Le Modèle de Maturité en Cybersecurité (CMMC) est une certification conçue pour protéger les informations confidentielles du Département de la Défense (DoD). Il s’inscrit dans le cadre de l’effort plus vaste visant à garantir que tous les entrepreneurs et fournisseurs du secteur industriel de la Défense (DIB) du DoD disposent des processus et procédures de cybersécurité nécessaires pour protéger les informations non classifiées contrôlées (CUI) et les informations de contrat fédéral (FCI).

CMMC 2.0 Compliance Roadmap for DoD Contractors

Read Now

CMMC 2.0 se compose de trois niveaux de maturité distincts, qui sont le principal sujet de cet article. Les organisations peuvent choisir parmi les trois niveaux de maturité, Fondamental, Avancé et Expert, pour mieux évaluer et améliorer leur posture en matière de cybersécurité. Cet article expliquera en détail ces niveaux de maturité pour aider les entrepreneurs du DoD, les fournisseurs et d’autres organisations devant se conformer à comprendre et à se conformer en mettant en place les mesures de sécurité nécessaires.

Comprendre les niveaux de CMMC 2.0

Niveau de Maturité CMMC 2.0 1: Fondamental

Le niveau Fondamental est le premier des trois niveaux, et il se compose de pratiques de base en matière de gestion des risques de cybersécurité. Ce niveau englobe les mesures de protection cybernétique les plus élémentaires et vise à répondre aux menaces cybernétiques les plus courantes. Il met l’accent sur les mesures de sécurité de base et la gestion des risques, telles que l’authentification et le contrôle d’accès, qui permet de contrôler qui peut accéder à quelles informations.

Les exigences de ce niveau sont réparties en 17 pratiques différentes, notamment la Gestion des biens, la Protection des supports, l’Identification et l’authentification, l’Évaluation et l’autorisation de sécurité, et la Protection des systèmes et des communications, entre autres. Les organisations doivent démontrer que toutes les pratiques requises ont été mises en œuvre, ainsi que démontrer des processus de gestion de la cybersécurité efficaces.

Des exemples de pratiques de sécurité appropriées pour le niveau Fondamental incluent:

  • Effectuer régulièrement des sauvegardes des données et stocker ces données dans un endroit sécurisé en dehors du site
  • Utiliser des mots de passe complexes et une authentification à deux facteurs pour tous les comptes
  • Installer, maintenir et mettre à jour régulièrement les pare-feu, les antivirus et d’autres logiciels de sécurité
  • Effectuer régulièrement des audits de sécurité pour identifier les vulnérabilités et prendre des mesures pour les corriger

Qui doit respecter la conformité au niveau 1 de CMMC?

La conformité au niveau 1 de CMMC 2.0 s’applique aux entrepreneurs et sous-traitants du DoD qui manipulent des informations de contrat fédéral (FCI) fournies par le gouvernement ou générées pour le gouvernement dans le cadre d’un contrat de développement ou de livraison d’un produit ou d’un service au gouvernement.

Le niveau Fondamental exige des organisations qu’elles mettent en œuvre des pratiques de cybersécurité de base. Elles sont autorisées à obtenir la certification par le biais d’une auto-évaluation annuelle. Les Organisations d’évaluateurs tiers CMMC (C3PAOs) ne sont pas impliquées dans la certification de niveau 1.

Niveau de Maturité CMMC 2.0 2: Avancé

Le niveau Avancé est la prochaine étape du processus de certification CMMC, et il se compose de pratiques de cybersécurité plus granulaires et spécialisées. Ces pratiques sont conçues pour se protéger contre des menaces cybernétiques plus avancées. Il est destiné à offrir un niveau de protection plus élevé que le niveau Fondamental, et il est conçu pour protéger les actifs les plus précieux d’une entreprise.

Le niveau Avancé est divisé en 110 pratiques différentes, notamment le Contrôle d’accès, l’Évaluation et l’autorisation de sécurité, la Protection des systèmes et des communications, et la Planification des attaques et des réponses, entre autres. Les organisations doivent démontrer que toutes les pratiques requises ont été mises en œuvre, ainsi que démontrer des processus de gestion de la cybersécurité efficaces. Le niveau 2 de CMMC 2.0 est associé au NIST 800-171.

Des exemples de pratiques de sécurité appropriées pour le niveau Avancé incluent:

  • Établir des politiques et des procédures pour gérer l’accès des utilisateurs et l’authentification
  • Mettre en place des systèmes de sécurité efficaces et une protection des communications tels que le chiffrement et l’isolation réseau
  • Instituer un système de réponse rapide et efficace aux menaces cybernétiques
  • Effectuer régulièrement des évaluations de sécurité pour identifier et résoudre les vulnérabilités
  • Élaborer des stratégies pour prévenir et détecter les activités malveillantes

Qui doit respecter la conformité au niveau 2 de CMMC?

Les entrepreneurs et sous-traitants du DoD qui gèrent le même type d’informations non classifiées contrôlées (CUI) doivent respecter la conformité de niveau 2. Les entrepreneurs du DoD avec des acquisitions prioritaires traitant des données critiques pour la sécurité nationale doivent passer une évaluation par un C3PAO tous les trois ans, tandis que les acquisitions non prioritaires avec des données non critiques pour la sécurité nationale doivent effectuer une auto-évaluation annuelle.

Niveau de Maturité CMMC 2.0 3: Expert

Le niveau Expert est le niveau le plus élevé du processus de certification CMMC, et il se compose des pratiques de cybersécurité les plus complètes. Il est conçu pour garantir la sécurité des informations et des actifs les plus sensibles d’une organisation, ainsi que pour assurer la capacité de l’organisation à se défendre contre des cyberattaques complexes et sophistiquées.

CMMC 2.0 Niveau 3 traite des menaces persistantes les plus avancées et vise à renforcer la cybersécurité d’un système. Il exige des organisations qu’elles établissent, maintiennent et financent un plan afin de mettre en œuvre correctement les pratiques de cybersécurité. Ce plan devrait inclure des objectifs, des missions, des projets, des ressources, de la formation et la participation des parties prenantes de l’organisation. Les plans devraient également se concentrer sur la protection des informations non classifiées contrôlées (CUI).

Bien que les exigences spécifiques soient encore en cours de développement, le Niveau 3 contiendra probablement les 110 contrôles du NIST SP 800-171 et un sous-ensemble des contrôles du NIST SP 800-172. Le concept et la mise en œuvre du Niveau 3 aideront les organisations à réduire leur vulnérabilité aux menaces persistantes avancées, ainsi qu’à garantir de bonnes pratiques d’hygiène cybernétique.

En plus des exigences de sécurité du NIST SP 800-172, le Niveau 3 ajoute également 20 pratiques supplémentaires. De plus, la clause DFARS 252.204-7012 s’applique, ajoutant un niveau supplémentaire d’exigences de sécurité pour les systèmes traitant des informations non classifiées contrôlées (CUI) dans le cadre de programmes du DoD à la plus haute priorité.

Des exemples de pratiques de sécurité appropriées pour le Niveau Expert incluent:

  • Mettre en place un système efficace de surveillance et de détection des activités malveillantes
  • Établir des politiques et des procédures pour gérer l’accès des utilisateurs et l’authentification
  • Mettre en œuvre des systèmes de sécurité avancés et une protection des communications avancée tels que le chiffrement et l’isolation réseau
  • Établir un système de réponse aux incidents pour répondre rapidement et efficacement aux menaces cybernétiques
  • Mettre en place un système pour auditer et surveiller régulièrement les systèmes et les réseaux à la recherche de problèmes potentiels de cybersécurité

Qui doit respecter la conformité au niveau 3 de CMMC 2.0?

Le niveau 3 de CMMC 2.0 s’applique aux entreprises qui traitent des informations non classifiées contrôlées (CUI) dans le cadre de programmes du DoD à la plus haute priorité. Il est comparable au niveau 5 de CMMC 1.02, bien que le DoD développe toujours ses exigences de sécurité spécifiques.

CMMC pour les organisations qui n’ont pas besoin d’être conformes

Les organisations qui n’ont pas besoin de se conformer aux normes CMMC peuvent toujours bénéficier du cadre. Pour commencer, les niveaux CMMC restent applicables en tant que référence pour les organisations en dehors de la Base Industrielle de la Défense pour créer leurs propres politiques et procédures de sécurité afin de garantir la protection de leurs informations confidentielles. Pour déterminer quel niveau de maturité CMMC convient le mieux à leur organisation, elles devraient évaluer leur posture en matière de sécurité. Cela vous donne un point de départ pour créer un plan de sécurité efficace qui répond aux objectifs de votre organisation.

Les organisations souhaitant créer leur propre plan de sécurité devraient mettre en œuvre les mesures du CMMC. Cela inclut des domaines tels que le contrôle d’accès, l’intégrité du système et de l’information, la protection des supports et la réponse aux incidents. À mesure que vous examinez chaque domaine, vous devriez tenir compte des exigences des niveaux CMMC pour personnaliser le plan en fonction de votre organisation. Vous devriez également évaluer votre posture en matière de sécurité pour identifier d’éventuelles lacunes et déterminer comment les combler. Celles-ci devraient être incluses dans la stratégie de gestion des risques de cybersécurité de chaque organisation.

Vous devriez également envisager de mettre en œuvre d’autres mesures qui amélioreront votre posture en matière de sécurité, telles que la surveillance continue et le correctif, le développement sécurisé de systèmes, la sécurité de l’information et la formation. Toutes ces mesures peuvent être adaptées pour répondre aux besoins spécifiques de votre organisation et doivent être intégrées dans le plan de sécurité global.

En utilisant les niveaux CMMC comme référence et en créant un plan de sécurité efficace, les organisations peuvent garantir que leurs informations confidentielles sont bien protégées. De plus, elles peuvent favoriser un climat de confiance avec leurs clients et partenaires, ainsi que remplir leurs obligations en matière de lois et de normes de protection des données. En fin de compte, les organisations qui utilisent les principes du CMMC comme guide peuvent développer un environnement sécurisé pour leurs informations et leurs systèmes.

Comment le réseau de contenu privé activé par Kiteworks accélère la conformité au niveau 2 de CMMC 2.0

Le Réseau de Contenu Privé (RCP) activé par Kiteworks simplifie et accélère le processus de conformité au niveau 2 de CMMC 2.0 pour les entreprises. Kiteworks unifie, suit, contrôle et sécurise toutes les communications de contenu sensible sur une seule plateforme. Il permet également aux premières parties et aux tierces parties de collaborer sur du contenu confidentiel. Kiteworks facilite et accélère le processus d’obtention de la conformité au niveau 2 de CMMC 2.0 en fournissant un contrôle d’accès, un transfert sécurisé de fichiers, un chiffrement de fichiers, un partage sécurisé de fichiers et une authentification à deux facteurs ainsi qu’une authentification multifactorielle. Les organisations peuvent définir des autorisations et des politiques granulaires pour garantir le plus haut niveau de sécurité de leurs données et de leur contenu.

Avec Kiteworks, les organisations peuvent partager en toute sécurité leur documentation et leurs preuves de conformité au niveau 2 de CMMC 2.0 en interne avec un C3PAO (Organisation d’Évaluation Tierce) et avec le Corps d’Accréditation CMMC (CMMC-AB). Cela aide les organisations à passer plus rapidement et plus efficacement par le processus de conformité.

Kiteworks aide les organisations à créer une piste d’audit numérique pour toutes leurs communications de contenu sensible. Cela leur permet de surveiller les communications de contenu sensible et de démontrer leur conformité aux réglementations sur la protection des données et de la sécurité, y compris CMMC 2.0 au niveau 2. Kiteworks fournit également aux auditeurs C3PAO une piste d’audit complète qui peut être utilisée pour accélérer le processus de certification. De plus, Kiteworks prend en charge près de 90% des exigences de CMMC 2.0 au niveau 2 dès la sortie de la boîte.

Pour en savoir plus sur le Réseau de Contenu Privé Kiteworks et comment il peut accélérer votre conformité au niveau 2 de CMMC 2.0, planifiez une démonstration sur mesure dès aujourd’hui.

 

Retour au Glossaire des Risques et de la Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks