CMMC 2.0 Niveau 1: Tout ce que Vous Devez Savoir
Le Modèle de Maturité de Cybersécurité de la Certification (CMMC) est conçu pour garantir la protection d’informations sensibles liées à la sécurité nationale, telles que les informations non classifiées contrôlées (CUI) et les informations contractuelles fédérales (FCI). La certification s’applique à tous les entrepreneurs et sous-traitants du DoD, et un entrepreneur qui ne parvient pas à maintenir la conformité ne pourra pas soumissionner pour des contrats du DoD. CMMC 2.0 est une mise à jour de CMMC 1.0 qui a été initialement publiée en janvier 2021. La nouvelle version inclut des mises à jour pour la protection de FCI et de CUI.
CMMC 2.0 Compliance Roadmap for DoD Contractors
Conformément aux règles et politiques du DFARS et du DoD, le DoD a mis en place des contrôles de cybersécurité dans la norme CMMC pour protéger CUI et FCI. Ainsi, le CMMC mesure la capacité d’une organisation à protéger FCI et CUI. FCI est une information qui n’est pas destinée à être publiée et qui est fournie par ou générée pour le gouvernement dans le cadre d’un contrat visant à développer ou à fournir un produit ou un service au gouvernement. CUI est une information qui requiert des mesures de protection ou de diffusion conformes aux lois fédérales, aux règlements et aux politiques gouvernementales.
CMMC 2.0 se compose de trois niveaux de maturité distincts. Les organisations peuvent choisir parmi les trois niveaux de maturité, Fondamental, Avancé et Expert, pour évaluer et améliorer leur posture en cybersécurité. Cet article examine tout ce que vous devez savoir sur CMMC 2.0 Niveau 1, ses contrôles et ses exigences.
Qu’est-ce qui Détermine Mon Niveau de CMMC Requis ?
Le niveau de certification CMMC requis est déterminé par le type spécifique d’informations traitées par une entreprise et le type de travail qu’elle effectue. Le niveau de certification spécifique sera précisé dans tous les nouveaux contrats du DoD. Si un fournisseur n’est pas certifié au niveau spécifié, l’entreprise ne peut pas soumissionner pour les affaires du DoD.
Les entreprises qui ont une clause FAR 52.204-21 (qui est un sous-ensemble des exigences du DFARS) dans leur contrat et qui traitent uniquement FCI devront obtenir le Niveau 1 de CMMC. Ce niveau ne nécessite pas un fournisseur d’évaluation tiers certifié pour la certification. Il nécessite une auto-évaluation annuelle avec attestation d’un cadre dirigeant.
Qu’est-ce que CMMC 2.0 Niveau 1?
Le niveau Fondamental est le premier des trois niveaux, et il se compose de pratiques de base en matière de gestion des risques de cybersécurité. Ce niveau englobe les mesures de protection cybernétique les plus élémentaires et vise à répondre aux menaces cybernétiques les plus courantes. Il se concentre sur des mesures de sécurité de base et de gestion des risques, telles que l’authentification et le contrôle d’accès, c’est-à-dire la capacité à contrôler qui peut accéder à quelles informations.
Les exigences de ce niveau sont divisées en 17 pratiques différentes, notamment la Gestion des Actifs, la Protection des Médias, l’Identification & l’Authentification, l’Évaluation & l’Autorisation de Sécurité, et la Protection des Systèmes & des Communications. Les organisations doivent démontrer que toutes les pratiques requises ont été mises en œuvre, ainsi que démontrer des processus efficaces de gestion des risques en cybersécurité.
Qui a Besoin du Niveau 1 de CMMC 2.0?
Le Niveau 1 de CMMC 2.0 s’applique aux entrepreneurs et sous-traitants du DoD qui manipulent des FCI fournies par le gouvernement ou générées pour le gouvernement dans le cadre d’un contrat visant à développer ou à fournir un produit ou un service au gouvernement.
Le niveau Fondamental exige que les organisations mettent en œuvre des pratiques de cybersécurité de base. Elles sont autorisées à obtenir la certification par le biais d’une auto-évaluation annuelle. Les Organisations d’Évaluation Tierce Partie de CMMC (C3PAOs) ne sont pas impliquées dans la certification de Niveau 1.
Domaines et Contrôles de CMMC 2.0 Niveau 1
Le Niveau de Maturité CMMC 1 est le premier et le plus fondamental de la certification CMMC. Ses exigences se composent de pratiques de cybersécurité de base de 17 contrôles de sécurité extraits de ces six domaines:
Domaine |
Nombre de Contrôles |
Contrôle d’Accès (AC) |
4 contrôles |
Identification et Authentification (IA) |
2 contrôles |
Protection des Médias (MP) |
1 contrôle |
Protection Physique (PE) |
4 contrôles |
Protection des Systèmes et des Communications (SC) |
2 contrôles |
Intégrité des Systèmes et des Informations (SI) |
4 contrôles |
Les contrôles et les exigences en matière de sécurité dans chaque domaine comprennent:
Contrôle d’Accès (AC)
Le domaine du Contrôle d’Accès se concentre sur le suivi et la compréhension de qui a accès à vos systèmes et réseaux. Cela inclut les privilèges des utilisateurs, l’accès à distance et l’accès interne au système. Les contrôles spécifiques comprennent:
- Limiter l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom d’utilisateurs autorisés ou aux dispositifs (y compris d’autres systèmes d’information)
- Limiter l’accès au système d’information aux types de transactions et de fonctions que les utilisateurs autorisés sont autorisés à exécuter
- Vérifier et contrôler/limiter les connexions aux systèmes d’information externes et l’utilisation de ces connexions
- Contrôler les informations publiées ou traitées sur les systèmes d’information accessibles au public
Identification et Authentification (IA)
Le domaine de l’Identification et de l’Authentification se concentre sur les rôles au sein d’une organisation. Il travaille en synergie avec le domaine du contrôle d’accès en veillant à ce que l’accès à tous les systèmes et réseaux soit traçable pour les rapports et la responsabilité. Les contrôles comprennent:
- Identifier les utilisateurs du système d’information, les processus agissant au nom des utilisateurs ou les dispositifs
- Authentifier (ou vérifier) les identités de ces utilisateurs, processus ou dispositifs comme préalable à l’accès aux systèmes d’information de l’organisation
Protection des Médias (MP)
La Protection des Médias se concentre sur l’identification, le suivi et la maintenance continue des supports. Elle inclut également des politiques de protection, d’assainissement des données et de transport acceptable. Ce domaine n’a qu’une seule exigence :
- Assainir ou détruire les supports du système d’information contenant des informations contractuelles fédérales avant leur élimination ou leur réutilisation
Protection Physique (PE)
De nombreuses organisations mettent en place un processus d’inscription, exigeant une identification par lecteur de carte et un accès à certaines parties de leur emplacement. Cependant, toutes les organisations ne supervisent pas leurs visiteurs pendant toute leur durée de séjour. Ce domaine comprend les exigences suivantes qui aident les organisations dans ce domaine:
- Limiter l’accès physique aux systèmes d’information, à l’équipement de l’organisation et aux environnements d’exploitation respectifs aux personnes autorisées
- Accompagner les visiteurs et surveiller leur activité
- Maintenir des journaux d’audit des dispositifs d’accès physique
- Contrôler et gérer les dispositifs d’accès physique
Protection des Systèmes et des Communications (SC)
Les communications entre les employés doivent être sécurisées afin qu’aucun acteur malveillant ne puisse écouter et enregistrer des données sensibles. Le domaine de la Protection des Systèmes et des Communications se concentre sur la mise en œuvre de la défense au niveau des limites de communication organisationnelle. Les exigences de ce domaine comprennent:
- Surveiller, contrôler et protéger les communications organisationnelles (c’est-à-dire les informations transmises ou reçues par les systèmes d’information de l’organisation) aux limites externes et aux limites internes clés des systèmes d’information
- Mettre en place des sous-réseaux pour les composants de système accessibles au public qui sont physiquement ou logiquement séparés des réseaux internes
Intégrité des Systèmes et de l’Information (SI)
Ce domaine met l’accent sur la maintenance continue et la gestion des problèmes au sein des systèmes d’information. Il insiste sur le fait que les organisations doivent faire des efforts pour identifier les codes malveillants, mettre en place des protections continues pour les e-mails et la surveillance des systèmes. Les exigences comprennent:
- Identifier, signaler et corriger rapidement les failles de l’information et des systèmes d’information
- Fournir une protection contre les codes malveillants aux emplacements appropriés au sein des systèmes d’information de l’organisation
- Mettre à jour les mécanismes de protection contre les codes malveillants lorsque de nouvelles versions sont disponibles
- Effectuer des analyses périodiques du système d’information et des analyses en temps réel des fichiers provenant de sources externes lors du téléchargement, de l’ouverture ou de l’exécution des fichiers
Questions Fréquemment Posées
Qu’est-ce que CMMC 2.0 ?
CMMC 2.0 est la dernière version du modèle de certification de maturité en cybersécurité (Cybersecurity Maturity Model Certification). Il s’agit d’un ensemble complet de procédures et de normes développé par le Département de la Défense, destiné à établir une approche cohérente pour la protection des informations non classifiées contrôlées (CUI). Le modèle CMMC est conçu pour aider les organisations à évaluer et à traiter leurs risques en matière de cybersécurité, ainsi qu’à améliorer leur posture globale en matière de sécurité.
Quel est le but de CMMC 2.0 Niveau 1 ?
Le principal objectif de CMMC 2.0 Niveau 1 est de garantir que les organisations disposent des contrôles de base nécessaires pour protéger les CUI contre une utilisation non autorisée. Le Niveau 1 définit l’ensemble minimal de pratiques de cybersécurité que les organisations doivent avoir en place pour protéger les CUI, notamment des normes telles que la gestion des identités, la gestion des actifs et le contrôle d’accès.
Quelles sont les conséquences du non-respect de CMMC 2.0 Niveau 1 ?
Les conséquences du non-respect de CMMC 2.0 Niveau 1 varient. Ne pas respecter les normes minimales peut exposer une organisation à des risques potentiels, car des informations sensibles pourraient être divulguées ou volées. De plus, les organisations peuvent être soumises à des sanctions de la part du Département de la Défense ou d’autres organismes de réglementation si elles sont reconnues non conformes.
Comment puis-je mettre en œuvre les pratiques de CMMC 2.0 Niveau 1 ?
La mise en œuvre des pratiques de CMMC 2.0 Niveau 1 dans une organisation peut être réalisée à différents niveaux et peut être adaptée à la situation de l’organisation. Un point de départ consiste à réaliser une évaluation des risques, puis les organisations peuvent identifier les contrôles et pratiques spécifiques nécessaires pour respecter les normes. Elles devraient également mettre en place un programme de suivi et de reporting de leur progression.
Quels sont les avantages de la conformité avec CMMC 2.0 Niveau 1 ?
Les avantages de la conformité avec CMMC 2.0 Niveau 1 sont nombreux. Tout d’abord, les organisations pourront protéger l’intégrité de leurs CUI et avoir la certitude qu’elles sont en sécurité contre une utilisation non autorisée. De plus, en ayant en place un ensemble robuste de pratiques de cybersécurité, les organisations peuvent démontrer leur diligence raisonnable à leurs clients et autres parties prenantes, et peuvent contribuer à éviter des violations coûteuses de données. Enfin, la conformité avec CMMC 2.0 Niveau 1 peut aider les organisations à réussir des audits et à respecter les lois et réglementations applicables.
Kiteworks Private Content Network Facilite la Conformité au Niveau 1 de CMMC 2.0
Le Kiteworks Private Content Network (PCN) simplifie et aide les organisations de la Base Industrielle de la Défense (DIB) à se conformer au processus de conformité au Niveau 1 de CMMC 2.0. Kiteworks unifie, suit, contrôle et sécurise toutes les communications de contenu sensible dans une seule plateforme. Il permet également aux parties prenantes internes et externes de collaborer sur du contenu confidentiel. Kiteworks facilite et accélère le processus de conformité au Niveau 1 de CMMC 2.0 en fournissant un contrôle d’accès, un transfert de fichiers sécurisé, un chiffrement de fichiers, un partage de fichiers sécurisé et une authentification avec une authentification à deux facteurs et une authentification multifactorielle. Les organisations peuvent définir des autorisations et des politiques granulaires pour garantir le plus haut niveau de sécurité de leurs données et de leur contenu.
Dans le cadre de la conformité au Niveau 1 de CMMC 2.0, Kiteworks aide les organisations à créer une piste d’audit numérique de leurs communications de contenu sensible. Cela leur permet de surveiller ces communications et de démontrer leur conformité aux réglementations en matière de protection des données et de sécurité, y compris CMMC 2.0 Niveau 1.
Pour en savoir plus sur le Kiteworks Private Content Network et comment il peut accélérer votre conformité au Niveau 1 de CMMC 2.0, planifiez dès aujourd’hui une démonstration personnalisée.