de l’entrepreneur avec FCI ou CUI. La conformité à l’ITAR implique l’enregistrement auprès du DDTC, la mise en œuvre d’un programme de conformité au contrôle des exportations, et l’obtention des licences appropriées pour l’exportation, l’importation, ou le courtage d’articles de défense, de services de défense, et de données techniques connexes.

Déterminer le besoin de conformité avec le CMMC 2.0 ou l’ITAR

Le besoin de conformité avec le CMMC 2.0 et l’ITAR dépend des opérations spécifiques et des services qu’un entrepreneur de défense fournit. Certains entrepreneurs de défense peuvent avoir besoin de se conformer à l’une ou à l’autre de ces réglementations, selon la nature de leur entreprise.

Conformité avec le CMMC 2.0

Tous les entrepreneurs de défense travaillant avec le DoD et manipulant des FCI ou des CUI doivent respecter le CMMC 2.0. Le niveau spécifique de conformité dépend du type d’information qu’ils gèrent:

Niveau 1: Cybersécurité Fondamentale: Pour les Entrepreneurs Gérant des FCI

La Cybersécurité Fondamentale, le premier niveau du CMMC 2.0, se concentre sur l’établissement d’une hygiène de base en matière de cybersécurité pour protéger les entrepreneurs de défense qui gèrent des FCI. FCI se réfère à l’information fournie par ou générée pour le gouvernement dans le cadre d’un contrat, qui n’est pas destinée à être diffusée au public.

Se conformer à Niveau 1 , les entrepreneurs de la défense démontrent qu’ils ont établi une base solide pour gérer les risques de cybersécurité et protéger le FCI contre l’accès et la divulgation non autorisés. À ce niveau, les entrepreneurs de la défense doivent adhérer aux pratiques de cybersécurité décrites dans le NIST SP 800-171 et à quelques exigences supplémentaires. Ces pratiques comprennent la sécurisation de l’accès aux systèmes d’information, la mise en œuvre de politiques de mot de passe sécurisées et le maintien à jour des logiciels antivirus.

Niveau 2 : Cybersécurité avancée : Pour les entrepreneurs manipulant le CUI

La cybersécurité avancée, le deuxième niveau du CMMC 2.0, est conçu pour les entrepreneurs de la défense qui traitent le CUI. Le CUI est une catégorie d’informations sensibles qui nécessitent une protection ou des contrôles de diffusion, car elles peuvent potentiellement nuire à la sécurité nationale si elles sont accessibles par des individus non autorisés.

En plus des exigences du niveau 1, les entrepreneurs de la défense à ce niveau doivent mettre en œuvre des pratiques de cybersécurité plus avancées pour protéger le CUI contre les cybermenaces sophistiquées. Ces pratiques surpassent le NIST SP 800-171 et peuvent inclure l’authentification à plusieurs facteurs, les techniques de double cryptage, et les systèmes de détection d’intrusion. En se conformant au niveau 2, les entrepreneurs de la défense démontrent leur engagement à protéger le CUI et à atténuer le risque d’incidents cybernétiques qui pourraient avoir des conséquences significatives pour la sécurité nationale.

Niveau 3 : Cybersécurité experte : Pour les entrepreneurs impliqués dans des programmes et technologies critiques

Expert en cybersécurité, le troisième et plus haut niveau du CMMC 2.0, est réservé aux entrepreneurs de la défense travaillant sur des programmes et des technologies critiques qui exigent la plus grande protection en matière de cybersécurité. Ces programmes et technologies peuvent impliquer des informations sensibles ou des capacités qui, si elles étaient compromises, pourraient causer de graves dommages à la sécurité nationale.

Les entrepreneurs de la défense doivent mettre en place un programme de cybersécurité complet et robuste incorporant des exigences de sécurité rigoureuses et des capacités avancées à ce niveau. Ces exigences peuvent inclure une surveillance continue, la détection et la réponse avancées aux menaces, et des mesures proactives pour identifier et atténuer les cybermenaces émergentes. En se conformant au Niveau 3, les entrepreneurs de la défense démontrent leur capacité à protéger les actifs les plus sensibles et critiques de la Base Industrielle de la Défense, assurant que les technologies et les capacités les plus avancées de la nation restent sécurisées et non compromises.

Conformité à l’ITAR

Les entrepreneurs de la défense qui fabriquent, exportent ou fournissent des services liés à des articles sur la USML doivent se conformer à l’ITAR. Cela inclut les entreprises impliquées dans le développement, la production ou la maintenance d’articles de défense et celles qui fournissent des formations, une assistance technique ou des services de conseil liés aux articles de défense.

Naviguer dans la double conformité avec le CMMC 2.0 et l’ITAR

Comprendre et gérer la double conformité est crucial pour que les entrepreneurs puissent maintenir leur éligibilité aux contrats du DoD et éviter d’éventuelles pénalités associées à la non-conformité. Dans certains cas, les entrepreneurs de la défense peuvent avoir besoin de naviguer dans la complexité de la conformité avec le CMMC 2.0 et l’ITAR. De tels scénarios se présentent généralement lorsque les entrepreneurs s’engagent dans des activités relevant à la fois des réglementations. Les situations suivantes nécessitent souvent une double conformité avec le CMMC 2.0 et l’ITAR :

Gestion des FCI ou CUI pour les contrats du DoD

Les entrepreneurs de la défense travaillant avec le DoD et gérant les FCI ou CUI doivent se conformer au niveau approprié du CMMC 2.0 pour leurs exigences de gestion de l’information, que ce soit la cybersécurité fondamentale, avancée ou experte.

Implication avec les articles de la USML

Les entrepreneurs qui fabriquent, exportent ou fournissent des services liés à des articles sur la USML doivent se conformer aux réglementations ITAR. Cela inclut l’obtention des licences nécessaires et la mise en œuvre d’un programme efficace de conformité au contrôle des exportations.

Par exemple, considérez un sous-traitant de la défense qui développe et fabrique un système radar avancé figurant sur la USML. En plus de gérer les CUI dans le cadre de leur contrat DoD, le sous-traitant exporte également le système radar vers des alliés étrangers. Dans ce cas, le sous-traitant doit se conformer à la CMMC 2.0 et aux réglementations ITAR.

Pour gérer efficacement la double conformité, les sous-traitants de la défense devraient mettre en œuvre une stratégie de conformité intégrée qui aborde les exigences spécifiques de la CMMC 2.0 et de l’ITAR. Cette stratégie pourrait impliquer :

  • Un programme de cybersécurité complet qui s’aligne sur le cadre de la CMMC 2.0 tout en intégrant les exigences de contrôle des exportations
  • Développement et maintenance d’un programme de conformité au contrôle des exportations qui s’intègre parfaitement à l’infrastructure de cybersécurité existante du sous-traitant
  • Des évaluations, des audits et des formations régulières pour garantir la conformité aux exigences de la CMMC 2.0 et de l’ITAR

En adoptant une approche cohérente de la conformité, les sous-traitants de la défense peuvent naviguer efficacement dans les complexités de l’adhésion à la CMMC 2.0 et aux réglementations ITAR, en protégeant les informations sensibles et en maintenant leur capacité à travailler avec le DoD et d’autres entités gouvernementales.

Cas d’utilisation

Les cas d’utilisation suivants illustrent la nécessité de se conformer à la CMMC 2.0 ou à l’ITAR.

Cas d’utilisation 1 : Services de cybersécurité

Un sous-traitant de la défense fournit des services de cybersécurité au DoD, y compris la gestion des CUI. Dans ce cas, le sous-traitant doit se conformer à la CMMC 2.0 Niveau 2 : Cybersécurité avancée. Comme le sous-traitant ne fabrique pas, n’exporte pas ou ne fournit pas de services liés à des articles sur la USML, la conformité à l’ITAR n’est pas requise.

Cas d’utilisation 2 : Fabrication d’électronique de défense

Un sous-traitant de la défense fabrique des électroniques de défense figurant sur la USML et exporte ces articles vers des alliés étrangers. Le sous-traitant doit se conformer à l’ITAR en raison de l’exportation d’articles de la USML. Si le sous-traitant gère également les CUI dans le cadre d’un contrat DoD, il doit respecter la CMMC 2.0 Niveau 2 : Cybersécurité avancée.

Utilisation de cas 3 : Services de recherche et développement

Un entrepreneur de défense fournit des services de recherche et développement au DoD en matériaux avancés pour les applications militaires. Cet entrepreneur gère à la fois les FCI et les CUI dans le cadre de leur travail. Dans ce cas, l’entrepreneur doit se conformer au CMMC 2.0 Niveau 2 : Cyber sécurité avancée. Si la recherche implique des éléments listés sur l’USML et que l’entrepreneur exporte, importe ou fournit des services liés à ces éléments, la conformité ITAR serait également requise.

Utilisation de cas 4 : Services de formation et de soutien militaire

Un entrepreneur de défense fournit des services de formation et de soutien militaire, y compris la collaboration avec des articles de défense listés sur l’USML. L’entrepreneur doit gérer les FCI ou CUI dans le cadre de leur travail. Dans ce cas, l’entrepreneur doit se conformer à l’ITAR en raison de leur implication avec les éléments de l’USML. La conformité CMMC 2.0 n’est pas requise, car ils ne gèrent pas de FCI ou CUI.

Simplifiez votre parcours de conformité CMMC 2.0 Niveau 2 avec Kiteworks

Naviguer dans le cadre CMMC 2.0 peut être un processus complexe, surtout pour les entrepreneurs et sous-traitants du DoD qui doivent atteindre la conformité de niveau 2. S’associer avec des experts du CMMC est une décision judicieuse pour assurer un parcours de conformité sans heurts.

Des pratiques de consultation spécialisées, telles qu’Optiv, peuvent vous aider à aligner vos contrôles et technologies existants avec les exigences de pratique de niveau 2. Ces experts peuvent vous guider à travers la réparation des Plans d’Action & Jalons (POA&Ms) et collaborer avec des organisations d’évaluation tierces certifiées CMMC (C3PAOs) pour l’évaluation et l’accréditation.

En plus de l’orientation experte, choisir la bonne plateforme de communication de contenu sensible peut accélérer significativement votre processus de conformité CMMC 2.0 Niveau 2. Plutôt que d’utiliser plusieurs outils pour envoyer, partager, recevoir et stocker des informations sensibles comme les CUI et FCI, une solution unifiée réduit la complexité, les inefficacités et le risque.

Plus de 3 800 organisations ont choisi la plateforme Kiteworks, uneFedRAMP Autorisé pour la solution à impact de niveau modéré (pendant six années consécutives). Entre autres facteurs, la conformité FedRAMP de Kiteworks le distingue des autres solutions que les fournisseurs du DoD utilisent pour les communications de données de fichiers et de courriels. Grâce à sa conformité FedRAMP et à son appareil virtuel renforcé, Kiteworks prend en charge près de 90% des 110 contrôles de pratique dans CMMC 2.0 Niveau 2 – plus que toute autre solution comparable sur le marché.

Découvrez comment vous pouvez rester en avance sur la concurrence et accélérer votre parcours vers la conformité CMMC 2.0 Niveau 2 en planifiant une démonstration personnalisée de Kiteworks aujourd’hui.

Ressources supplémentaires

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks