Conformité CMMC et exigences de sécurité
CMMC (Cybersecurity Maturity Model Certification) est un programme du Département de la Défense des États-Unis (DoD) qui établit des normes pour la protection des informations gouvernementales sensibles. Il s’agit d’une certification qui exige que les organisations se conforment à certaines mesures de sécurité basées sur les normes du National Institute of Standards and Technology (NIST).
CMMC 2.0 Compliance Roadmap for DoD Contractors
L’objectif de la CMMC est de protéger les informations non classifiées contrôlées (CUI) contre les cyberattaques ou l’accès non autorisé. La conformité à la CMMC est obtenue en mettant en œuvre et en maintenant certaines pratiques de cybersécurité qui permettent aux organisations de protéger la confidentialité, l’intégrité et la disponibilité des CUI. Les organisations doivent être en mesure de démontrer leur conformité aux exigences de la CMMC applicables afin de recevoir la certification requise. La conformité à la CMMC est obligatoire pour les sous-traitants du DoD qui doivent gérer et stocker les CUI et est essentielle pour que les organisations restent compétitives dans leur secteur choisi. Tous les fournisseurs du DoD doivent élaborer une stratégie de gestion des risques de cybersécurité pour garantir que les données privées restent privées et sont protégées dans les échanges de la chaîne d’approvisionnement numérique du DoD.
Pourquoi la conformité CMMC est-elle importante ?
Le DoD exige que tous les entrepreneurs respectent les exigences de la CMMC pour être éligibles aux contrats gouvernementaux. Cela garantit que ces entrepreneurs comprennent et mettent activement en œuvre des mesures de protection contre les acteurs malveillants et les violations de données. La conformité CMMC est également importante pour les organisations afin de démontrer leur engagement en matière de cybersécurité et de prouver que les données sensibles des clients sont correctement protégées. En respectant les exigences de la CMMC, les organisations peuvent avoir une plus grande assurance que leurs réseaux internes et leur propriété intellectuelle sont correctement sécurisés contre les cybermenaces. De plus, la CMMC aide les organisations à améliorer leur hygiène cybernétique en suivant les meilleures pratiques telles que le chiffrement sécurisé des données stockées ou la mise en œuvre de l’authentification multifactorielle.
La conformité à la CMMC est essentielle pour les organisations afin de maintenir la confiance de leurs clients. Les clients sont de plus en plus conscients et préoccupés par la protection adéquate des données et les mesures de confidentialité. Les organisations qui sont conformes à la CMMC peuvent démontrer à leurs clients que leurs préoccupations en matière de données et de confidentialité sont prises au sérieux et que des mesures sont en place pour protéger leurs données sensibles. Cela peut aider les organisations à maintenir la loyauté des clients, à instaurer la confiance et à obtenir un avantage concurrentiel.
La CMMC aide également à garantir que les organisations respectent les réglementations de cybersécurité pertinentes. La conformité à la CMMC aide les organisations à rester à jour avec le paysage en constante évolution des réglementations de cybersécurité. Être conforme aux exigences de la CMMC aide à démontrer qu’une organisation respecte les réglementations pertinentes et prend les mesures nécessaires pour protéger les données et la confidentialité des clients.
Quels sont les trois niveaux de CMMC ?
Le DoD a actuellement trois niveaux de certification CMMC, qui sont les suivants :
Niveau 1 : Fondamental. La certification CMMC de niveau 1 est nécessaire pour les entrepreneurs et sous-traitants du DoD qui gèrent des informations contractuelles fédérales (FCI). Elle exige que les organisations respectent les pratiques de base de cybersécurité axées sur la protection des FCI, comme spécifié dans la clause FAR 52.204-21.
Le niveau Fondamental ne nécessite pas d’évaluation par une organisation d’évaluation tierce de la CMMC (C3PAO). Il nécessite une auto-évaluation annuelle avec une attestation d’un dirigeant d’entreprise.
Niveau 2 : Avancé. La certification de niveau 2 exige que les organisations aient en place des pratiques de cybersécurité plus robustes, telles que le contrôle d’accès, la réponse aux incidents et la protection des médias. Ce niveau est conçu pour protéger l’intégrité et la disponibilité des CUI contre des menaces plus sophistiquées. Le niveau Avancé est aligné avec le National Institute of Standards & Technology SP 800-171 (NIST 800-171).
La certification de niveau Avancé nécessite des évaluations tierces triennales par les C3PAO.
Niveau 3 : Expert. La certification de niveau 3 est le niveau le plus élevé de la CMMC et nécessite la mise en œuvre de pratiques avancées telles que le durcissement du système et la récupération des données. Ce niveau est conçu pour protéger la confidentialité, l’intégrité et la disponibilité des CUI contre les menaces persistantes avancées. Des informations sur le niveau 3 seront publiées ultérieurement et contiendront un sous-ensemble des exigences de sécurité spécifiées dans le SP 800-172.
Quelles sont les exigences de sécurité de la CMMC ?
Les exigences de sécurité de la CMMC sont un ensemble de normes de sécurité conçues pour aider les organisations à sécuriser leurs réseaux, à protéger leurs données et à se conformer aux lois et règlements applicables. Les exigences sont réparties dans les trois niveaux CMMC 2.0 décrits ci-dessus et couvrent des domaines tels que le contrôle d’accès, la gestion de configuration, la réponse aux incidents, la protection des médias, la protection des systèmes et des communications, la sécurité du personnel et la protection physique. Les organisations doivent se conformer aux exigences de sécurité de la CMMC pour rester compétitives sur le marché du DoD et pour protéger leurs informations numériques contre les cybermenaces.
Les exigences de chaque niveau sont les suivantes :
Niveau 1 : Exigences Fondamentales
Les exigences de la CMMC au niveau 1 comprennent 17 contrôles de sécurité dans 6 domaines. Les 6 domaines comprennent :
- Contrôle d’accès (4 contrôles)
- Identification et authentification (2 contrôles)
- Protection des supports (1 contrôle)
- Protection physique (4 contrôles)
- Protection des systèmes et des communications (2 contrôles)
- Intégrité des systèmes et de l’information (4 contrôles)
Niveau 2 : Exigences avancées
Les exigences du CMMC au niveau 2 comprennent 110 contrôles regroupés en 14 domaines. Les 14 domaines comprennent :
- Contrôle d’accès (22 contrôles)
- Formation à la sensibilisation (3 contrôles)
- Audit et responsabilité (9 contrôles)
- Gestion des configurations (9 contrôles)
- Identification et authentification (11 contrôles)
- Réponse aux incidents (3 contrôles)
- Maintenance (6 contrôles)
- Protection des supports (9 contrôles)
- Sécurité du personnel (2 contrôles)
- Protection physique (6 contrôles)
- Évaluation des risques (3 contrôles)
- Évaluation de la sécurité (4 contrôles)
- Protection des systèmes et des communications (16 contrôles)
- Intégrité des systèmes et de l’information (7 contrôles)
Niveau 3 : Exigences d’expert
Les exigences du CMMC au niveau 3 comprennent 130 contrôles regroupés en 16 domaines et ceux des niveaux 1 et 2 du CMMC. Les 16 domaines comprennent :
- Contrôle d’accès (8 contrôles)
- Gestion des actifs (1 contrôle)
- Audit et responsabilité (7 contrôles)
- Formation à la sensibilisation (1 contrôle)
- Gestion des configurations (3 contrôles)
- Identification et authentification (4 contrôles)
- Réponse aux incidents (2 contrôles)
- Maintenance (2 contrôles)
- Protection des supports (4 contrôles)
- Protection physique (6 contrôles)
- Récupération (1 contrôle)
- Évaluation des risques (3 contrôles)
- Évaluation de la sécurité (2 contrôles)
- Conscience situationnelle (1 contrôle)
- Protection des systèmes et des communications (15 contrôles)
- Intégrité des systèmes et de l’information (3 contrôles)
En quoi les exigences du CMMC diffèrent-elles des exigences du NIST 800-171 ?
Le niveau 2 du CMMC 2.0 est aligné sur le NIST SP 800-171, spécifiant que les organisations de la Base industrielle de défense (DIB) doivent s’autocertifier – soit être en conformité, soit prendre des mesures concrètes en vue de la conformité. Les niveaux 2 et 3 du CMMC prévoient que les C3PAOs évaluent les organisations et attribuent un niveau de maturité en fonction de l’état de leur programme de cybersécurité. Le niveau 1, le niveau fondamental, ne nécessite qu’une auto-évaluation.
Les exigences de sécurité du CMMC offrent des avantages au-delà du DoD
Les exigences de sécurité CMMC offrent des avantages au-delà des organisations de la chaîne d’approvisionnement du DoD. Ces exigences sont un ensemble de normes de cybersécurité que les organisations doivent respecter afin de démontrer une posture appropriée dans la protection de la confidentialité, de l’intégrité et de la disponibilité de leurs systèmes. Les exigences couvrent des domaines tels que le contrôle d’accès, la réponse aux incidents, l’audit et la responsabilité, la protection des médias, la protection des systèmes et des communications, la sécurité du personnel, l’évaluation et l’autorisation de sécurité, la gestion des risques de la chaîne d’approvisionnement, l’intégrité des systèmes et des informations, et la formation.
Ces contrôles aident les organisations à améliorer leur posture de cybersécurité en mettant en œuvre des pratiques efficaces, en formant le personnel et en assurant des chaînes d’approvisionnement sécurisées. En adhérant aux exigences de sécurité CMMC, les organisations sont en mesure de mieux protéger leurs systèmes et leurs données, de renforcer leurs processus de gestion des risques, et de devenir plus résilientes face aux éventuelles cybermenaces.
Kiteworks pour la conformité CMMC 2.0 Niveau 2
Kiteworks est un fournisseur de confiance de solutions de cybersécurité pour les agences fédérales comme le DoD ainsi que divers fournisseurs de la Base Industrielle de Défense (DIB) qui nécessitent une certification CMMC. Parce que Kiteworks est Autorisé FedRAMP pour un Impact de Niveau Modéré, Kiteworks prend en charge près de 90% des exigences CMMC 2.0 Niveau 2 dès la sortie de la boîte. Cela réduit considérablement le temps nécessaire pour que les fournisseurs du DoD obtiennent la conformité CMMC Niveau 2.
En ce qui concerne les audits C3PAO, Kiteworks offre également des avantages positifs. Le Réseau de Contenu Privé de Kiteworks aide les entrepreneurs du DoD à rationaliser les processus et les procédures d’audit CMMC, rendant l’ensemble du processus plus rapide et plus efficace. Avec le soutien de Kiteworks, les entrepreneurs du DoD peuvent protéger leurs affaires DoD en obtenant rapidement et facilement la conformité CMMC Niveau 2.
Programmez une démonstration personnalisée pour voir la plateforme Kiteworks en action et comment elle peut accélérer votre parcours de conformité CMMC dès aujourd’hui.