Si vous devez vous conformer à la CMMC 2.0, voici votre liste de contrôle complète pour la conformité CMMC
Compte tenu de la complexité du cadre de certification de maturité en cybersécurité (CMMC), il est essentiel pour les entrepreneurs et sous-traitants gouvernementaux d’avoir une liste de contrôle de conformité CMMC complète pour s’assurer qu’ils répondent à toutes les exigences.
Le processus de certification CMMC est ardu mais notre feuille de route de conformité CMMC 2.0 peut aider.
Cet article explore les exigences de conformité CMMC 2.0, fournit une liste de contrôle de conformité CMMC complète et offre aux entrepreneurs du Département de la Défense (DoD) des perspectives pratiques sur la manière dont ils peuvent atteindre la conformité CMMC.
Conformité CMMC 2.0 Feuille de route pour les contractants du DoD
Qu’est-ce que la conformité CMMC ?
CMMC est un cadre de cybersécurité régulant les entrepreneurs de fabrication servant dans la Base Industrielle de la Défense (Base Industrielle de la Défense), une liste étendue de partenaires de la chaîne d’approvisionnement du DoD. Tout entrepreneur ou sous-traitant qui traite, envoie, partage ou reçoit des informations non classifiées contrôlées (CUI) ou des informations de contrat fédéral (FCI) doit démontrer sa conformité avec CMMC.
L’objectif de ce cadre est de prendre des exigences et des normes disparates, couplées à plusieurs modèles d’auto-évaluation et d’attestation, et de les rationaliser en pratiques de sécurité fiables, rigoureuses et robustes auxquelles toute entreprise peut s’aligner.
Les composants de CMMC qui le distinguent d’autres réglementations fédérales, comme le Réglement International sur le Trafic d’Armes (ITAR), la Loi fédérale sur la gestion de la sécurité de l’information (FISMA), ou le Programme fédéral de gestion des risques et des autorisations (FedRAMP), incluent :
- Informations non classifiées contrôlées (CUI) et Informations contractuelles fédérales (FCI): CMMC couvre explicitement le stockage, le traitement, la transmission et la destruction des informations CUI. Les CUI représentent une forme unique de données qui n’ont pas été classifiées comme Secret mais qui nécessitent des protections spéciales pour préserver la sécurité nationale. Des exemples de CUI peuvent inclure des informations financières relatives aux contrats gouvernementaux, informations personnelles identifiables (PII) des employés gouvernementaux, ou des données techniques sensibles liées aux systèmes de défense.
Le FCI est une autre forme moins importante d’informations liées aux relations contractuelles entre les entrepreneurs et les agences. Le CMMC est conçu pour gérer les deux cas.
- Normes NIST : CMMC, comme d’autres cadres de cybersécurité fédéraux, s’appuie sur les normes créées et maintenues par le National Institute of Standards and Technology (NIST). Plus précisément, CMMC se base sur NIST 800-171, “Protéger les informations non classifiées contrôlées dans les systèmes et organisations non fédéraux.”
De plus, certains niveaux avancés de conformité CMMC s’inspireront de NIST SP 800-172, “Exigences de sécurité renforcées pour la protection des informations non classifiées contrôlées : Un supplément à la publication spéciale 800-171 du NIST.”
- Niveaux de Maturité : Pour aider les contractants et les agences à s’aligner sur la sécurité requise pour entrer en relation de travail, CMMC divise la conformité en trois niveaux de maturité basés sur l’implémentation par le contractant des contrôles NIST SP 800-171 (et potentiellement SP 800-172).
- Évaluations par des tiers : Comme FedRAMP, CMMC repose sur des évaluations tierces effectuées par des organisations d’évaluation tierces certifiées (C3PAO) comme celles listées ici.
POINTS CLÉS
- Comprendre les exigences de conformité CMMC 2.0 et les considérations de coût :
Les coûts varient en fonction de la taille de l’organisation, de sa complexité et du niveau CMMC visé. - Composants et exigences du CMMC 2.0 :
Le CMMC s’inspire des normes NIST, catégorise la conformité en trois niveaux de maturité et exige des évaluations par des tiers. - Liste de vérification pour la conformité :
Évaluer le niveau de maturité souhaité, réaliser une auto-évaluation, tirer parti des cadres existants, créer un POA&M et un SSP, sélectionner un C3PAO, et définir un calendrier et un budget.
Exigences du CMMC 2.0
Les exigences CMMC 2.0 représentent un cadre critique conçu pour renforcer la protection des informations non classifiées contrôlées (CUI) au sein de la Base industrielle de la défense (DIB).
Un aspect significatif des exigences CMMC 2.0 inclut un accent sur l’évaluation et la certification. Pour le Niveau 1, les entreprises peuvent auto-évaluer leur conformité annuellement, tandis que le Niveau 2 nécessite une évaluation triennale par une Organisation d’évaluation tierce CMMC (C3PAO) ou l’Agence de gestion des contrats de défense (DCMA). Cela garantit que les mesures de cybersécurité ne sont pas seulement mises en œuvre mais maintenues dans le temps.
Malgré son approche structurée, certains aspects des exigences du CMMC 2.0 restent non définis. Cette ambiguïté concerne principalement les calendriers de conformité spécifiques, les implications financières pour les petites entreprises, et le processus exact de résolution des litiges ou de refus de certification. Le Département de la Défense (DoD) s’engage toutefois à fournir davantage de directives et de clarifications pour assurer une transition et un processus de mise en œuvre fluides pour toutes les parties prenantes.
En adhérant aux exigences du CMMC 2.0, les contractants de la défense contribueront non seulement à la sécurité nationale mais obtiendront également un avantage concurrentiel dans le processus d’acquisition. L’évolution de ces exigences reflète l’engagement continu du DoD à s’adapter aux menaces émergentes et à favoriser une chaîne d’approvisionnement de défense plus sécurisée.
Coût de la conformité CMMC
Comprendre le coût réel de la conformité au CMMC est crucial pour toute organisation cherchant à travailler avec le DoD. Le coût peut varier considérablement en fonction de plusieurs facteurs, tels que la taille de votre organisation, la complexité de votre infrastructure réseau, et le niveau de conformité au CMMC que vous visez à atteindre. Les coûts de conformité au CMMC pourraient inclure des mises à niveau de cybersécurité, des honoraires de consultants, et une formation supplémentaire pour le personnel.
Malgré ces dépenses, atteindre la conformité au CMMC n’est pas seulement une exigence pour les contractants du DoD mais aussi un investissement précieux dans la posture de cybersécurité de votre organisation. Suite à ces coûts initiaux, les organisations doivent également considérer les dépenses continues associées à la conformité au CMMC. Celles-ci peuvent inclure des audits réguliers de cybersécurité, des mises à niveau périodiques du réseau, et la nécessité d’une formation continue des employés pour rester à l’avant-garde des menaces émergentes. Des coûts supplémentaires pourraient survenir pour maintenir la documentation requise ou si vous choisissez d’engager un prestataire de services tiers pour gérer votre processus de conformité.
Un facteur significatif qui affecte le coût de la conformité CMMC est le niveau CMMC que votre organisation aspire à atteindre. Le modèle CMMC se compose de cinq niveaux, le niveau 1 étant le plus basique et le niveau 5 le plus avancé. Chaque niveau exige un ensemble de contrôles de cybersécurité de plus en plus rigoureux, ce qui signifie que le coût augmentera à mesure que vous montez dans les niveaux. Il est crucial pour les organisations d’évaluer avec précision leur niveau de conformité nécessaire et de budgétiser en conséquence.
Un autre facteur de coût est la taille et la complexité de votre organisation. Les grandes organisations avec des infrastructures réseau compliquées feront probablement face à des coûts de conformité plus élevés en raison de la complexité accrue de leurs besoins en cybersécurité. D’autre part, les petites organisations peuvent trouver le coût plus gérable, mais devraient toujours être prêtes à investir dans l’infrastructure nécessaire et la formation pour assurer la conformité.
Bien que le coût de la conformité CMMC puisse être considérable, il est essentiel de le voir, une fois de plus, comme un investissement dans l’avenir de votre organisation plutôt que comme une simple dépense. En atteignant la conformité CMMC, votre organisation ne répond pas seulement aux exigences pour travailler avec le DoD, mais renforce également considérablement sa cybersécurité globale, évitant potentiellement des cyberattaques coûteuses à l’avenir. Par conséquent, bien que la gestion et la planification du coût de la conformité CMMC puissent être difficiles, les avantages potentiels l’emportent largement sur les coûts initiaux et continus. De plus, la non-conformité peut entraîner une perte d’affaires avec le DoD, ce qui peut être un coup dur pour les organisations comptant sur ces contrats, rendant le coût de la conformité un investissement valable.
Niveaux de maturité du CMMC 2.0
Au cœur de CMMC 2.0 se trouve sa hiérarchie de niveaux de maturité. Ces niveaux dénotent la capacité d’un contractant à mettre en œuvre les contrôles du NIST SP 800-171, des niveaux plus élevés dénotant une posture de cybersécurité plus mature capable de traiter des menaces de sécurité plus complexes. De même, chaque niveau comporte plus de responsabilités en termes d’exigences d’évaluation.
Les trois niveaux de maturité CMMC 2.0 sont :
- Niveau 1 de CMMC 2.0 : Le niveau “Fondamental” est le minimum absolu de certification CMMC. Un contractant répondant aux exigences du Niveau 1 CMMC 2.0 peut mettre en œuvre un ensemble de 15 contrôles de NIST SP 800-171.
De plus, au lieu d’un audit C3PAO, ces contractants peuvent fournir des auto-évaluations annuelles et des affirmations de conformité. À ce niveau, le contractant est autorisé à gérer le FCI.
- Niveau 2 de CMMC 2.0 : Le niveau “Avancé” de CMMC suppose que le contractant a mis en œuvre les 110 contrôles de sécurité listés dans NIST SP 800-171.
En outre, le contractant doit subir des évaluations triennales via un C3PAO, avec des options pour l’auto-évaluation selon l’approbation du DoD pour certains programmes.Niveau 2 CMMC 2.0 est le niveau de maturité minimum que les contractants doivent atteindre pour gérer le CUI.
- Niveau 3 de CMMC 2.0 : Le niveau “Expert” de conformité CMMC voit les contractants mettre en œuvre les 110 contrôles de NIST SP 800-171 et des contrôles spécifiques dans NIST SP 800-172 sans exceptions pour les évaluations triennales C3PAO.
Niveau 3 CMMC 2.0 est réservé aux cas où des menaces de sécurité importantes, y compris des menaces persistantes avancées (APT), doivent être prises en compte.
Liste de vérification pour la conformité CMMC
La certification CMMC, précurseur de la conformité CMMC, est un processus rigoureux. Pour devenir certifié CMMC, les entreprises doivent répondre à un ensemble étendu d’exigences établies par le DoD. Ci-dessous, notre liste de vérification CMMC des éléments que les organisations doivent aborder et respecter si elles souhaitent obtenir la certification CMMC.
Évaluez le niveau de maturité CMMC approprié pour votre organisation
La première étape pour atteindre la conformité CMMC 2.0 est de déterminer quel niveau de maturité CMMC est le plus approprié de votre organisation. Le processus de certification CMMC est une approche par niveaux, et les entreprises doivent choisir le bon niveau à poursuivre en fonction de la sensibilité des données qu’elles traitent. Il existe trois niveaux de certification CMMC (voir ci-dessus).
Effectuez une auto-évaluation CMMC pour évaluer votre préparation à la conformité CMMC
Une fois que vous avez déterminé le niveau de maturité que votre organisation souhaite ou exige, l’étape suivante consiste à effectuer une auto-évaluation du profil de cybersécurité de votre organisation. Cette évaluation doit inclure un examen de la maturité en cybersécurité de votre organisation, y compris vos politiques et procédures, la sécurité du réseau, le contrôle d’accès et les capacités de réponse aux incidents.
Exploitez d’autres cadres de cybersécurité pour simplifier les efforts de conformité CMMC
Bien que l’obtention de la certification CMMC puisse être un processus complexe, les organisations peuvent faciliter la transition en tirant parti des cadres et certifications existants qui s’alignent sur les exigences du CMMC. Le CMMC a été développé à partir de cadres existants, et il existe un chevauchement significatif entre le CMMC et d’autres cadres de cybersécurité établis sur lesquels on s’appuie pour la conformité réglementaire.
Un tel cadre est le Cadre de Cybersécurité de l’Institut National des Standards et de la Technologie (NIST CSF), qui fournit un ensemble de lignes directrices et de meilleures pratiques pour gérer et atténuer les risques de cybersécurité. En mettant en œuvre le CSF, les organisations peuvent aligner leurs pratiques de cybersécurité avec les exigences du CMMC, ce qui rendra probablement le processus de certification plus facile et plus rationalisé.
D’autres cadres et certifications qui peuvent aider les organisations à obtenir la certification CMMC incluent FedRAMP, FISMA, les normes de l’Organisation Internationale de Normalisation 27000 (ISO 27001), et la publication spéciale 800-171 du NIST. En s’appuyant sur ces cadres et certifications, les organisations peuvent également améliorer leur posture globale en matière de cybersécurité et démontrer leur conformité aux exigences du CMMC.
Élaborer un plan d’action et des jalons (POA&M) pour la conformité CMMC
Un Plan d’Action et de Jalons (plan d’action et de jalons(POA&M) est un document crucial qui décrit la stratégie d’une organisation pour aborder ses faiblesses et ses déficiences dans ses mesures de cybersécurité. Il joue un rôle significatif dans la démonstration de la conformité au CMMC. Construire un POA&M nécessite une série d’étapes. Après avoir identifié le niveau approprié, identifiez les écarts entre votre posture de cybersécurité actuelle et les certifications requises. Cela nécessite une évaluation approfondie des politiques, procédures et mesures techniques existantes de votre organisation.
Sur la base des écarts identifiés, priorisez les domaines qui doivent être abordés en premier. Ensuite, développez un calendrier pour chaque tâche, y compris les délais pour la réalisation de chaque élément d’action. Attribuez des tâches aux membres de l’équipe avec des responsabilités claires et tenez-les responsables de rester sur la bonne voie. Enfin, documentez toutes les étapes prises vers la conformité et suivez régulièrement les progrès, en mettant à jour le plan d’action et les jalons si nécessaire. Cette approche garantit une démarche structurée et méthodique pour la conformité au CMMC, conduisant à une meilleure efficacité et des résultats en temps opportun.
Développer un plan de sécurité système (SSP) pour atteindre la conformité CMMC
Pour atteindre la conformité au CMMC, les organisations doivent créer un plan de sécurité du système (SSP) qui inclut des détails sur chaque système dans leur environnement IT qui stocke ou transmet des informations non classifiées contrôlées (CUI) conformément à NIST 800-171.
Le SSP décrit le flux d’informations entre les systèmes et les procédures d’authentification et d’autorisation, ainsi que les réglementations de l’entreprise, les obligations de sécurité du personnel, les diagrammes de réseau et les tâches administratives. Le SSP est un document vivant qui doit être mis à jour chaque fois que des changements significatifs sont apportés au profil de sécurité ou aux procédures d’une entreprise.
Pendant le processus d’appel d’offres et d’attribution de contrat, le Département de la Défense évalue les SSP des entrepreneurs. Pour remporter des affaires du DoD, les entrepreneurs doivent avoir un SSP actif et légitime.
Créer (et mettre à jour) le SSP peut être un processus qui nécessite beaucoup de ressources, mais il est essentiel pour maintenir les critères de certification CMMC. Par conséquent, les entrepreneurs doivent s’assurer qu’ils disposent des ressources nécessaires pour créer et mettre à jour le SSP.
Sélectionner une organisation d’évaluation tierce CMMC pour garantir la conformité CMMC
Après avoir complété l’auto-évaluation, vous devrez sélectionner une Organisation Évaluatrice Tierce Partie CMMC (C3PAO). Un C3PAO est une organisation qui a été autorisée par l’Organisme d’Accréditation (AB) à réaliser des évaluations CMMC. Le C3PAO sera responsable d’évaluer la conformité de votre organisation avec le cadre CMMC.
Travailler avec un C3PAO est une étape cruciale dans le processus d’obtention de la conformité CMMC. Il existe cependant plusieurs C3PAO sur le marché, et choisir le bon peut être accablant.
Voici quelques considérations à garder à l’esprit lors de la sélection et du travail avec un C3PAO :
- Consultez le site web de CMMC-AB pour une liste des C3PAO autorisés
- Recherchez un C3PAO ayant de l’expérience dans votre secteur
- Vérifiez le statut d’accréditation du C3PAO
- Demandez des références et des retours de la part des clients précédents
- Considérez leur structure de tarification
Une fois que vous avez sélectionné un C3PAO, vous devrez travailler étroitement avec lui pour atteindre la conformité CMMC. Le C3PAO fournira des orientations tout au long du processus de conformité, et il évaluera la conformité de votre organisation avec le cadre CMMC.
Définir un calendrier pour la conformité CMMC
Le processus de certification CMMC est une tâche qui prend du temps, et les entreprises doivent planifier en conséquence. Voici quelques facteurs que les entreprises doivent garder à l’esprit lors de la planification du processus de certification :
- Taille de l’organisation
- Posture de cybersécurité actuelle
- Le processus de certification peut prendre jusqu’à 12 mois, selon le niveau de certification
- Le C3PAO effectue une analyse des écarts avant l’évaluation réelle, ce qui peut prendre jusqu’à trois mois
- Le processus de certification nécessite un entretien continu et des évaluations périodiques
Allouer des ressources suffisantes pour atteindre la conformité CMMC
Le processus de certification CMMC peut être coûteux en termes de finances et d’allocation de personnel, et les entreprises doivent budgétiser en conséquence. Les entrepreneurs doivent s’attendre à encourir des coûts liés aux évaluations de cybersécurité, à la remédiation et à la maintenance continue. Voici quelques facteurs que les entreprises doivent garder à l’esprit lors de la planification de leur budget :
- Le coût du processus de certification peut varier selon le niveau CMMC
- Le coût de l’embauche d’un C3PAO peut varier selon leur expérience et leur statut d’accréditation
- Le processus de certification nécessite un entretien continu, ce qui peut augmenter les coûts de conformité
Comment se préparer à une évaluation CMMC
Il existe des étapes spécifiques que les organisations peuvent prendre pour se préparer à une évaluation CMMC. Certaines de ces étapes incluent:
- Comprendre les exigences NIST:Le NIST publie gratuitement de la documentation de sécurité sur leur site web. Ainsi, il y a peu ou pas de raison que votre organisation doit avoir une compréhension basique des catégories de contrôles de sécurité qu’une évaluation investiguerait. Si rien d’autre, avoir une personne ou un groupe au sein de votre organisation qui peut interagir avec les évaluateurs et le gouvernement sera crucial.
- Effectuer une analyse des écarts:Engagez une entreprise de sécurité pour analyser votre infrastructure informatique et déterminer comment elle se compare aux exigences du CMMC. Cela vous fournira une image claire de votre situation actuelle par rapport à celle où vous devez être, afin que vous puissiez effectuer les changements et mises à niveau nécessaires.
- Réalisez une évaluation des risques :Bien que les normes du CMMC soient clairement définies, vous pouvez envisager les normes industrielles ou les objectifs commerciaux avant de les adopter comme une liste de vérification. Réaliser une évaluation des risques peut vous aider à comprendre ce que vous devez mettre en œuvre pour la conformité sans limiter la capacité de croissance de votre entreprise.
- Sélectionnez un C3PAO :Le corps d’accréditation CMMC (CMMC-AB) propose un répertoire en ligne de C3PAOs accrédités. Utilisez cet outil pour sélectionner l’entreprise avec laquelle vous souhaitez travailler.
Cependant, le CMMC-AB interdit aux entrepreneurs de travailler avec un C3PAO en dehors de leur relation d’évaluation. Par exemple, pour éviter les conflits d’intérêts, un C3PAO ne peut pas fournir de conseil ou de travail en cybersécurité IT avant leur travail d’évaluation de l’entreprise.
- Préparez-vous pour l’évaluation continue :Après la certification CMMC initiale, votre organisation devra gérer la recertification continue et la surveillance. Selon le niveau de maturité de votre certification, cela pourrait signifier des auto-évaluations annuelles ou des audits C3PAO triennaux.
Préparez-vous à la conformité CMMC avec Kiteworks
Les entreprises modernes, axées sur les données, s’appuieront sur une infrastructure IT sécurisée et sans friction pour soutenir leurs opérations. Pour les entrepreneurs gouvernementaux, cela signifie utiliser des solutions de partage de fichiers sécurisées et conformes au CMMC.
Le Réseau de contenu privé Kiteworks est précisément une telle solution.
Avec Kiteworks, les entreprises de défense et autres organisations opérant dans des industries hautement réglementées obtiennent une sécurité renforcée, en utilisant notre réseau de contenu privé exclusif. Cette plateforme de communication privée et protégée fournit aux organisations des moyens sécurisés et conformes de messagerie électronique, de partage de fichiers, de transfert sécurisé de fichiers (MFT), de formulaires web, et d’interfaces de programmation d’applications (API).
Kiteworks propose une appliance virtuelle durcie, un chiffrement de bout en bout, des options de déploiement sécurisées incluant un cloud privé virtuel FedRAMP, des contrôles granulaires, l’authentification, des intégrations d’infrastructure de sécurité, et une journalisation et des rapports d’audit complets permettant aux organisations de démontrer facilement et en toute sécurité leur conformité avec les normes de sécurité.
Kiteworks aide les organisations à démontrer leur conformité avec de nombreuses réglementations et normes fédérales et internationales en matière de protection des données personnelles, incluant FedRAMP, les normes de traitement de l’information fédérale (FIPS), FISMA, ITAR, le Règlement Général sur la Protection des Données (RGPD), le programme australien d’évaluation de la sécurité de l’information enregistré (IRAP), NIST CSF, ISO 27001, UK Cyber Essentials Plus, la directive NIS 2 de l’Union européenneNIS 2, et bien d’autres encore.
Enfin, Kiteworks permet aux sous-traitants et contractants du DoD dans le DIP d’atteindre la conformité avec près de 90% des pratiques de niveau 2 du CMMC directement.
Demandez une démo personnalisée pour en savoir plus sur Kiteworks et comment le Réseau de contenu privé peut vous aider à atteindre vos exigences de conformité CMMC, y compris la démonstration de la conformité avec le CMMC 2.0 Niveau 2.
Ressources supplémentaires
- Article de blog Un guide pour la conformité CMMC 2.0 pour les contractants du DoD
- Article de blog 12 choses que les fournisseurs de la base industrielle de la défense doivent savoir lors de la préparation à la conformité CMMC 2.0
- Guide Cartographie de la conformité CMMC 2.0 pour les communications de contenu sensible
- Vidéo Rejoignez le serveur Discord de Kiteworks et connectez-vous avec des professionnels partageant les mêmes idées pour le support de conformité CMMC 2.0
- Article de blog Naviguer sur la route de la conformité CMMC niveau 2 : aperçus et conseils d’un expert