CMMC 1.0 vs CMMC 2.0 : Quels changements et qu'est-ce que cela signifie pour votre entreprise
La Certification du Modèle de Maturité en Cybersécurité (CMMC) est un ensemble de normes et de pratiques de cybersécurité globales que les organisations de la Base Industrielle de la Défense (DIB) doivent mettre en œuvre pour protéger leurs données commerciales. Introduite par le Département de la Défense des États-Unis (DoD) en 2020, la CMMC a été conçue pour protéger la confidentialité des informations contractuelles fédérales (FCI) et des informations non classifiées contrôlées (CUI).
En raison de la sensibilité des informations traitées par les entreprises qui contractent avec le Département de la Défense (DoD), les entrepreneurs et sous-traitants sont tenus d’atteindre la conformité à au moins un niveau de la CMMC. Ce faisant, les organisations opérant au sein de la chaîne d’approvisionnement du DoD doivent atteindre et maintenir une bonne posture de cybersécurité. La mise en œuvre par phases commence plus tard cette année avec une mise en œuvre complète visée pour fin 2025.
Qu’est-ce que la CMMC ?
La Certification du Modèle de Maturité en Cybersécurité, ou CMMC, est un ensemble unifié de normes et de pratiques de cybersécurité applicables à tous les entrepreneurs du DoD. Elle fournit un ensemble unifié d’exigences que les organisations doivent respecter pour protéger les FCI et les CUI contre l’accès et la modification non autorisés. La CMMC est conçue pour garantir que les entrepreneurs du DoD se conforment aux réglementations gouvernementales en matière de cybersécurité et préviennent la manipulation et la diffusion non autorisées de contenu sensible.
CMMC 2.0 Compliance Roadmap for DoD Contractors
Pourquoi est-ce important ?
Le CMMC est important pour deux raisons. Premièrement, il fournit aux organisations un cadre pour répondre aux normes de cybersécurité du DoD. Deuxièmement, il aide les organisations à protéger la confidentialité des FCI et des CUI. Ceci est important pour les sous-traitants du DoD, car l’accès non autorisé ou la modification des FCI et des CUI pourraient entraîner des répercussions financières, réputationnelles et juridiques significatives.
De CMMC 1.0 à CMMC 2.0
En novembre 2021, le DoD a annoncé qu’il mettrait en œuvre le CMMC 2.0 à la place du CMMC 1.0. Ce cadre mis à jour met en œuvre plusieurs changements pour augmenter l’hygiène cybernétique de tous les sous-traitants qui détiennent ou participent à des contrats du DoD. Le DoD a annoncé qu’il s’engagerait dans la création de règles au cours des 9 à 24 mois suivants, ce qui rend essentiel pour les sous-traitants fédéraux de se préparer pour la mise en œuvre du CMMC 2.0 afin qu’ils puissent atteindre la conformité.
Le CMMC 1.0, publié en 2020, comprend des domaines de contrôle et des pratiques de sécurité, qui sont divisés en cinq niveaux de maturité en matière de sécurité allant de l’hygiène cybernétique de base (Niveau 1) à avancée/progressive (Niveau 5). Le CMMC 2.0 a réduit les niveaux de maturité de 5 à 3. Le CMMC 2.0 a supprimé les niveaux 2 et 4. Le niveau de maturité 1 est resté inchangé. Il a toujours 17 exigences de pratique qui correspondent aux 15 pratiques de cybersécurité de la clause FAR 52.204-21.
Le niveau 2 du CMMC 2.0 prend la place du précédent niveau de maturité 3, mais sans les 20 pratiques delta, alignant ce niveau avec les 110 pratiques de NIST SP 800-171. Le niveau 3 du CMMC 2.0 est toujours en cours de développement sur la base d’un sous-ensemble de NIST 800-172. Il prend la place des précédents niveaux de maturité 4 et 5.
CMMC 1.0 vs. CMMC 2.0 : Principales différences
Certaines des principales différences qui sont apparues avec l’introduction du CMMC 2.0 par rapport au CMMC 1.0 incluent :
Niveaux de certification
Le modèle CMMC 1.0 a établi cinq niveaux de certification, tandis que le modèle CMMC 2.0 a regroupé les niveaux de certification en trois. Les niveaux de certification sont essentiels pour déterminer les exigences de sécurité pour le contrat spécifique.
Pour le CMMC 2.0, le Niveau 1 (Fondamental) est nécessaire pour les sous-traitants du DoD qui gèrent les FCI. Le CMMC 2.0 Niveau 1 exige que les organisations adhèrent à des pratiques de cybersécurité de base axées sur la protection des FCI, comme spécifié dans la clause FAR 52.204-21.
Le CMMC 2.0 Niveau 2 (Avancé) exige que les organisations aient en place des pratiques de cybersécurité plus robustes, telles que le contrôle d’accès, la réponse aux incidents et la protection des médias. Ce niveau est conçu pour protéger l’intégrité et la disponibilité des CUI face à des menaces plus sophistiquées. Le niveau Avancé est aligné avec le National Institute of Standards & Technology SP 800-171 (NIST 800-171). Ce niveau nécessite des évaluations triennales par un Organisme d’évaluation tiers du CMMC (C3PAO).
Le Niveau 3 (Expert) est le niveau le plus élevé du CMMC et nécessite la mise en œuvre de pratiques avancées telles que le durcissement des systèmes et la récupération des données. Ce niveau est conçu pour protéger la confidentialité, l’intégrité et la disponibilité des CUI face aux menaces persistantes avancées. Les informations sur le Niveau 3 seront publiées ultérieurement et contiendront un sous-ensemble des exigences de sécurité spécifiées dans le NIST SP 800-172.
Structure du domaine
Le nombre de domaines de sécurité inclus dans le modèle CMMC 2.0 a augmenté de manière significative par rapport au modèle CMMC 1.0. Les domaines supplémentaires se rapportent de manière plus étroite aux opérations quotidiennes et incluent des sujets tels que la Réponse aux incidents, la Détection des anomalies, la Gestion des risques de la chaîne d’approvisionnement, et la Planification de la sécurité du système. Ces nouveaux domaines offrent une vue plus complète des opérations d’un entrepreneur et assurent une meilleure sécurité de leurs actifs.
Évaluateurs tiers
Le modèle CMMC 2.0 exige l’utilisation de C3PAO pour le niveau 2 et le niveau 3. Les C3PAO sont chargés d’évaluer et de certifier que les entreprises de la chaîne d’approvisionnement DIB ont respecté les exigences de cybersécurité de la norme CMMC. Leurs responsabilités incluent l’évaluation et la délivrance de certificats de conformité à la norme CMMC.
Meilleures pratiques pour atteindre la conformité CMMC 2.0
Pour qu’une organisation puisse se conformer avec succès et être certifiée pour l’un des trois niveaux de conformité CMMC 2.0, elle doit suivre certaines meilleures pratiques, qui incluent :
Mise en œuvre des contrôles de sécurité
La première étape pour atteindre la conformité CMMC 2.0 est de mettre en œuvre des contrôles de sécurité. Pour commencer, les organisations devraient identifier leurs exigences actuelles en matière de conformité et établir une évaluation de risque de base qui définit l’étendue des contrôles de sécurité qui doivent être mis en œuvre. Les contrôles de sécurité devraient être adaptés aux besoins spécifiques d’une organisation, en veillant à ce que tous les systèmes et processus soient couverts. Les organisations devraient prendre en considération les mesures techniques et procédurales nécessaires pour protéger les informations et les systèmes, tels que le contrôle d’accès, la gestion de l’identité et de l’authentification, la gestion de la configuration, la séparation des tâches, la sécurité des données, le patching du système et la gestion des vulnérabilités, la formation en matière de sécurité, et les plans de réponse aux incidents.
Réalisation d’une surveillance continue
Une fois que les contrôles de sécurité sont en place, les organisations devraient s’assurer qu’ils sont continuellement surveillés. La surveillance continue implique d’évaluer régulièrement l’environnement pour s’assurer de l’efficacité des contrôles de sécurité mis en œuvre et que les menaces actuelles sont identifiées et traitées en temps opportun. Les organisations devraient développer un processus pour identifier, évaluer et remédier à tout problème qui pourrait survenir lors des activités de surveillance. Ce processus devrait inclure des mesures pour documenter tout incident de sécurité, examiner les activités et les tendances en matière de sécurité, et prendre les mesures appropriées lorsque cela est nécessaire.
Établissement de plans de réponse aux incidents
Les organisations devraient également établir un plan de réponse aux incidents avant de tenter d’atteindre la conformité CMMC 2.0. Ce plan devrait décrire les étapes qu’une organisation prendra en cas d’incident de sécurité, tels que les types d’incidents qui déclencheront une réponse, les rôles et responsabilités du personnel impliqué, les processus à suivre, et les activités de communication appropriées. Il est également important pour les organisations de développer un plan pour se remettre d’un incident de sécurité, y compris l’identification des données et des systèmes à restaurer, les étapes nécessaires pour les restaurer, et le personnel qui devrait être informé. De plus, les organisations devraient s’assurer de revoir et de mettre à jour régulièrement leurs plans de réponse aux incidents pour s’assurer qu’ils sont à jour et efficaces.
Documenter la Conformité
Les organisations devraient documenter leurs processus et activités pour démontrer leur conformité avec CMMC 2.0. La documentation devrait inclure toutes les politiques de sécurité, les procédures et les activités de formation ; les plans de réponse aux incidents ; et les résultats d’évaluation. Il est important de s’assurer que toute la documentation est précise, à jour et facilement accessible. Les organisations devraient également s’assurer que tout le personnel est familiarisé avec la documentation, y compris comment l’utiliser et ce qu’elle couvre. De plus, les organisations devraient élaborer des procédures pour s’assurer que la documentation est régulièrement examinée et mise à jour pour suivre le rythme des changements dans l’environnement.
Questions Fréquemment Posées
Pourquoi la Conformité CMMC est-elle Importante?
Le DoD exige que tous les contractants respectent les exigences CMMC pour être éligibles aux contrats gouvernementaux. Cela garantit que ces contractants comprennent et mettent activement en œuvre des mesures de protection contre les acteurs malveillants et les violations de données. La conformité CMMC est également importante pour les organisations afin de démontrer leur engagement en matière de cybersécurité et de démontrer que les données sensibles des clients sont correctement protégées.
Quelles sont les Exigences de Sécurité CMMC?
Les exigences de sécurité CMMC sont un ensemble de normes de sécurité conçues pour aider les organisations à sécuriser leurs réseaux, protéger leurs données et se conformer aux lois et règlements applicables. Les exigences sont divisées en trois niveaux CMMC 2.0 décrits ci-dessus et couvrent des domaines tels que le contrôle d’accès, la gestion de configuration, la réponse aux incidents, la protection des médias, la protection des systèmes et des communications, la sécurité du personnel et la protection physique.
Comment les Exigences CMMC Diffèrent-elles des Exigences NIST SP 800-171?
Le niveau 2 de CMMC 2.0 est aligné sur NIST SP 800-171, précisant que les organisations du DIB doivent s’autocertifier – soit être en conformité, soit prendre des mesures concrètes vers la conformité. Les niveaux 2 et 3 de CMMC prévoient que les C3PAOs évaluent les organisations et attribuent un niveau de maturité en fonction de l’état de leur programme de cybersécurité. Le niveau 1, le niveau fondamental, ne requiert qu’une auto-évaluation.
Accélérer la Conformité CMMC avec Kiteworks
Kiteworks est un fournisseur de confiance de solutions de cybersécurité pour les agences fédérales comme le DoD ainsi que divers fournisseurs de DIB qui nécessitent une certification CMMC. Parce que Kiteworks est autorisé FedRAMP pour un niveau d’impact modéré, les fournisseurs du DoD utilisant Kiteworks bénéficient d’un soutien pour près de 90% des exigences du niveau 2 de CMMC 2.0 dès la sortie de la boîte. Cela réduit considérablement le temps nécessaire pour que les contractants et sous-traitants du DoD obtiennent la conformité au niveau 2 de CMMC.
Cela se traduit par des résultats positifs lorsqu’un fournisseur du DoD passe un audit C3PAO. Plus précisément, le réseau de contenu privé Kiteworks les aide à rationaliser les processus et les procédures d’audit CMMC, rendant l’ensemble du processus plus rapide et plus efficace. Avec le soutien de Kiteworks, les contractants du DoD peuvent protéger leurs affaires DoD en obtenant rapidement et facilement la conformité CMMC.
Programmez une démonstration personnalisée pour voir la plateforme Kiteworks en action et comment elle peut accélérer votre parcours de conformité CMMC.