Répondre aux questions les plus courantes sur la conformité CMMC
Les organisations mondiales ayant des contrats avec le Département de la Défense des États-Unis (DoD) sont actuellement confrontées à un défi critique – garantir un état de conformité qui sera bientôt rendu obligatoire, pour leur organisation et dans toute la chaîne d’approvisionnement.
Avec certains des niveaux les plus élevés de conformité CMMC impliquant plus de 110 processus et pratiques uniques, il ne s’agit pas d’une tâche simple. Cependant, c’est une tâche extrêmement importante, obligeant les organisations à démontrer qu’elles peuvent gérer de manière confiante et fiable les informations sensibles.
Ci-dessous, nous explorons certaines des questions les plus fréquemment posées concernant la conformité CMMC 2.0, vous donnant les réponses nécessaires pour garantir que votre parcours de conformité soit aussi fluide et réussi que possible.
À première vue, ces questions sont :
- Qu’est-ce que la conformité CMMC ?
- Qui a besoin de la conformité CMMC ?
- Quelqu’un est-il exempté de la conformité CMMC ?
- Qui certifie la conformité CMMC ?
- Quand dois-je être conforme à CMMC 2.0 ?
- Quelles sont les exigences pour la conformité CMMC ?
- Mon organisation peut-elle atteindre plusieurs niveaux de conformité CMMC 2.0 en même temps ?
- Y a-t-il une maintenance continue requise après avoir obtenu la certification CMMC ?
Qu’est-ce que la conformité CMMC ?
La dernière certification Cybersecurity Maturity Model Certification (CMMC 2.0) marque une mise à jour et une amélioration par rapport à la certification précédente, avec pour objectif global de sécuriser les informations de défense sensibles. Selon leDépartement de la Défense des États-Unis :
« Le modèle CMMC est conçu pour protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI) qui sont partagées avec les entrepreneurs et les sous-traitants du département à travers des programmes d’acquisition. contre les risques indésirables et les menaces informatiques. »
Atteindre la conformité CMMC signifie qu’une organisation a mis en œuvre les pratiques et contrôles de cybersécurité nécessaires décrits dans le cadre du CMMC pour protéger les informations gouvernementales sensibles. Cela démontre l’engagement de l’organisation envers les meilleures pratiques de cybersécurité et sa capacité à protéger les données sensibles contre les cybermenaces.
Qui a besoin de la conformité CMMC ?
Toute organisation au sein de la chaîne d’approvisionnement du Département de la Défense des États-Unis (DoD) doit démontrer sa conformité avec le CMMC 2.0. Cela signifie qu’un nombre estimé de 300 000 organisations doivent s’assurer qu’elles peuvent sécuriser les informations gouvernementales sensibles.
Quelqu’un est-il exempté de la conformité CMMC ?
Bien qu’il n’y ait pas d’exemptions ou d’exceptions générales à la conformité CMMC pour les organisations au sein de la chaîne d’approvisionnement du DoD, le niveau exact de conformité peut différer. Il existe trois niveaux distincts de conformité CMMC, et le niveau de conformité dont votre organisation a besoin dépendra du type d’informations que vous traitez.
- Le niveau 1 (fondamental) vise à protéger les informations fédérales de base
- Le niveau 2 (avancé) vise à protéger des données plus sensibles
- Le niveau 3 (expert) protège les informations critiques contre les menaces avancées
Qui certifie la conformité CMMC ?
La conformité CMMC 2.0 est certifiée par des évaluations tierces effectuées par des Organisations Évaluatrices Tierces Certifiées (C3PAO). Être certifié peut prendre aussi peu que six mois pour le niveau un, ou jusqu’à 12 mois pour les niveaux deux et trois.
Les C3PAO sont autorisés par l’Organisme d’Accréditation CMMC (CMMC-AB). Leur rôle est de réaliser des évaluations, d’émettre des certifications et de vérifier indépendamment si votre organisation répond ou non au statut de conformité.
Quand dois-je être conforme au CMMC 2.0 ?
Bien que la date limite spécifique pour la conformité CMMC 2.0 n’ait pas été confirmée, le déploiement du CMMC 2.0 est prévu pour débuter au début de l’année 2025, englobant progressivement tous les contrats du DoD d’ici 2028.
Pour se préparer à cela, certains entrepreneurs du DoD demandent déjà à leurs sous-traitants de montrer leur conformité, alors qu’ils attendent que les directives finalisées soient déployées et prennent effet.
Quelles sont les exigences pour la conformité CMMC ?
Comme discuté, il existe trois niveaux différents de conformité CMMC, chaque niveau apportant des exigences supplémentaires.
- Au niveau 1, les organisations doivent démontrer qu’elles peuvent protéger les Informations sur les Contrats Fédéraux (FCI). En conséquence, ce niveau inclut uniquement des pratiques répondant à 15 exigences de base en matière de protection.
- Les pratiques de niveau 2 sont plus avancées que celles du niveau 1, avec des pratiques de cyber-hygiène sophistiquées protégeant des informations plus sensibles. À ce niveau, il y a 110 pratiques auxquelles les organisations doivent se conformer, avec une gamme d’évaluations annuelles et triennales.
- Le niveau 3 est conçu pour protéger des informations hautement critiques contre des menaces persistantes avancées. Ce niveau est destiné à un groupe sélect de contractants de la défense ayant des capacités vitales pour les intérêts de sécurité nationale. Il est attendu d’intégrer des pratiques et processus de cybersécurité avancés issus du NIST SP 800-172, bien que les exigences spécifiques et la méthodologie d’évaluation restent à définir par le DoD
Mon organisation peut-elle atteindre plusieurs niveaux de conformité CMMC 2.0 en même temps ?
Oui, les organisations peuvent atteindre simultanément plusieurs niveaux de conformité CMMC en mettant en œuvre les contrôles et processus nécessaires pour chacun.
Cependant, gardez à l’esprit que cela nécessite généralement une approche par phases. Nous recommandons de commencer par les pratiques fondamentales et de progresser graduellement vers les exigences plus avancées.
Y a-t-il une maintenance continue requise après avoir obtenu la certification CMMC ?
Oui, le maintien de la conformité CMMC nécessite une surveillance continue, une maintenance et une amélioration continue des pratiques de cybersécurité. De plus, pour chaque niveau, vous pouvez vous attendre à des évaluations régulières pour garantir une conformité complète.
- Niveau 1 :
Prévoyez de réaliser une auto-évaluation annuelle. - Niveau 2 :
Ici, les évaluations dépendent de si les données concernées sont critiques ou non pour la sécurité nationale. Si c’est critique, les organisations ont besoin d’une évaluation par une tierce partie de niveau supérieur tous les trois ans. Si ce n’est pas critique, elles doivent réaliser une auto-évaluation chaque année. - Niveau 3 :
En raison de la nature hautement sensible des informations à ce niveau, les évaluations seront dirigées par le gouvernement sur une base triennale. Liseznotre feuille de route pour la conformité CMMCaujourd’hui pour en savoir plus sur ces différents niveaux.
Commencez votre parcours de conformité CMMC dès aujourd’hui
Chez Kiteworks, nous sommes là pour vous soutenir dans votre parcours de conformité CMMC 2.0.
Notre Réseau de contenu privé autorisé par FedRAMP offre les fonctions nécessaires pour sécuriser entièrement le partage de fichiers, la messagerie électronique, et plus encore, tout en intégrant des fonctionnalités de conformité automatisées qui aident déjà les organisations à atteindre 89% des exigences de conformité de niveau 2 directement.
Demandez une démo aujourd’hui pour découvrir comment Kiteworks peut efficacement soutenir vos besoins de conformité CMMC.
Ressources supplémentaires
- Webinaire Ce que Optiv et Kiteworks recommandent pour les entrepreneurs et sous-traitants du DoD pour CMMC 2.0
- Guide Un guide détaillé sur CMMC 2.0 pour les entrepreneurs et sous-traitants du DoD
- Vidéo Ce que le CISO de Kiteworks, Frank Balonis, pense de CMMC 2.0
- Article Qu’est-ce que la certification de maturité en cybersécurité ?
- Billet de blog Qu’est-ce que la conformité à la sécurité CMMC ?