Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO
Home > Blog Sécurité et Conformité > Conformité CMMC > Comment atteindre la conformité CMMC 2.0 en 8 étapes: Un guide étape par étape
Comment atteindre la conformité CMMC 2.0 en 8 étapes Un guide étape par étape

Comment atteindre la conformité CMMC 2.0 en 8 étapes: Un guide étape par étape

par Danielle Barbour updated juillet 27, 2023 Conformité CMMC
temps de lecture: 11 minutes

Pour les organisations cherchant à travailler avec le Département de la Défense des États-Unis (DoD), la Certification du Modèle de Maturité en Cybersécurité (CMMC) est apparue comme un cadre crucial développé par le DoD pour garantir des pratiques robustes en matière de cybersécurité parmi les contractants gouvernementaux. Si votre organisation vise à gagner ou à conserver des contrats du DoD, atteindre la conformité CMMC est non négociable.

Le chemin vers la conformité, cependant, peut être complexe et intimidant. Dans ce guide complet, nous vous fournirons une feuille de route étape par étape pour vous aider à comprendre le cadre CMMC, identifier les actions nécessaires et atteindre avec succès la conformité CMMC. En suivant ce guide, vous acquerrez les connaissances et les insights nécessaires pour renforcer la posture de cybersécurité de votre organisation et poursuivre avec confiance les contrats du DoD dans un environnement de plus en plus compétitif et réticent aux risques.

Le processus de certification CMMC est ardu mais notre feuille de route pour la conformité CMMC 2.0 peut aider.

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire maintenant

Aperçu de la conformité CMMC

La Certification du Modèle de Maturité en Cybersécurité (CMMC) est un cadre critique conçu pour renforcer la protection des informations non classifiées contrôlées (CUI) au sein de la Base Industrielle de la Défense (DIB). Instituée par le Département de la Défense des États-Unis (DoD), la conformité CMMC représente un changement pivot vers une approche plus unifiée et standardisée de la cybersécurité, encapsulant un mélange complet de processus, pratiques et stratégies visant à renforcer la défense contre les cybermenaces.

Au cœur de son dispositif, le cadre CMMC 2.0 classe la préparation en cybersécurité en trois niveaux progressifs, allant des pratiques de base d’hygiène cybernétique au niveau 1 jusqu’aux capacités avancées et progressives au niveau 3. Cette stratification garantit que les entrepreneurs et sous-traitants au sein du DIB peuvent améliorer progressivement leur posture de cybersécurité, en alignement avec les exigences spécifiques et les menaces pertinentes à leur niveau d’opération et la nature sensible des informations qu’ils gèrent.

Atteindre la conformité CMMC n’est pas simplement un obstacle réglementaire mais un avantage concurrentiel dans le paysage des contrats du DoD. Cela nécessite une évaluation approfondie par des organisations d’évaluation tierces autorisées CMMC (C3PAOs) pour valider la mise en œuvre des pratiques et processus de cybersécurité requis. Ce processus de certification souligne l’engagement du DoD à protéger les informations sensibles de la défense, atténuant efficacement les risques posés par les cyber-adversaires.

La conformité CMMC reflète également un engagement continu à renforcer la cyber-résilience du secteur de la défense. À travers des mises à jour et itérations périodiques, le cadre CMMC s’adapte au paysage changeant des menaces cybernétiques pour assurer que les entrepreneurs du DIB adoptent toujours les meilleures pratiques de cybersécurité les plus récentes. En conséquence, les entrepreneurs du DIB sont encouragés à voir la conformité CMMC non comme un repère statique mais comme un voyage continu vers l’atteinte et le maintien des normes les plus élevées de cybersécurité.

Comment atteindre la conformité CMMC 2.0 en 8 étapes: Un guide étape par étape - POINTS CLÉS

POINTS CLÉS

  1. Comprendre l’importance du CMMC :
    La conformité offre également aux entreprises un avantage concurrentiel, démontrant un engagement envers des pratiques de cybersécurité robustes.
  2. Le cadre CMMC 2.0 a évolué :
    Le CMMC 2.0 propose une approche simplifiée, incluant seulement trois niveaux de maturité, adaptés à la sensibilité des informations traitées.
  3. Atteindre la conformité CMMC en 8 étapes :
    Les actions clés incluent la réalisation d’une analyse des écarts, le développement d’un SSP, la mise en œuvre de contrôles de sécurité et l’établissement d’un POA&M.
  4. Collaborer avec les C3PAO :
    Les C3PAO identifient les faiblesses, développent des stratégies de remédiation et priorisent efficacement les efforts de conformité.
  5. La conformité nécessite un effort continu :
    Les organisations doivent surveiller et mettre à jour continuellement leurs mesures de sécurité pour s’adapter aux menaces et aux exigences évolutives.

8 étapes pour la conformité CMMC

Le tableau ci-dessous fournit un aperçu de haut niveau du processus de conformité CMMC, offrant une brève description des huit étapes.

Étape Description
Étape 1 : Comprendre les niveaux CMMC Familiarisez-vous avec les trois niveaux CMMC 2.0 et déterminez le niveau applicable à votre organisation.
Étape 2 : Réaliser une analyse d’écart Comparez la posture de cybersécurité de votre organisation avec les exigences du niveau CMMC 2.0 pertinent et identifiez les écarts.
Étape 3 : Développer un Plan de Sécurité Système (SSP) Créez un plan complet détaillant les objectifs de sécurité de votre organisation et les mesures pour répondre aux exigences CMMC.
Étape 4 : Mettre en œuvre les contrôles de sécurité Mettez en place les contrôles de sécurité nécessaires spécifiés par le cadre CMMC pour combler les écarts identifiés.
Étape 5 : Établir un Plan d’Action et des Jalons (POA&M) Développez une feuille de route détaillée avec des actions spécifiques, des parties responsables, des calendriers et des jalons pour aborder les risques et les déficiences.
Étape 6 : Réaliser des évaluations internes Évaluez régulièrement l’adhérence de votre organisation aux exigences CMMC grâce à des évaluations et des audits internes.
Étape 7 : Collaborer avec un évaluateur tiers Travaillez avec une Organisation Évaluatrice Tiers CMMC (C3PAO) pour réaliser une évaluation officielle et recevoir la certification nécessaire.
Étape 8 : Maintenir la conformité Surveillez et mettez à jour en continu les mesures de sécurité, réalisez des évaluations internes, et restez informé des directives et mises à jour du CMMC.

Examinons maintenant en détail chacune de ces étapes pour mieux comprendre ce que vous devez faire pour atteindre la conformité CMMC 2.0.

Étape 1 : Comprendre les niveaux CMMC

Le CMMC 2.0 introduit une nouvelle approche pour niveaux de maturité, en les réduisant de cinq dans le CMMC 1.0 à trois niveaux. Ces niveaux sont étroitement alignés avec les normes NIST 800 et suppriment les processus de maturité et les pratiques de sécurité uniques du CMMC 1.0.

Les trois niveaux du CMMC 2.0 sont :

CMMC 2.0 Niveau 1 : Fondamental

À ce niveau, les organisations doivent effectuer une auto-évaluation annuelle qui doit être attestée par un cadre dirigeant. L’objectif est de répondre aux exigences de base de protection des Informations Fédérales sur les Contrats (FCI) telles que spécifiées dans la Clause 52.204-21 des Réglementations Fédérales d’Acquisition (FAR).

CMMC 2.0 Niveau 2 : Avancé

Aligné avec le NIST SP 800-171, le niveau Avancé nécessite des évaluations triennales par des tiers pour les contractants impliqués dans la transmission, le partage, la réception et le stockage d’informations critiques pour la sécurité nationale. Ces évaluations sont menées par des Organisations Évaluatrices Tiers du CMMC (C3PAOs). Cependant, certains contractants relevant uniquement du Niveau 2 doivent réaliser des auto-évaluations annuelles avec attestation d’entreprise. Le Niveau 2 englobe les exigences de sécurité pour les CUI décrites dans le NIST SP 800-171 Rev 2, selon la Clause 252.204-7012 du Supplément de Réglementation Fédérale d’Acquisition de la Défense (DFARS).

CMMC 2.0 Niveau 3 : Expert

Aligné avec le NIST SP 800-172, le niveau Expert exigera des évaluations menées par le gouvernement tous les trois ans. Les informations détaillées sur le Niveau 3 ne sont pas encore disponibles mais devraient inclure un sous-ensemble des exigences de sécurité spécifiées dans le NIST SP 800-172.

Étape 2 : Réaliser une analyse des écarts

Réaliser une analyse des écarts implique de comparer la posture actuelle de cybersécurité de votre organisation avec les exigences du niveau CMMC pertinent. Identifiez les domaines où votre organisation est en défaut et déterminez les actions spécifiques nécessaires pour combler ces lacunes. Cette analyse vous aide à comprendre l’ampleur des travaux requis pour atteindre la conformité.

Étape 3 : Développer un plan de sécurité système (SSP)

Un Plan de Sécurité Système (SSP) est un document essentiel pour les organisations cherchant à se conformer au CMMC. Le SSP fournit un aperçu complet des contrôles de sécurité et des mesures de protection mises en œuvre au sein des systèmes de l’organisation. Les composants clés d’un SSP pour CMMC incluent typiquement :

  1. Introduction :Fournir une introduction au SSP, incluant le but, la portée et les objectifs du document. Déclarer clairement le système ou les systèmes couverts par le plan.
  2. Vue d’ensemble du système :Décrire le(s) système(s) abordé(s) dans le SSP, y compris son but, sa fonctionnalité et toute caractéristique unique. Cette section devrait fournir suffisamment de contexte pour comprendre les exigences de sécurité.
  3. Limites du système :Définir clairement les limites du système, y compris ses connexions aux systèmes externes, réseaux et flux de données. Identifier toute dépendance ou interdépendance qui impacte la posture de sécurité.
  4. Mise en œuvre des contrôles de sécurité :Présenter une description détaillée des contrôles de sécurité implémentés au sein du système. Aligner ces contrôles avec les exigences spécifiques du CMMC pour le niveau de certification désiré. Fournir un aperçu de la manière dont chaque contrôle est mis en œuvre et de toute procédure, outil ou technologie de soutien employé.
  5. Déclarations d’objectifs de contrôle :Pour chaque contrôle de sécurité, fournissez une déclaration d’objectif concise qui décrit le résultat ou le but visé par le contrôle. Ces déclarations doivent être alignées avec les objectifs de contrôle spécifiés dans le cadre du CMMC.
  6. Statut de mise en œuvre du contrôle :Indiquez le statut de mise en œuvre de chaque contrôle, en précisant s’il est entièrement mis en œuvre, partiellement mis en œuvre, ou prévu pour une mise en œuvre future. Incluez toute note ou explication pertinente pour les contrôles qui ne sont pas encore entièrement mis en œuvre.
  7. Responsabilité du contrôle :Identifiez les rôles et responsabilités des individus ou des équipes responsables de la mise en œuvre, de l’exploitation et de la maintenance de chaque contrôle de sécurité. Attribuez la responsabilité de la mise en œuvre du contrôle et du suivi continu.
  8. Surveillance du contrôle :Décrivez les processus et mécanismes en place pour surveiller l’efficacité des contrôles mis en œuvre. Expliquez comment la performance du contrôle est mesurée, évaluée et rapportée de manière régulière.
  9. Réponse aux incidents et rapport :Décrivez les procédures de réponse aux incidents en place pour le système. Incluez les étapes pour signaler les incidents de sécurité, les informations de contact pour les parties responsables, et toute notification ou rapport requise à des entités externes.
  10. Surveillance continue :Décrivez les procédures de surveillance continue de la posture de sécurité du système. Expliquez comment les événements de sécurité, les vulnérabilités et les changements de système sont évalués et traités au fil du temps.

Le SSP devrait être régulièrement mis à jour pour refléter les changements dans la posture de sécurité du système, les nouvelles menaces ou les changements dans les exigences de conformité. Il est également important de s’assurer que le SSP est aligné avec d’autres documents de conformité, tels que le Plan d’Évaluation du Système (SAP) et le Plan d’Action et de Jalons (POA&M), pour offrir une vue complète des mesures de sécurité de l’organisation.

Étape 4 : Mettre en œuvre les contrôles de sécurité

Sur la base des résultats de l’analyse des écarts et des exigences décrites dans le cadre du CMMC, commencez à mettre en œuvre les contrôles de sécurité nécessaires. Ces contrôles couvrent divers domaines, y compris le contrôle d’accès, l’identification et l’authentification, la protection des médias, la réponse aux incidents, la protection des systèmes et des communications, et plus encore. Assurez-vous que vos systèmes techniques, processus et politiques sont alignés avec les contrôles de sécurité spécifiés.

Étape 5 : Établir un plan d’action et des jalons (POA&M)

Un POA&M est un document qui décrit les actions spécifiques, les parties responsables, les délais et les étapes pour traiter les risques résiduels et les lacunes identifiées pendant le processus de mise en œuvre. Il fournit une feuille de route pour atteindre la conformité et aide à suivre les progrès vers la fermeture des écarts identifiés. Un POA&M pour CMMC devrait inclure ces activités :

  1. Identifier et prioriser les faiblesses :Révisez les résultats de votre analyse des écarts ou des évaluations de sécurité pour identifier les faiblesses ou vulnérabilités dans vos contrôles et pratiques de cybersécurité. Priorisez-les en fonction de leur gravité et de leur impact potentiel sur la posture de sécurité de votre organisation.
  2. Définir les actions de remédiation :Pour chaque faiblesse ou vulnérabilité identifiée, déterminez les actions spécifiques requises pour les aborder et les remédier. Définissez clairement les étapes, tâches et activités nécessaires pour mettre en œuvre les améliorations nécessaires.
  3. Fixer des délais :Établissez des délais réalistes pour compléter chaque action de remédiation. Prenez en compte des facteurs tels que la disponibilité des ressources, la complexité de l’action et le niveau d’effort requis. Assurez-vous que les délais soient réalisables et alignés avec les priorités de votre organisation.
  4. Attribuer des responsabilités :Attribuez des responsabilités claires à des individus ou des équipes pour la mise en œuvre de chaque action de remédiation. Communiquez clairement les rôles attribués et assurez-vous que les parties responsables comprennent leurs devoirs et attentes.
  5. Spécifier les jalons :Décomposez les actions de remédiation en jalons ou points de contrôle plus petits pour suivre les progrès. Fixez des jalons spécifiques qui indiquent des étapes clés ou des pas significatifs dans la réalisation du processus global de remédiation.
  6. Inclure des stratégies d’atténuation :Développez des stratégies d’atténuation pour toute faiblesse ou vulnérabilité qui ne peut être immédiatement adressée en raison de limitations de ressources, de dépendances ou d’autres facteurs. Ces stratégies doivent décrire des mesures temporaires pour réduire les risques tout en travaillant vers une résolution permanente.
  7. Informations de support du document :Inclure les détails pertinents et les informations de support pour chaque action de remédiation dans le POA&M. Cela peut inclure des documents supplémentaires, des références à des normes ou meilleures pratiques, ou toute information technique nécessaire.
  8. Établir le suivi et le reporting :Définir un processus pour surveiller la progression du POA&M, incluant des mises à jour régulières et des rapports sur l’état des actions de remédiation. Établir des mécanismes pour suivre l’achèvement, surveiller l’efficacité et communiquer tout changement ou mise à jour aux parties prenantes concernées.
  9. Révision et mise à jour :Réviser et mettre à jour régulièrement le POA&M pour refléter les changements dans le paysage de la cybersécurité, les menaces émergentes ou les exigences de conformité en évolution. Évaluer l’efficacité des actions de remédiation mises en œuvre et ajuster si nécessaire.
  10. Aligner avec d’autres efforts de conformité :Assurer que le POA&M est aligné avec d’autres documents et activités liés à la conformité, tels que le SSP (décrit à l’étape 3) et les processus de gestion des risques en cours. La cohérence et l’intégration parmi ces éléments aident à maintenir une approche globale de la cybersécurité.

Le POA&M doit être régulièrement examiné, révisé et communiqué aux parties prenantes clés pour garantir son efficacité dans l’adresse des faiblesses et vulnérabilités identifiées. Il sert de feuille de route pour améliorer la posture de sécurité de votre organisation et atteindre la conformité avec les exigences du CMMC.

Étape 6 : Réaliser des évaluations internes

Effectuez régulièrement des évaluations internes pour évaluer l’adhésion de votre organisation aux exigences du CMMC. Ces évaluations peuvent être réalisées par des équipes internes ou des consultants externes et doivent inclure la révision des politiques, la conduite d’audits techniques et la vérification de l’implémentation effective des contrôles de sécurité. Les évaluations internes aident à identifier les domaines nécessitant une amélioration et garantissent une conformité continue.

Étape 7 : Collaborer avec un évaluateur tiers

Pour atteindre la conformité CMMC, votre organisation doit s’engager avec une Organisation d’Évaluateur Tiers CMMC (C3PAO). Le C3PAO réalisera une évaluation officielle des pratiques de cybersécurité de votre organisation et fournira la certification nécessaire pour soumissionner sur les contrats du DoD.

Les C3PAO jouent un rôle crucial en aidant les organisations à atteindre la conformité CMMC 2.0 en fournissant des évaluations indépendantes et impartiales. Certifiées par le Corps d’Accréditation CMMC (CMMC-AB), ces organisations possèdent l’expertise et les connaissances nécessaires pour évaluer avec précision les pratiques de cybersécurité d’une organisation. Leur perspective externe permet une évaluation approfondie et objective de la préparation à la conformité d’une organisation.

Un autre avantage significatif du travail avec un C3PAO est leur capacité à conduire des évaluations complètes. Les C3PAO effectuent des évaluations approfondies des contrôles de sécurité, des politiques et des procédures d’une organisation. À travers des tests rigoureux et des analyses, ils identifient les lacunes ou vulnérabilités qui peuvent entraver la conformité aux exigences du CMMC. Cela aide les organisations à obtenir une compréhension claire de leur posture de sécurité actuelle et à prendre les mesures nécessaires pour remédier aux déficiences.

Une fois les faiblesses identifiées, les C3PAO offrent des recommandations et des stratégies d’amélioration. Ils aident les organisations à développer un Plan d’Action et de Jalons (POA&M), fournissant une feuille de route pour améliorer leurs pratiques de cybersécurité et s’aligner sur les exigences du CMMC. Cette orientation aide les organisations à prioriser les efforts de remédiation et à établir une base solide pour atteindre et maintenir la conformité.

Étape 8 : Maintenir la conformité

La conformité au CMMC est un processus continu. Une fois certifiées, il est impératif pour les organisations de maintenir la conformité en surveillant et en mettant à jour continuellement leurs mesures de sécurité pour s’adapter aux menaces changeantes et aux exigences évolutives du CMMC. Effectuez des évaluations internes régulières, révisez et mettez à jour les politiques et procédures, fournissez une formation continue aux employés et restez informé des dernières directives et mises à jour du DoD.

Faites un grand pas pour atteindre la conformité CMMC 2.0 avec Kiteworks

Le Kiteworks Réseau de contenu privé offre un soutien pour près de 90% des contrôles de pratique dans CMMC 2.0 Niveau 2, surpassant toute autre solution technologique actuellement disponible. Kiteworks est également autorisé FedRAMP pour un impact de niveau modéré. De plus, Kiteworks prend en charge diverses exigences de conformité, y compris ISO 27001, 27017 et 27018,
SOC 2,
Cyber Essentials Plus,
FIPS 140-2, Programme des évaluateurs enregistrés en sécurité de l’information (IRAP) évaluation au niveau des contrôles PROTECTED, et d’autres mesures.

Ces réalisations assurent des protections robustes, abordant les risques identifiés et collaborant avec un C3PAO pour l’évaluation et l’accréditation.

Une appliance virtuelle durcie, options de déploiement sécurisé, mécanismes d’authentification, chiffrement automatique de bout en bout, intégrations avec l’infrastructure de sécurité, et des journalisations et rapports d’audit robustes les fonctions offrent une protection supplémentaire pour les contenus sensibles tels que le CUI, les dossiers clients, les informations financières, la propriété intellectuelle, et autres.

Kiteworks permet aux organisations d’envoyer ce contenu de manière sécurisée et conforme, que ce soit partagé via messagerie électronique, partage de fichiers, transfert de fichiers géré (MFT), formulaires Web, ou interfaces de programmation d’applications (APIs). Toutes les activités de partage de fichiers sont suivies et consignées afin que les organisations puissent prouver aux régulateurs qu’elles savent qui accède au contenu sensible.

Planifiez une démonstration personnalisée dès aujourd’hui pour comprendre comment Kiteworks peut accélérer votre conformité CMMC 2.0.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Table des matières

Table of Content
Partagez
Tweetez
Partagez
Get A Demo