Conformité CMMC 2.0 Niveau 3: Un Guide Définitif
Pour tout entrepreneur ou fournisseur du Département de la Défense (DoD) qui a accès à des informations non classifiées contrôlées (CUI), la conformité à la Certification du Modèle de Maturité de la Cybersécurité (CMMC) 2.0 est essentielle. La conformité au CMMC 2.0 permet aux entrepreneurs du secteur privé de démontrer le plus haut niveau possible de cybersécurité et de continuer à faire affaire avec le DoD. Le CMMC 2.0 Niveau 3, également appelé Expert, met l’accent sur l’efficacité des contrôles de cybersécurité et des pratiques visant à protéger les CUI contre les menaces persistantes avancées (APTs). Il remplace le précédent CMMC 1.0 Niveau 5 et apporte un certain nombre de changements significatifs. Le CMMC 2.0 Niveau 3 s’applique aux entreprises qui traitent des CUI pour les programmes du DoD de la plus haute priorité.
Pour tout entrepreneur ou organisation ayant accès à des CUI, la conformité au CMMC 2.0 Niveau 3 est essentielle pour maintenir le plus haut niveau possible de cybersécurité. Cet article fournira un aperçu complet des exigences de conformité pour le CMMC 2.0 Niveau 3 et vous aidera à vous assurer que votre organisation entame le chemin de la conformité avec les dernières réglementations en matière de sécurité.
Conformité au Niveau 3 du CMMC: Avantages pour les Entreprises
Le principal avantage de respecter les exigences du Niveau 3 du CMMC est qu’il fournit au DoD l’assurance nécessaire que les entrepreneurs traitent, collectent, envoient, reçoivent et stockent des CUI de manière sécurisée et protégée contre tout accès non autorisé. En fin de compte, la conformité au Niveau 3 du CMMC instille confiance dans la capacité d’une organisation à protéger les CUI et à démontrer son engagement envers la cybersécurité. La conformité aux exigences du Niveau 3 du CMMC peut également offrir à une organisation des opportunités d’accès accru à des contrats gouvernementaux et la rendre plus attractive en tant que partenaire potentiel pour les entreprises de l’industrie de la défense et les clients potentiels du secteur privé.
La Conformité au Niveau 3 du CMMC 2.0 est-elle Obligatoire?
Non, la conformité au Niveau 3 du CMMC 2.0 n’est pas obligatoire. Les organisations qui font des affaires avec le DoD sont tenues de respecter un niveau de sécurité minimum tel que défini par le CMMC, mais le niveau de certification spécifique requis dépend des services requis par l’organisation. Les organisations peuvent obtenir différents niveaux de certification CMMC, à savoir les Niveaux 1, 2 ou 3, en fonction des exigences de sécurité de leurs contrats.
CMMC 2.0 Compliance Roadmap for DoD Contractors
Domaines et Exigences du Niveau 3 du CMMC
Pour le Niveau 3 du CMMC 2.0, il existe 130 contrôles obligatoires. Ces contrôles sont un moyen de gérer les risques, comprenant des politiques, des procédures, des directives, des pratiques ou des structures organisationnelles, qui peuvent avoir une nature administrative, technique, de gestion ou juridique, et sont spécifiés par le NIST SP 800-171 et le FAR 52.204-21. Le Niveau 3 du CMMC 2.0 contient également 58 pratiques ou activités techniques, qui sont obligatoires et réalisées pour atteindre un niveau spécifique de maturité en cybersécurité pour une capacité donnée dans un domaine. Ces pratiques relèvent de 16 domaines différents, énumérés ci-dessous, qui sont un sous-ensemble du NIST SP 800-172. Le CMMC 2.0 exige que le contractant aille au-delà de la simple documentation des processus et qu’il joue un rôle actif dans la gestion et la mise en œuvre des contrôles afin de fournir le plus haut niveau de sécurité possible. Les 16 domaines comprennent :
Contrôle d’Accès
Le domaine du Contrôle d’Accès introduit huit exigences supplémentaires dans le cadre du Niveau 3 du CMMC. Elles comprennent:
- Mesures d’authentification et de chiffrement pour la protection de l’accès sans fil
- Chiffrement pour garantir la confidentialité des sessions à distance
- Arrêt automatique des sessions utilisateur répondant à des conditions définies
- Surveillance et contrôle de tout accès via des appareils mobiles
- Exiger une autorisation pour l’exécution à distance de fonctions et l’accès à des informations liées à la sécurité
- Séparation des fonctions des individus pour réduire le risque d’actions malveillantes. Ces actions sont distinctes de la collusion, qui ne nécessite pas l’identification de menaces spécifiques.
- Empêcher l’exécution de fonctions privilégiées à partir de comptes non privilégiés. Les journaux d’audit doivent documenter et analyser toutes les fonctions privilégiées.
- Chiffrer les informations contrôlées non classifiées (CUI) sur toutes les plates-formes informatiques
Gestion des Actifs
Le domaine de la Gestion des Actifs est un nouveau domaine qui comporte une pratique:
- Définir des pratiques et des procédures spécifiques pour la manipulation de la CUI et des données connexes
Audit et Responsabilité
Le domaine de l’Audit et de la Responsabilité introduit sept exigences supplémentaires dans le cadre du Niveau 3 du CMMC 2.0, notamment:
- Examiner régulièrement tous les événements enregistrés et les mettre à jour ou les corriger si nécessaire
- Protéger les informations relatives aux audits et aux journaux d’audit contre tout accès non autorisé, y compris en particulier l’utilisation, la modification et la suppression de ces informations
- Restreindre l’accès aux fonctionnalités d’audit à un sous-ensemble d’utilisateurs privilégiés
- Corréler l’examen et l’analyse des enregistrements d’audit avec les rapports relatifs à l’enquête et à la réponse aux activités illégales, non autorisées ou autrement irrégulières
- Exiger une alerte en cas d’échec du processus d’audit et/ou de journalisation
- Collecter toutes les informations relatives aux audits dans un ou plusieurs référentiels centralisés pour faciliter l’examen, l’analyse et la prise de décision stratégique concernant les informations d’audit
- Faciliter l’analyse et la génération immédiates, à la demande, avec des procédures efficaces de réduction des enregistrements d’audit et de génération de rapports d’audit
Sensibilisation et Formation
Il n’y a qu’une seule pratique introduite sous le domaine de la Sensibilisation et de la Formation dans le cadre du CMMC 2.0 Niveau 3:
- Fournir une formation sur la sensibilisation à la sécurité, qui inclut les meilleures pratiques pour surveiller, identifier et signaler les menaces internes provenant d’autres membres du personnel.
Gestion de Configuration
Sous le domaine de la Gestion de Configuration, le CMMC 2.0 Niveau 3 introduit trois pratiques supplémentaires qui incluent :
- Définir, documenter et approuver l’accès à tous les systèmes physiques et virtuels. L’accès au système doit être basé sur la configuration de sécurité actuelle.
- Minimiser l’accès par restriction, désactivation et prévention. Ces systèmes comprennent le matériel, les logiciels, les fonctions et les services.
- Refuser l’accès par exception, communément appelé liste noire, pour interdire l’accès non autorisé. Autoriser l’accès autorisé avec permission par exception, également connue sous le nom de liste blanche.
Identification et Authentification
Il y a quatre exigences supplémentaires dans le domaine de l’Identification et de l’Authentification dans le cadre du CMMC 2.0 Niveau 3:
- Utiliser l’authentification multifacteur (MFA) pour l’accès local et réseau aux comptes privilégiés. L’accès réseau aux comptes non privilégiés nécessite également une MFA.
- Empêcher la réutilisation des identifiants d’identification tels que les noms d’utilisateur par le même utilisateur ou d’autres pour une période définie après des modifications du compte, y compris la résiliation.
- Utiliser des mécanismes d’authentification pour l’accès aux comptes privilégiés et non privilégiés qui sont “résistants aux rejeux”. Ces mesures comprennent la cryptographie, les authentificateurs à usage unique et la sécurité de niveau de transport (TLS).
- Désactiver les identifiants d’identification après une période d’inactivité définie par l’organisation dans le compte. Cette action doit également empêcher la réutilisation, conformément à IA.3.085.
Intervention en cas d’incident
Sous le domaine de l’Intervention en cas d’incident, le CMMC 2.0 Niveau 3 introduit deux pratiques supplémentaires:
- Veiller à ce que tous les incidents soient suivis, documentés et signalés à toutes les autorités désignées, qu’elles soient internes ou externes à l’organisation
- Tester régulièrement les capacités d’intervention en cas d’incident de l’organisation
Maintenance
Le domaine de la Maintenance comporte deux exigences supplémentaires dans le cadre du CMMC 2.0 Niveau 3:
- Assainir l’équipement transporté hors site pour la maintenance en supprimant toutes les informations médicales protégées (CUI), y compris les traces et autres voies potentielles d’accès non autorisé aux CUI
- Surveiller tous les supports contenant des programmes de diagnostic ou de test pour s’assurer qu’ils sont exempts de toutes formes de code malveillant avant de les installer ou de les utiliser sur les systèmes de l’organisation
Protection des supports
Il y a quatre ajouts à la Protection des supports dans le cadre du CMMC 2.0 Niveau 3:
- Marquer ou coder tout support contenant des CUI destinés à une distribution limitée
- Interdire l’utilisation de tout dispositif de stockage portable d’origine ou de propriété incertaine
- Utiliser la cryptographie ou des protections physiques pour protéger la confidentialité des CUI stockées sur des supports numériques, en particulier pendant le transport
- Restreindre l’accès aux supports contenant des CUI. Maintenir la responsabilité de ces supports pendant leur transport vers des zones qui ne sont pas sous le contrôle de l’organisation.
Protection Physique
Il y a une pratique sous la Protection Physique dans le cadre du CMMC 2.0 Niveau 3:
- Étendre les protections physiques pour les CUI à tous les sites de travail alternatifs
Récupération
Le domaine de la Récupération comporte une pratique dans le cadre du CMMC 2.0 Niveau 3:
- Effectuer régulièrement des sauvegardes de données robustes et résilientes conformément aux protocoles et aux calendriers définis par les besoins en sécurité de l’organisation et les supports de stockage
Gestion des Risques
Il y a trois ajouts à la Gestion des Risques dans le cadre du CMMC 2.0 Niveau 3:
- Effectuer des évaluations périodiques des risques qui identifient et hiérarchisent les risques selon les critères définis par l’organisation, y compris les catégories et les sources
- Élaborer et mettre en œuvre des plans pour atténuer les risques dès leur identification
- Gérer les produits de manière distincte s’ils ne sont pas pris en charge par les fournisseurs. Appliquer des restrictions d’accès à ces produits et les utiliser de manière indépendante par rapport aux autres actifs pour réduire la propagation des logiciels malveillants.
Évaluation de la Sécurité
Il y a deux ajouts à l’Évaluation de la Sécurité dans le cadre du CMMC 2.0 Niveau 3:
- Surveiller les contrôles de sécurité existants pour garantir leur efficacité et leur sécurité continues
- Utiliser des évaluations de sécurité indépendantes spécifiques aux logiciels développés en interne pour une utilisation interne s’ils sont identifiés comme un risque
Conscience de la Situation
Le domaine de la Conscience de la Situation est introduit dans le cadre du CMMC 2.0 Niveau 3 et comporte une pratique:
- Collecter, analyser et partager des informations pertinentes sur les menaces cybernétiques provenant de sources externes avec les parties prenantes, y compris des rapports et des forums réputés
Système et Communications
Pour le Système et les Communications, les exigences supplémentaires du CMMC 2.0 Niveau 3 comprennent:
- Utiliser la cryptographie jusqu’aux normes de traitement de l’information fédérale (FIPS) pour protéger les informations contrôlées non classifiées (CUI)
- S’assurer que la sécurité de l’information efficace et efficiente est optimisée sur tous les éléments du système d’information
- Séparer complètement les fonctionnalités d’accès des utilisateurs et la gestion du système
- Empêcher les transferts non sécurisés d’informations sensibles avec des ressources système internes et externes partagées, y compris les transferts non intentionnels et non autorisés
- Mettre en œuvre une approche de liste blanche pour le trafic de communications réseau, ce qui signifie que ce trafic est refusé par défaut et autorisé uniquement en cas d’exception
- Interrompre immédiatement les connexions réseau liées à la communication dès la fin de la session ou après une période d’inactivité définie par l’organisation
- Conserver les clés cryptographiques pour toute cryptographie utilisée sur tous les systèmes
- Surveiller et contrôler strictement l’utilisation des codes mobiles
- Surveiller strictement l’utilisation de la technologie de Voix sur IP (VoIP)
- Empêcher l’occurrence potentiellement dangereuse du “split tunneling”, dans lequel les dispositifs distants établissent simultanément une connexion non distante avec les systèmes de l’organisation et une connexion vers des ressources dans des réseaux externes
- Utiliser la cryptographie ou des dispositifs de sécurité physique pour prévenir la divulgation non autorisée de CUI, en particulier pendant la transmission ou le transport
- Garantir l’authenticité des communications entre les sessions
- Assurer la protection de la CUI lorsqu’elle est stockée ou dans une autre capacité passive
- Utiliser des services de filtrage robustes du système de noms de domaine (DNS)
- Élaborer et appliquer une politique restreignant la publication de la CUI sur des médias et des plates-formes externes, accessibles au public, tels que des forums et des médias sociaux
Intégrité du Système et de l’Information
Il s’agit d’un domaine introduit dans le cadre du CMMC 2.0 Niveau 3 et comprend trois pratiques:
- Déployer des mécanismes de détection du spam et de protection contre celui-ci à tous les points d’entrée, de sortie et d’accès aux systèmes d’information de l’organisation
- Utiliser toutes les ressources disponibles pour détecter et prévenir la contrefaçon de documents
- Mettre en œuvre des techniques de sandboxing pour détecter, filtrer, bloquer ou empêcher de toute autre manière les communications de courrier électronique malveillantes et suspectes
Les Défis de la Conformité au Niveau 3 du CMMC
Les défis courants dans la mise en œuvre des exigences du Niveau 3 du CMMC incluent une compréhension insuffisante des processus de sécurité, des difficultés à évaluer des contrôles de sécurité spécifiques, des difficultés à mettre en œuvre des contrôles techniques et des difficultés à obtenir ou à maintenir du personnel formé dans les domaines requis. De plus, les organisations peuvent être confrontées à des défis dans l’élaboration de politiques, de procédures et de processus conformes aux exigences du Niveau 3 du CMMC, ainsi que dans la garantie que toutes les parties prenantes comprennent leurs rôles et responsabilités dans le maintien de la posture de sécurité de l’organisation.
Surmonter les Défis du Niveau 3 du CMMC 2.0
Les organisations peuvent surmonter les défis liés à la mise en œuvre des exigences du Niveau 3 du CMMC en élaborant un plan de sécurité complet, en investissant dans la formation et l’éducation en matière de sécurité pour leur personnel, en tirant parti de ressources externes, en utilisant des solutions automatisées et/ou en externalisant des prestataires de services pour les aider à mettre en œuvre, et en tenant les parties prenantes informées. De plus, les organisations devraient surveiller régulièrement la posture de sécurité de l’organisation pour garantir la conformité et traiter tout domaine qui pourrait nécessiter une attention supplémentaire. Les organisations devraient également adopter une approche proactive de la sécurité et devraient donner la priorité à la réponse aux menaces et aux vulnérabilités identifiées lors de leur processus d’évaluation de sécurité.
Risques de Non-Conformité au Niveau 3 du CMMC 2.0
Si une organisation ne se conforme pas aux exigences du Niveau 3 du CMMC 2.0, cela peut entraîner une perte d’accès aux contrats gouvernementaux, et l’organisation peut être soumise à des sanctions et des amendes. De plus, le non-respect des exigences peut entraîner des dommages à la réputation et une perte de confiance dans la capacité de l’organisation à sécuriser les informations contrôlées non classifiées (CUI) et d’autres contenus sensibles.
Kiteworks Accélère le Temps pour Atteindre la Conformité CMMC 2.0 pour les Fournisseurs du DoD
Le Réseau de Contenu Privé (RCP) Kiteworks est Autorisé par FedRAMP pour un Impact de Niveau Modéré. En conséquence, le RCP Kiteworks aide les entrepreneurs et sous-traitants du DoD à démontrer leur conformité à CMMC 2.0. En fait, Kiteworks satisfait près de 90 des exigences de pratiques du Niveau 2 de CMMC. D’autres fournisseurs de conformité sans certification FedRAMP Autorisée ne peuvent pas atteindre ce niveau de conformité. Par conséquent, Kiteworks accélère le temps nécessaire aux fournisseurs du DoD pour atteindre la conformité au Niveau 2 de CMMC.
En utilisant une approche de confiance zéro définie par le contenu, soutenue par une plateforme autorisée par FedRAMP avec une appliance virtuelle durcie, Kiteworks protège les communications sensibles impliquant des contenus CUI et FCI sur de nombreuses chaînes, notamment l’e-mail, le partage de fichiers, le transfert sécurisé de fichiers, les formulaires web et les interfaces de programmation d’applications (API).
Planifiez dès aujourd’hui une démonstration personnalisée pour voir comment le Réseau de Contenu Privé Kiteworks permet aux entrepreneurs et sous-traitants du DoD d’accélérer et de simplifier leur processus de certification CMMC.