CMMC & CMMC 2.0 : Certification du modèle de maturité de la cybersécurité
Alors que le CMMC est encore en évolution, vous voudrez vous assurer que votre entreprise est à jour sur ce qu’une certification CMMC signifie et comment ses mises à jour vous affectent.
Le processus de certification CMMC est ardu mais notre feuille de route pour la conformité CMMC 2.0 peut aider.
Qu’est-ce que le CMMC ? La Certification du Modèle de Maturité en Cybersécurité est une norme qui exige des entrepreneurs du Département de la Défense de respecter certains niveaux de cybersécurité afin de protéger les données sensibles du département.
Qu’est-ce que le CMMC?
La Certification du Modèle de Maturité en Cybersécurité (CMMC) est une norme unifiée pour la protection des Informations Non Classifiées Contrôlées (CUI) au sein de la Base Industrielle de la Défense (DIB). Il s’agit d’un cadre utilisé pour évaluer les pratiques de cybersécurité d’une organisation et permet au Département de la Défense (DoD) de certifier que ces pratiques répondent aux exigences énoncées dans le NIST SP 800-171. La certification est requise pour toutes les organisations travaillant avec le DoD, car le CMMC est conçu pour protéger le CUI contre les cybermenaces et garantir que les entrepreneurs suivent les mêmes politiques et procédures de cybersécurité.
Conformité CMMC 2.0 Feuille de route pour les contractants du DoD
Qu’est-ce que le cadre CMMC?
La Certification du Modèle de Maturité en Cybersécurité (CMMC) est un cadre de cybersécurité centralisé et rationalisé créé par le Département de la Défense des États-Unis pour soutenir les entrepreneurs en défense dans leurs efforts de conformité et de sécurité de la chaîne d’approvisionnement.
Comprendre le cadre CMMC est crucial pour les entrepreneurs de la défense car il détaille les normes et pratiques de cybersécurité nécessaires pour protéger les données sensibles et garantir la conformité. Le CMMC est conçu pour améliorer la posture de sécurité du secteur de la défense en imposant un cadre de cybersécurité échelonné. Ce cadre est essentiel pour les entrepreneurs travaillant avec le DoD et les agences associées, car il spécifie les niveaux d’hygiène et de processus de cybersécurité qui doivent être mis en œuvre en fonction de la sensibilité des données traitées.
Contrairement aux réglementations précédentes qui permettaient aux entrepreneurs de s’auto-certifier leurs mesures de cybersécurité, le cadre CMMC introduit un système échelonné de conformité, allant des exigences de base en matière d’hygiène cybernétique à des protocoles de sécurité avancés, garantissant que tous les entrepreneurs de la défense répondent à un niveau de base de normes de cybersécurité pour protéger à la fois les informations non classifiées et les informations non classifiées contrôlées critiques pour la sécurité nationale.
Introduit en 2019, le cadre CMMC a été établi pour améliorer la posture de cybersécurité des entrepreneurs de la défense, garantissant qu’ils disposent des niveaux de sécurité requis pour protéger les informations de contrat fédéral (FCI) et les informations non classifiées contrôlées (CUI). Se différenciant du précédent processus d’auto-certification sous les directives NIST 800-171, le cadre CMMC impose une évaluation par une tierce partie pour valider la conformité, répondant à la question essentielle de “qu’est-ce que le CMMC” en établissant un benchmark structuré pour la préparation et la résilience en cybersécurité au sein de la base industrielle de la défense.
Le cadre CMMC marque un tournant décisif dans la manière dont les entrepreneurs de la défense assurent la conformité en matière de cybersécurité. Précédemment basé sur des auto-déclarations, le cadre CMMC introduit un modèle structuré qui nécessite des audits par des tiers pour vérifier la conformité aux normes de cybersécurité. Ce cadre est encapsulé dans la règle intérimaire Supplément de Réglementation Fédérale d’Acquisition de la Défense (DFARS) 2019-D041, intégrant les exigences CMMC dans tous les processus d’acquisition de la défense. Cette transformation souligne l’engagement du Département de la Défense à renforcer les mesures de cybersécurité à travers sa chaîne d’approvisionnement, soulignant l’importance de comprendre ce qu’est le CMMC et ses implications pour les entrepreneurs de la défense.
En novembre 2021, le DoD a dévoilé le cadre CMMC 2.0, marquant une évolution significative dans les normes de cybersécurité pour les entrepreneurs de la défense. Nous explorerons plus en détail ci-dessous les améliorations introduites avec le cadre CMMC 2.0.
POINTS CLÉS
- Comprendre le CMMC :
Le CMMC est une norme imposée par le DoD pour les sous-traitants de la défense afin de protéger les Informations Non Classifiées Contrôlées (CUI) contre les cybermenaces. - Migration vers le CMMC 2.0 :
Le CMMC 2.0 est un cadre simplifié présentant des contrôles et procédures plus rigoureux. - Portée et niveaux du CMMC :
Le cadre CMMC couvre les FCI et les CUI. Le CMMC 2.0 comprend trois niveaux de maturité, chacun avec des exigences spécifiques, de plus en plus rigoureuses. - Évaluateurs tiers certifiés :
Les C3PAO sont essentiels pour évaluer objectivement les pratiques de cybersécurité d’une organisation et garantir la conformité avec le CMMC. - Préparation à la certification CMMC :
Utilisez le marché CMMC-AB pour identifier les RPO et les C3PAO réputés pour les audits.
Quelle est la portée du cadre CMMC ?
La portée du cadre CMMC couvre la sécurité de toutes les informations contractuelles fédérales (FCI) et des informations non classifiées contrôlées (CUI) stockées ou traitées par l’environnement d’un entrepreneur couvert (organisation) et s’applique à toutes les activités menées par l’organisation. Le processus et les procédures abordent la sécurité de tous les domaines de l’organisation de l’entrepreneur qui traitent, stockent ou transmettent les FCI et CUI, y compris leurs réseaux, systèmes, personnel et autres actifs.
CMMI vs. CMMC : Lequel les entrepreneurs de la défense doivent-ils adopter ?
Le modèle d’intégration de la maturité des capacités (CMMI) est une approche d’amélioration des processus qui fournit aux organisations les éléments essentiels pour une amélioration efficace des processus. Le CMMI aide les organisations à améliorer la performance des processus et à intégrer les processus organisationnels. Il est utilisé dans divers secteurs, y compris l’aérospatiale, la défense, l’ingénierie logicielle, la finance, le gouvernement et la santé. Le CMMI est un cadre qui définit les étapes d’amélioration des processus et évalue la maturité des organisations dans six domaines clés de mise en œuvre des processus : la performance, la gestion de projet, les services, le support, l’intégration des processus et la focalisation sur les processus organisationnels.
La certification du modèle de maturité en cybersécurité (CMMC), comme nous l’avons discuté, est une certification créée par le département de la Défense des États-Unis (DoD) pour mieux protéger les données non classifiées qui sont soit traitées, soit stockées sur les réseaux des contractants et sous-traitants du DoD. La certification CMMC est requise pour les contrats du DoD, et elle vise à fournir une couche supplémentaire de sécurité pour les données sensibles et les systèmes d’information. Le CMMC est conçu pour répondre au besoin de contrôles de sécurité supplémentaires pour les contractants et fournisseurs du DoD manipulant des informations non classifiées contrôlées (CUI).
La principale différence entre le CMMI et le CMMC réside dans le but de chaque certification. Le CMMI est une approche d’amélioration des processus utilisée pour améliorer les processus et la performance organisationnels, tandis que le CMMC est une certification de sécurité destinée à protéger les données non classifiées stockées sur les réseaux des contractants et sous-traitants du DoD. Le CMMI est une approche d’amélioration des processus et le CMMC est une certification de sécurité.
Les entrepreneurs de la défense devraient adhérer à la fois au CMMI et au CMMC afin d’augmenter la sécurité de leurs systèmes et garantir leur conformité avec toutes les réglementations pertinentes du DoD. Le CMMI aidera les entrepreneurs à mieux gérer et améliorer leurs processus, tandis que le CMMC protégera leurs réseaux et données non classifiées. De plus, le CMMC fournit également une base pour déterminer si un entrepreneur de la défense respecte ses obligations contractuelles. En adhérant à la fois au CMMI et au CMMC, les entrepreneurs de la défense peuvent protéger leurs réseaux, données et systèmes et protéger leur réputation.
Qu’est-ce que le CMMC 2.0 ?
En novembre 2021, le DoD a révisé les exigences en se basant sur les retours des organisations partenaires et des entreprises en cours de certification C3PAO. Leur objectif avec cette révision était de rationaliser le cadre pour le rendre moins coûteux et moins chronophage pour toutes les parties prenantes sans sacrifier l’efficacité.
Les modifications proposées sous la version 2.0 incluent les suivantes :
- Réduire les niveaux de maturité de cinq à trois: Sous 2.0, le nouveau modèle n’inclura que trois niveaux de maturité. Le niveau 1 restera le minimum pour gérer le FCI et nécessitera 17 pratiques de NIST 800-171. Le niveau 2 sera le niveau minimum pour gérer le CUI et représente une fusion des deuxième et troisième niveaux originaux avec un total de 110 pratiques requises. Enfin, le niveau 3 comprendra 110+ pratiques requises (déterminées par les besoins de l’agence cliente).
- Exigences limitées pour les C3PAO: Plutôt que d’exiger un C3PAO pour tous les contractants, la version 2.0 n’exige qu’un audit tiers triennal pour la certification aux niveaux 2 et 3. Les contractants cherchant à obtenir la certification de niveau 1 (et un nombre limité de ceux recherchant des certifications spécifiques de niveau 2) peuvent opter pour une auto-attestation annuelle.
- Plan d’Action et Jalons: Certains autres cadres incluaient l’option pour les contractants audités de soumettre un POA&M à la fin de leurs audits. Supposons que leur auditeur a déterminé que le contrat n’était pas entièrement conforme mais pourrait l’être dans un délai raisonnable avec des changements relativement simples. Dans ce cas, ils pourraient autoriser le contractant avec un POA&M complet et contraignant. CMMC 1.0 n’autorisait pas cette approche – le contractant devait être entièrement conforme pour recevoir la certification. Sous la version 2.0, le DoD permettra les POA&M sous certaines conditions.
Le modèle CMMC 2.0 est actuellement juste une publication et subit des processus de révision et de réglementation. Il est prévu de terminer ce processus en 9 à 24 mois. Entre-temps, le CMMC-AB continue d’honorer et d’opérer sous les audits et certifications de la version 1.0.
Qu’est-ce qu’une Organisation d’Évaluation Tierce Partie Certifiée ?
L’autre mise à jour majeure du CMMC 1.0 est l’exigence d’une évaluation par une tierce partie à travers une Organisation d’Évaluation Tierce Partie Certifiée (C3PAO).
Les C3PAO sont des entreprises de sécurité cruciales dans la cybersécurité de la défense qui ont reçu une accréditation de la part de CMMC Accreditation Body (CMMC-AB) pour réaliser des audits des contractants de la défense. Toute organisation familière avec d’autres cadres de sécurité comme FedRAMP reconnaîtra immédiatement ce processus. Le CMMC emprunte une partie de son processus d’audit aux mêmes documents, notamment NIST 800-53 et FIPS 140-2.
Un des inconvénients de travailler avec un C3PAO est qu’il ne peut pas également servir de consultant pour votre organisation. C’est pourquoi il existe une désignation secondaire sous les réglementations—l’Organisation Fournisseur Enregistrée. Une RPO peut fournir des conseils, des recommandations et des avis aux clients qui se préparent pour leur parcours de conformité. La même entreprise de sécurité ne peut jamais servir à la fois de RPO et de C3PAO pour une seule organisation.
Meilleures pratiques pour la certification CMMC
Voici juste quelques meilleures pratiques pour aider les contractants de la défense à poursuivre le processus de certification CMMC :
- Utilisez le Marketplace: Le site Web Cyber AB comprend un marché tant pour les RPOs que pour les C3PAOs (même ceux actuellement en cours de certification). Sélectionnez toujours des partenaires potentiels sur ce site, une source réelle, authentifiée et légitime pour des entreprises de sécurité réputées sur ce marché.
- Travailler Avec une Technologie Conforme: Plus souvent qu’autrement, les entreprises travaillent avec un fournisseur de cloud, un fournisseur de services gérés ou un gestion de fichiers comme partie de leurs opérations. Maintenir la conformité exige que les entreprises évaluent leurs fournisseurs et ne travaillent qu’avec ceux qui ont ou peuvent soutenir une technologie certifiée.
- Travailler Avec un RPO: Ne compliquez pas les choses inutilement. Alors qu’un C3PAO peut aider avec votre audit, un RPO peut aider à préparer cet audit de manière que le C3PAO ne peut pas. Renseignez-vous sur les services de conseil RPO et CMMC lorsque vous commencez avec les efforts de conformité.
- Préparez-vous pour la Version 2.0: Si vous travaillez déjà sur le CMMC maintenant, alors vous recevrez la certification sous les réglementations et serez intégré dans le CMMC 2.0. Le DoD se prépare déjà pour cette transition, mais entre-temps, il est préférable de savoir dès maintenant quelles seront vos obligations sous un nouveau cadre.
Le Cadre CMMC : Conformité Critique pour la Défense Nationale
Le cadre CMMC, ou Certification du modèle de maturité en cybersécurité, est un composant essentiel pour tout contractant au sein de la chaîne d’approvisionnement de la base industrielle de défense, garantissant que leur technologie, leurs processus, leur personnel et leurs opérations globales adhèrent à des normes de cybersécurité strictes. Le CMMC doit être perçu comme (bien) plus qu’un obstacle réglementaire ; il incarne un protocole de sécurité complet qui renforce les défenses, les ressources et la maturité en cybersécurité d’une entreprise. Atteindre la conformité avec le cadre CMMC remplit non seulement une exigence critique mais renforce également considérablement la posture de cybersécurité d’une entreprise, sécurisant sa position au sein de la chaîne d’approvisionnement du secteur de la défense.
Le Kiteworks Réseau de contenu privé, un plateforme de partage et de transfert de fichiers sécurisée validée FIPS 140-2 Niveau 2, consolide email, partage de fichiers, formulaires Web, SFTP, transfert de fichiers géré, et gestion des droits numériques de nouvelle génération solution afin que les organisations contrôlent, protègent, et suivent chaque fichier à son entrée et sortie de l’organisation.
Kiteworks prend en charge près de 90% des exigences du niveau 2 du CMMC 2.0 directement applicablesEn conséquence, les sous-traitants et les entrepreneurs du DoD peuvent accélérer leur processus d’accréditation au niveau 2 du CMMC 2.0 en s’assurant de disposer de la plateforme de communication de contenu sensible adéquate.
Avec Kiteworks, les sous-traitants et les entrepreneurs du DoD unifient leurs communications de contenu sensible au sein d’un Réseau de contenu privé dédié, en tirant parti de contrôles de politique automatisés et de protocoles de cybersécurité alignés sur les pratiques du CMMC 2.0.
Kiteworks permet une conformité rapide au CMMC 2.0 avec des fonctions et capacités clés incluant:
- Certification avec les normes et exigences de conformité clés du gouvernement américain, y compris SSAE-16/SOC 2, NIST SP 800-171, et NIST SP 800-172
- Validation FIPS 140-2 Niveau 1
- Autorisé par FedRAMP pour le niveau d’impact modéré CUI
- Chiffrement AES 256 bits pour les données au repos, TLS 1.2 pour les données en transit, et propriété exclusive de la clé de chiffrement
Kiteworksoptions de déploiement incluent sur site, hébergé, privé, hybride etFedRAMP nuage privé virtuel. Avec Kiteworks : contrôlez l’accès au contenu sensible ; protégez-le lorsqu’il est partagé à l’extérieur en utilisant chiffrement automatique de bout en bout, l’authentification multifactorielle, et intégrations d’infrastructure de sécurité; gardez la trace de, suivez et générez des reportings sur toute activité de fichier, à savoir qui envoie quoi à qui, quand et comment. Démontrez enfin la conformité avec des réglementations et normes telles que RGPD, HIPAA, CMMC, Cyber Essentials Plus, IRAP, et bien d’autres.
Pour en savoir plus sur Kiteworks et la certification CMMC, planifiez une démo personnalisée dès aujourd’hui.