Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO
Home > Blog Sécurité et Conformité > CMMC Compliance > Une enquête révèle l’état préoccupant de la préparation en cybersécurité dans la base Industrielle de défense
L'enquête révèle l'état préoccupant de la préparation en cybersécurité dans la BID

Une enquête révèle l’état préoccupant de la préparation en cybersécurité dans la base Industrielle de défense

par Danielle Barbour updated octobre 22, 2024 CMMC Compliance
temps de lecture: 8 minutes

Le Département de la Défense (DoD) et son vaste réseau de sous-traitants forment l’épine dorsale de la sécurité nationale des États-Unis. Cependant, un rapport récent de CyberSheath révèle une réalité profondément préoccupante : la majorité des sous-traitants de la défense sont terriblement mal préparés aux exigences de la Cybersecurity Maturity Model Certification (CMMC), laissant les infrastructures critiques et les données sensibles vulnérables aux cybermenaces.

Le processus de certification CMMC est ardu, mais notre feuille de route pour la conformité CMMC 2.0 peut vous aider.

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire maintenant

Table of Contents

La Réalité Frappante de la Conformité CMMC

L’étude 2024 de CyberSheath, qui a élargi son champ d’application pour inclure les sous-traitants comptant jusqu’à 1 000 employés, dresse un tableau sombre de la préparation à la cybersécurité au sein de la Base Industrielle de Défense (DIB) :

  • Plus de 75 % des répondants affirment être conformes sur la base d’une auto-évaluation
  • Moins de 40 % travaillent activement sur un Plan de Sécurité du Système (plan de sécurité du système), un Plan d’Action et de Jalons (POA&M), les contrôles requis et les plans de conformité en cours
  • Seulement 4 % estiment que leur entreprise est complètement prête pour la certification CMMC
  • Le score moyen du Supplier Performance Risk System (SPRS) parmi les répondants est de -12 sur 110, bien en dessous du minimum requis par le DFARS de 110

Ces statistiques révèlent un décalage significatif entre la perception des sous-traitants de leur posture en matière de cybersécurité et la réalité de leur préparation.

Points Clés

  1. Non-Conformité Généralisée

    Malgré des auto-évaluations indiquant une forte conformité, l’état réel de préparation à la CMMC parmi les sous-traitants de la défense est alarmant.

  2. Infrastructures Critiques en Danger

    89 % des entreprises interrogées opèrent dans des secteurs d’infrastructures critiques définis par le DoD. Leur manque de préparation en matière de cybersécurité constitue une menace grave pour la sécurité nationale, la stabilité économique et la sécurité publique.

  3. Faible Adoption des Technologies Essentielles

    Les taux d’adoption des solutions de cybersécurité cruciales comme l’authentification multifactorielle (21 %), la gestion des vulnérabilités (20 %) et la gestion des correctifs (15 %) sont inquiétants, laissant les sous-traitants vulnérables aux cyberattaques.

  4. Coûts de Conformité Sous-Estimés

    Le budget annuel moyen déclaré pour la conformité DFARS (41 220 $) est grossièrement insuffisant. Par exemple, répondre aux exigences de surveillance réseau 24/7 coûterait environ 144 000 $ par an pour une entreprise de 30 à 50 personnes.

  5. Besoin Urgent d’Action

    Avec seulement 4 % des sous-traitants se sentant complètement prêts pour la certification CMMC, il est urgent d’accroître la sensibilisation, l’éducation, l’investissement dans l’infrastructure de cybersécurité et potentiellement un renforcement de l’application réglementaire pour améliorer la posture de cybersécurité de la DIB.

Pourquoi si Peu de Sous-Traitants Sont Prêts

Plusieurs facteurs contribuent au manque de préparation à la CMMC parmi les sous-traitants de la défense :

1. Les Exigences de la CMMC sont Complexes et Évolutives

De nombreux sous-traitants trouvent difficile de comprendre et de mettre en œuvre les exigences de la CMMC en raison de leur complexité et de leur nature dynamique. Environ 40 % des répondants ont évalué le reporting DFARS à 8 sur 10 ou plus en termes de difficulté. Le paysage en constante évolution des menaces et des réglementations en matière de cybersécurité rend difficile pour les entreprises de suivre le rythme.

2. La Conformité CMMC est Coûteuse

Plus de 50 % des sous-traitants ont souligné des impacts de coûts significatifs dus aux changements en cours et aux outils et solutions nécessaires. Le budget annuel moyen déclaré pour atteindre et maintenir la conformité DFARS est de 41 220 $, cependant, ce montant est terriblement insuffisant. Une entreprise de 30 à 50 personnes, par exemple, devrait s’attendre à dépenser environ 144 000 $ par an juste pour répondre aux exigences de surveillance réseau 24/7 basées aux États-Unis spécifiées par le DFARS.

3. Les Sous-Traitants de la Défense n’Adoptent pas les Technologies Critiques pour la Conformité CMMC

L’étude révèle des taux d’adoption alarmants pour les solutions de cybersécurité essentielles. Ces faibles taux d’adoption indiquent que de nombreux sous-traitants manquent de l’infrastructure technologique de base nécessaire pour une cybersécurité robuste. Exemples de faibles taux d’adoption :

  • Prévention des Pertes de Données (DLP) : 33 %
  • Solution de Gestion de la Configuration IT : 30 %
  • Solution de Gestion des Informations et des Événements de Sécurité (SIEM) : 30 %
  • Authentification Multifactorielle (MFA) : 21 %
  • Solution de Gestion des Vulnérabilités (VM) : 20 %
  • Solutions de Gestion des Correctifs : 15 %

4. Les Sous-Traitants de la Défense ne sont pas Conscients ou ne Comprennent pas la CMMC

Malgré la nature critique de la conformité CMMC, de nombreux sous-traitants semblent ignorer l’importance de la réglementation ou les conséquences potentielles de la non-conformité. Par exemple, seulement 63 % des répondants étaient conscients des audits du Defense Industrial Base Cybersecurity Assessment Center (DIBCAC).

5. Les Sous-Traitants de la Défense Surestiment leur Préparation à la CMMC

La disparité entre la conformité via auto-évaluation (plus de 75 %) et le score moyen SPRS (-12) suggère que de nombreux sous-traitants surestiment leurs capacités en matière de cybersécurité. Cette confiance excessive peut conduire à la complaisance et à un échec à aborder les vulnérabilités critiques.

Pourquoi un Manque de Préparation à la CMMC est Profondément Préoccupant

Les implications de la non-conformité généralisée à la CMMC au sein de la DIB sont vastes et potentiellement catastrophiques :

1. La Non-Conformité à la CMMC Pose des Risques pour la Sécurité Nationale

89 % des entreprises représentées dans l’étude opèrent dans des secteurs d’infrastructures critiques définis par le DoD. Ces secteurs sont considérés comme vitaux pour la sécurité nationale, la stabilité économique et la sécurité publique. Des mesures de cybersécurité inadéquates dans ces domaines pourraient avoir des conséquences dévastatrices si elles étaient exploitées par des adversaires.

2. Les Sous-Traitants de la Défense Non-Conformes à la CMMC sont Plus Vulnérables aux Cyberattaques

Les faibles taux d’adoption des technologies de cybersécurité essentielles laissent les sous-traitants de la défense très vulnérables aux cyberattaques. À une époque de menaces informatiques croissantes de la part des États-nations, cette vulnérabilité constitue un risque significatif pour les informations et technologies de défense sensibles.

3. Les Sous-Traitants de la Défense Non-Conformes à la CMMC Affaiblissent la Supply Chain de Défense

La DIB est un écosystème interconnecté. Les faiblesses dans une partie de la supply chain peuvent compromettre l’ensemble du réseau. Avec de nombreux sous-traitants ne répondant pas aux normes de cybersécurité de base, l’ensemble de la supply chain de défense est en danger.

4. La Non-Conformité à la CMMC Entraîne des Implications Économiques Sévères

Les incidents cybernétiques peuvent entraîner des pertes financières substantielles. L’étude montre que de nombreux sous-traitants ont déjà subi des pertes dues à des incidents cybernétiques. Une non-conformité continue pourrait entraîner des dommages économiques encore plus importants, tant pour les entreprises individuelles que pour le secteur de la défense dans son ensemble.

5. Les Sous-Traitants de la Défense Non-Conformes à la CMMC Perdent leur Avantage Concurrentiel et Affaiblissent la DIB

À mesure que les exigences de la CMMC deviennent plus strictes et appliquées, les sous-traitants non conformes risquent de perdre leur capacité à concourir pour les contrats du DoD. Cela pourrait entraîner une réduction de la DIB, impactant potentiellement l’innovation et la concurrence dans le secteur de la défense.

6. La Non-Conformité à la CMMC Entraîne des Conséquences Juridiques et Réglementaires Sévères

Avec une sensibilisation accrue à la False Claims Act et aux pénalités potentielles pour des rapports de score SPRS inexacts, les sous-traitants non conformes font face à des risques juridiques et financiers significatifs.

Besoin de vous conformer à la CMMC ? Voici votre liste de contrôle complète pour la conformité CMMC.

Comment les Sous-Traitants de la Défense Peuvent Améliorer leur Posture de Cybersécurité Avant la Conformité CMMC

Sur la base des conclusions du rapport, voici quelques moyens clés pour les sous-traitants de la défense d’améliorer leur posture de cybersécurité :

  1. Augmenter l’investissement dans les technologies essentielles de cybersécurité. Le rapport montre des taux d’adoption alarmants pour des solutions critiques comme : l’authentification multifactorielle (21 % d’adoption), la gestion des vulnérabilités (20 % d’adoption) et la gestion des correctifs (15 % d’adoption). Prioriser la mise en œuvre de ces contrôles de sécurité de base améliorerait considérablement la cybersécurité.
  2. Allouer plus de budget pour la conformité. Le budget annuel moyen déclaré de 41 220 $ est grossièrement insuffisant. Par exemple, répondre aux exigences de surveillance réseau 24/7 coûterait environ 144 000 $ par an pour une entreprise de 30 à 50 personnes. Les sous-traitants doivent augmenter les dépenses en cybersécurité pour répondre aux exigences de la CMMC.
  3. Améliorer la précision des auto-évaluations. Il y a un décalage majeur entre la conformité auto-évaluée (plus de 75 %) et la préparation réelle (score moyen SPRS de -12 sur 110). Les sous-traitants devraient effectuer des auto-évaluations plus rigoureuses pour identifier les lacunes ou faire appel à l’expertise d’organisations d’évaluation tierces certifiées (C3PAOs).
  4. Développer des Plans de Sécurité du Système (SSP) et des Plans d’Action et de Jalons (POAM) complets. Moins de 40 % travaillent activement sur ces éléments requis.
  5. Augmenter la sensibilisation et la compréhension des exigences de la CMMC. Environ 40 % ont évalué le reporting DFARS comme très difficile (8/10 ou plus). Des programmes d’éducation et de formation pourraient aider à combler ce manque de connaissances.
  6. Faire appel à une expertise tierce. Étant donné la complexité, de nombreux sous-traitants pourraient bénéficier de partenariats avec des entreprises de cybersécurité expérimentées ou des fournisseurs de services de sécurité gérés (MSSP) pour atteindre la conformité.
  7. Mettre en œuvre des processus de surveillance et d’amélioration continus. La cybersécurité n’est pas un effort ponctuel mais nécessite une vigilance continue pour faire face aux menaces évolutives.

En se concentrant sur ces domaines, les sous-traitants de la défense peuvent faire des progrès significatifs dans l’amélioration de leur posture de cybersécurité et avancer vers la conformité CMMC.

Kiteworks Aide les Sous-Traitants de la Défense à Prouver leur Conformité CMMC Avec un Réseau de Contenu Privé Autorisé Fed-RAMP

Le rapport de CyberSheath sert de signal d’alarme pour l’industrie de la défense. Le manque généralisé de préparation à la CMMC parmi les sous-traitants de la défense constitue une menace grave pour la sécurité nationale, la stabilité économique et l’intégrité de la supply chain de défense. Une action urgente est nécessaire de la part de toutes les parties prenantes – sous-traitants, DoD et fournisseurs de cybersécurité – pour aborder ces vulnérabilités critiques et renforcer la posture de cybersécurité de l’ensemble de la base industrielle de défense.

Alors que les cybermenaces continuent d’évoluer et de s’intensifier, le coût de l’inaction dépasse de loin l’investissement requis pour des mesures de cybersécurité robustes. La sécurité future de la nation dépend de la capacité de la DIB à relever ce défi et à créer un écosystème résilient et conforme à la CMMC capable de protéger efficacement les informations et infrastructures de défense critiques.

Le Réseau de Contenu Privé de Kiteworks, une plateforme de partage et de transfert de fichiers sécurisés validée FIPS 140-2 Niveau, consolide la messagerie électronique, le partage de fichiers, les formulaires web, le SFTP, le transfert sécurisé de fichiers et la gestion des droits numériques de nouvelle génération pour que les organisations contrôlent, protègent et suivent chaque fichier entrant et sortant de l’organisation.

Kiteworks prend en charge près de 90 % des exigences de niveau 2 de la CMMC 2.0 dès la sortie de la boîte. En conséquence, les sous-traitants et sous-traitants du DoD peuvent accélérer leur processus d’accréditation CMMC 2.0 Niveau 2 en s’assurant qu’ils disposent de la bonne plateforme de communication de contenu sensible.

Avec Kiteworks, les sous-traitants et sous-traitants du DoD unifient leurs communications de contenu sensible dans un Réseau de Contenu Privé dédié, en tirant parti des contrôles de politique automatisés et des protocoles de suivi et de cybersécurité qui s’alignent sur les pratiques de la CMMC 2.0.

Kiteworks permet une conformité rapide à la CMMC 2.0 avec des capacités et des fonctionnalités clés, notamment :

  • Certification avec les normes et exigences de conformité du gouvernement américain, y compris SSAE-16/SOC 2, NIST SP 800-171 et NIST SP 800-172
  • Validation FIPS 140-2 Niveau 1
  • Autorisé FedRAMP pour le niveau d’impact modéré CUI
  • Chiffrement AES 256 bits pour les données au repos, TLS 1.2 pour les données en transit et propriété exclusive de la clé de chiffrement

Les options de déploiement de Kiteworks incluent sur site, hébergé, privé, hybride et cloud privé virtuel FedRAMP. Avec Kiteworks : contrôlez l’accès au contenu sensible ; protégez-le lorsqu’il est partagé à l’extérieur en utilisant le chiffrement de bout en bout automatisé, l’authentification multifactorielle et les intégrations de l’infrastructure de sécurité ; voyez, suivez et générez des reportings sur toutes les activités de fichiers, à savoir qui envoie quoi à qui, quand et comment. Enfin, prouvez la conformité avec des réglementations et normes telles que le RGPD, la HIPAA, la CMMC, le Cyber Essentials Plus, l’IRAP, et bien d’autres.

Pour en savoir plus sur Kiteworks, réservez une démo personnalisée dès aujourd’hui.

Ressources Supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks