Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > CMMC Compliance > MFT pour CMMC : Assurez-vous que votre solution de transfert sécurisé de fichiers est conforme au CMMC
MFT for CMMC: Ensure Your Managed File Transfer Solution is CMMC Compliant

MFT pour CMMC : Assurez-vous que votre solution de transfert sécurisé de fichiers est conforme au CMMC

par Danielle Barbour updated novembre 13, 2024 CMMC Compliance
temps de lecture: 9 minutes

Votre solution de transfert sécurisé de fichiers est-elle conforme au CMMC ? Si vous n’êtes pas conforme, et que vous devez l’être, cela peut vous coûter des contrats actuels ou futurs.

À qui s’applique le CMMC ? Le CMMC, ou Cybersecurity Maturity Model Certification, s’applique à toute personne travaillant avec le Département de la Défense des États-Unis, y compris les entrepreneurs et sous-traitants. Lors de son lancement initial, la mise en œuvre du CMMC a affecté plus de 300 000 organisations.

Le processus de certification CMMC est ardu, mais notre feuille de route pour la conformité CMMC 2.0 peut vous aider.

Qu’est-ce que le CMMC et comment impacte-t-il mon entreprise ?

CMMC est un ensemble relativement nouveau de réglementations en matière de cybersécurité déployées dans la chaîne d’approvisionnement du Département de la Défense (DoD). Basé sur la Publication Spéciale 800-171, le Standard Fédéral de Traitement de l’Information (FIPS) 200, et d’autres documents publiés par le National Institute of Standards and Technology (NIST), le CMMC fournit aux entrepreneurs de la chaîne d’approvisionnement un modèle de maturité qui détermine leur capacité à gérer les Informations Non Classifiées Contrôlées (CUI).

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire maintenant

Le CUI est une désignation unique pour les données. Créé en 2010 par un décret du président Barack Obama de l’époque, le CUI définit une catégorie d’informations qui, bien que non classifiées (et donc non soumises à la loi militaire ou fédérale en tant que telles), jouent néanmoins un rôle essentiel dans le fonctionnement des agences de défense ou exécutives. NIST 800-171 et le CMMC décrivent les exigences nécessaires pour protéger le CUI.

Pour évaluer la maturité des entrepreneurs en cybersécurité, le CMMC propose une approche par niveaux basée sur cinq niveaux déterminés par l’hygiène de cybersécurité (qui inclut le nombre de pratiques de sécurité technique mises en œuvre) et les processus (la capacité à gérer la sécurité organisationnelle).

Il existe trois niveaux de maturité CMMC dans le cadre CMMC 2.0 :

  1. Niveau 1 CMMC (Fondamental) : Niveau 1 CMMC nécessite une auto-évaluation annuelle attestée par un cadre de l’entreprise. Ce niveau englobe les exigences de protection de base pour les FCI spécifiées dans la clause FAR 52.204-21.
  2. Niveau 2 CMMC 2.0 (Avancé) : Niveau 2 CMMC est aligné avec NIST SP 800-171. Il nécessite des évaluations triennales par des tiers pour les entrepreneurs qui envoient, partagent, reçoivent et stockent des informations critiques pour la sécurité nationale. Ces évaluations tierces sont menées par des C3PAO. Certains entrepreneurs de niveau 2 ne nécessitent qu’une auto-évaluation annuelle avec attestation d’entreprise.
    Ce niveau englobe les exigences de sécurité pour le CUI spécifiées dans NIST SP 800-171 Rev 2 selon la clause DFARS 252.204-7012 [3, 4, 5].
  3. Niveau 3 CMMC 2.0 (Expert) : Niveau 3 CMMC est aligné avec NIST 800-172 et nécessitera des évaluations triennales dirigées par le gouvernement. Le niveau 3 contiendra 24 exigences de NIST SP 800-172.

Il est certain que lorsqu’il s’agit de transférer des fichiers dans un contexte où le CUI est impliqué, toute solution de transfert de fichiers devra répondre aux exigences de sécurité minimales pour au moins le niveau 2 du CMMC.

Comment le MFT affecte-t-il la conformité au CMMC ?

Parce que les réglementations CMMC exigent bien plus que de simples mesures de sécurité technique pour protéger les données, une solution de transfert sécurisé de fichiers (MFT) conforme offre de nombreuses fonctions de contrôle, de sécurité et d’audit des données. C’est pourquoi de nombreux entrepreneurs optent pour des solutions de transfert sécurisé de fichiers comme Kiteworks Secure MFT pour gérer le transfert de fichiers d’entreprise.

Considérons le niveau 2 du CMMC, le niveau minimum requis pour gérer le CUI. À ce niveau, une solution de transfert sécurisé de fichiers devrait inclure les fonctionnalités suivantes :

  • Chiffrement pour toutes les données au repos et en transit : Les algorithmes de chiffrement typiques à ce niveau incluent AES-128 ou AES-256 (pour les données au repos) et TLS 1.2 ou supérieur (pour les données en transit).
  • Contrôles d’accès suffisants : Une solution MFT qui maintient la conformité inclura des contrôles d’accès robustes—des moyens de limiter l’accès au système aux utilisateurs autorisés, de placer des limites d’accès en fonction du type de transaction, de limiter les tentatives de connexion, de contrôler strictement les privilèges des utilisateurs et de vérifier ou contrôler le nombre de transactions sur le système.
  • Journaux d’audit : Le CMMC exige des systèmes informatiques qui fournissent des journaux d’audit pour les actions des utilisateurs sur le système. Cela inclut la capacité de tracer de manière unique les étapes à travers le système, de maintenir des journaux immuables pour les analyses judiciaires, de marquer précisément les journaux, de créer des alertes basées sur les événements enregistrés, de protéger les informations d’audit contre la falsification ou la corruption, et de générer des rapports basés sur les journaux d’audit.
  • Rapports et documentation : Les MFT devraient inclure des moyens de rapporter l’activité dans le système, généralement via un tableau de bord qui soutient les efforts de reporting et de documentation. Ces documents seront souvent nécessaires pour répondre aux demandes d’audit, mais ils informent également des pratiques importantes et nécessaires comme la gestion des risques.

Points Clés

  1. Applicabilité et Importance de la Conformité CMMC

    Le CMMC s’applique à tous les entrepreneurs et sous-traitants travaillant avec le Département de la Défense des États-Unis. La non-conformité peut entraîner la perte de contrats actuels ou futurs.

  2. Niveaux de Conformité CMMC

    Le cadre CMMC 2.0 comprend trois niveaux de maturité : Fondamental, Avancé et Expert, chacun avec des exigences spécifiques. Un minimum de conformité au niveau 2 du CMMC est requis pour gérer les informations non classifiées contrôlées (CUI).

  3. Fonctionnalités Essentielles du MFT pour la Conformité

    Pour répondre aux exigences du niveau 2 du CMMC, les solutions MFT doivent offrir un chiffrement robuste, des contrôles d’accès et des journaux d’audit détaillés. Ces fonctionnalités garantissent des transferts de fichiers sécurisés et la conformité aux mandats de sécurité du DoD.

  4. Capacités Additionnelles du MFT

    Une solution MFT conforme au CMMC devrait également prendre en charge les transferts à haut volume et programmés, la scalabilité et l’intégration avec d’autres outils d’entreprise (par exemple, les systèmes SIEM), améliorant à la fois la sécurité et l’utilisabilité.

  5. Kiteworks Secure MFT pour une Conformité CMMC Complète

    Kiteworks offre des fonctionnalités clés telles que le chiffrement AES-256, l’autorisation FedRAMP, des journaux d’audit complets et des outils de visibilité des données comme le tableau de bord RSSI.

De plus, les MFT conformes doivent toujours répondre aux charges de travail d’entreprise à haute performance :

  • Transferts Programmés et en Lot : Gérer de grands transferts de fichiers ou des transferts en lot à haut volume tout en maintenant la vitesse et l’agilité sont les principales raisons d’utiliser des transferts de fichiers comme le MFT. Un MFT permet également de programmer ces transferts, ce qui peut servir à décharger les transferts intensifs en réseau après les heures de bureau.
  • Scalabilité : Un MFT fournit une base solide pour des schémas de transfert de fichiers évolutifs où les transferts stratégiques et la surveillance des données peuvent s’adapter en fonction des besoins d’une organisation.
  • Intégration d’Entreprise : Un MFT avec les bonnes intégrations vaut son pesant d’or. Un MFT qui peut intégrer des fonctionnalités avec des outils de productivité, des solutions de gestion des informations et des événements de sécurité (SIEM), des plateformes cloud et des applications de cloud computing étend la manière dont une organisation peut utiliser ces données efficacement.

Rapport 2024 de Kiteworks sur la sécurité et la conformité des communications de contenu sensible

Que recherchent les entrepreneurs de la défense dans une solution de transfert sécurisé de fichiers conforme au CMMC?

En ce qui concerne le MFT et la conformité, les organisations vont évaluer toute solution basée sur deux critères :

  • Fonctionnalités et Outils d’Entreprise : Que peut apporter cet outil à mon entreprise ? Comment aide-t-il à exploiter nos données de manière significative ? Que peut-il apporter en termes d’intelligence et d’aperçus, de flexibilité et de scalabilité ?
  • Conformité et Sécurité : Comment ce MFT fournit-il des mesures de sécurité conformes au CMMC ? Offre-t-il des mesures techniques, des contrôles administratifs, une sécurité physique, ou une combinaison de ces trois éléments ?

Avec cela à l’esprit, une solution MFT devrait cocher toutes les cases suivantes :

  1. La technologie répond au niveau de maturité CMMC souhaité.
  2. La technologie fournit des capacités d’audit et de journalisation étendues.
  3. La technologie inclut des intégrations de productivité ou d’autres fonctionnalités comme des tableaux de bord intégrés qui offrent plus de contrôle sur l’utilisation du système.
  4. La technologie prend en charge des contrôles MFT robustes comme la programmation détaillée et le suivi et les transferts à haut volume.

Kiteworks MFT pour la Conformité CMMC

En ce qui concerne le CMMC, les entrepreneurs et sous-traitants de la défense doivent travailler avec un fournisseur de MFT qui répond aux exigences du CMMC sans sacrifier l’utilisabilité et la fonctionnalité de l’entreprise. Le Réseau de Contenu Privé de Kiteworks aide les organisations à exploiter des fonctionnalités MFT de pointe avec une technologie sécurisée et conforme.

Avec Kiteworks, les entrepreneurs de la défense obtiennent les éléments suivants :

  • Sécurité et Conformité : Kiteworks utilise le chiffrement AES-256 pour les données au repos et TLS 1.3 pour les données en transit. Son appliance virtuelle durcie, ses contrôles granulaires, son authentification et d’autres intégrations de pile de sécurité, ainsi que la journalisation et l’audit complets, permettent aux organisations d’atteindre la conformité efficacement.
  • Journalisation d’Audit : Avec les journaux d’audit immuables de Kiteworks, les organisations peuvent être sûres de détecter les attaques plus tôt et de maintenir la chaîne de preuves correcte pour effectuer des analyses judiciaires. Étant donné que le système fusionne et standardise les entrées de tous les composants, son Syslog unifié et ses alertes font gagner un temps précieux à l’équipe du centre des opérations de sécurité (SOC) et aident une équipe de conformité à se préparer aux audits.
  • Cloud Privé à Locataire Unique : Les transferts de fichiers, le stockage de fichiers et l’accès se feront sur une instance dédiée de Kiteworks, déployée sur site, sur des ressources Infrastructure-as-a-Service (IaaS), ou hébergée dans le cloud par le serveur Cloud de Kiteworks. Cela signifie pas de runtime partagé, de bases de données ou de référentiels, de ressources, ou de potentiel de violations ou d’attaques inter-cloud. Kiteworks est également autorisé FedRAMP pour les informations de niveau d’impact modéré ; la conformité FedRAMP simplifie le processus de conformité CMMC car elle satisfait aux exigences de NIST 800-171, une base pour le niveau 2 du CMMC.
  • Scalabilité et Consolidation des Coûts : La gouvernance centralisée, la journalisation et l’administration permettront également d’économiser du temps et des coûts administratifs. Tous les serveurs Kiteworks sont équipés de manière transparente de partage sécurisé de fichiers et de messagerie électronique sécurisée.
  • Automatisation Transparente : La plateforme Kiteworks prend en charge l’automatisation du MFT pour faciliter le transfert de contenu vers et depuis SFTP et d’autres référentiels comme les partages de fichiers et AWS S3.
  • Facilité d’Utilisation en Libre-Service : Les utilisateurs professionnels accèdent à l’arrière-plan du serveur SFTP de Kiteworks via des dossiers de partage de fichiers Web familiers. Les employés délégués par les administrateurs gèrent les dossiers pour créer de nouveaux arbres de dossiers pour de nouveaux partenaires ou imbriquer de nouveaux dossiers pour de nouveaux sujets de données.
  • Visibilité et Gestion des Données : Notre tableau de bord RSSI offre aux organisations une vue d’ensemble de leurs données : où elles se trouvent, qui y accède, comment elles sont utilisées, et si elles sont conformes au CMMC. Le tableau de bord RSSI permet aux dirigeants d’entreprise de prendre des décisions éclairées sur les exigences de sécurité et réglementaires.

Pour en savoir plus sur la conformité CMMC et le transfert sécurisé de fichiers, réservez une démo personnalisée de Kiteworks dès aujourd’hui.

FAQs

CMMC Niveau 1 (Fondamental) : Se concentre sur la protection des Informations Contractuelles Fédérales (FCI) et comprend 15 exigences de sauvegarde de base de la clause FAR 52.204-21. CMMC Niveau 2 (Avancé) : Se concentre sur la protection des Informations Non Classifiées Contrôlées (CUI) et intègre les 110 exigences de sécurité de la norme NIST 800-171 Rév 2. CMMC Niveau 3 (Expert) : Se concentre sur la protection des CUI avec des exigences renforcées, englobant un sous-ensemble de 24 exigences de sécurité de la norme NIST 800-172 avec des paramètres approuvés par le DoD.

La mise en œuvre du CMMC 2.0 commence avec la Phase 1 (Mise en œuvre initiale), qui débute lorsque la règle 48 CFR entre en vigueur et nécessite les exigences d’auto-évaluation de Niveau 1 ou 2. La Phase 2 commence 12 mois après le début de la Phase 1 et introduit l’exigence de Certification CMMC Niveau 2. Ensuite, la Phase 3 débute 24 mois après la Phase 1 et ajoute l’exigence de Certification CMMC Niveau 3. La dernière étape, la Phase 4 (Mise en œuvre complète), commence 36 mois après la Phase 1 et représente la mise en œuvre complète, où toutes les sollicitations et contrats doivent inclure les exigences applicables du CMMC. Le DoD conserve la flexibilité d’implémenter les exigences du CMMC avant ces phases planifiées pour des achats spécifiques si nécessaire.

Les organisations du secteur de la Base Industrielle de Défense (DIB) qui traitent, stockent ou transmettent des Informations Contractuelles Fédérales (FCI) ou des Informations Non Classifiées Contrôlées (CUI) doivent être conformes au CMMC. Cela inclut plus de 220 000 entreprises qui soutiennent la chaîne d’approvisionnement du Département de la Défense (DoD) – des contractants principaux aux sous-traitants. Ces organisations contribuent aux systèmes, réseaux, installations, capacités et services du DoD, et doivent répondre aux exigences du CMMC pour protéger les informations sensibles de défense.

Le CMMC Niveau 2 se concentre sur la protection des Informations Non Classifiées Contrôlées (CUI) et intègre 110 exigences de sécurité spécifiées dans la norme NIST 800-171 Rév 2. Ce niveau couvre des domaines clés tels que les contrôles d’accès, la réponse aux incidents, l’évaluation de la sécurité et l’intégrité du système.

Le CMMC 2.0 interdit les POA&Ms pour le CMMC Niveau 1 mais les autorise pour le CMMC Niveau 2 et le CMMC Niveau 3. Les organisations doivent clôturer les POA&Ms dans les 180 jours suivant la fin de l’évaluation. Bien que les POA&Ms permettent un statut conditionnel, tous les éléments doivent être clôturés pour atteindre le statut final. Les exigences sont définies dans le § 170.21 de la règle finale du programme CMMC.

Ressources Supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks