Exigences de CMMC et NIST 800-171
CMMC and NIST 800-171 are two compliance frameworks that are becoming increasingly important in the United States, particularly for companies that work with the government or handle sensitive information. In this glossary page, we will provide a comprehensive overview of both frameworks, explain the key differences between them, and the requirements to demonstrate compliance with each.
Qu’est-ce que les cadres CMMC et NIST 800-171?
Le cadre de certification de maturité en cybersécurité (CMMC) vise à garantir la sécurité de l’information non classifiée contrôlée (CUI) et de l’information sur les contrats fédéraux (FCI) dans la chaîne d’approvisionnement du Département de la Défense (DoD). Il est largement basé sur les normes NIST 800-171 et est divisé en trois niveaux. Le niveau 1 (Fondamental) nécessite la mise en œuvre de pratiques de cybersécurité de base et la prévention de l’accès non autorisé, de l’utilisation ou de la divulgation de la FCI. Le niveau 2 (Avancé) comporte des exigences plus rigoureuses et se concentre sur la mise en œuvre de pratiques de cybersécurité plus sophistiquées. Le niveau 3 (Expert) offre le plus haut niveau de sécurité pour les contrats du DoD et exige la mise en œuvre de pratiques et de capacités de cybersécurité avancées.
Le cadre NIST 800-171 est un ensemble de normes de sécurité développées par le National Institute of Standards and Technology. Il est conçu pour protéger l’information non classifiée contrôlée (CUI) contre l’accès, l’utilisation ou la divulgation non autorisés. Le cadre est divisé en 14 familles, chacune se concentrant sur différents aspects de la sécurité des données. Les quatre premières familles se concentrent sur l’établissement d’un environnement sécurisé, la protection des actifs de l’organisation, la garantie de la sécurité du personnel et la gestion des contrôles d’accès. Les dix familles restantes se concentrent sur différents aspects de la sécurité des données, tels que l’authentification et l’autorisation, la gestion des incidents, la gestion de la configuration et la sécurité physique et environnementale.
Comment les exigences et les contrôles de CMMC et de NIST 800-171 se comparent-ils?
Tant le CMMC que le NIST 800-171 fournissent aux organisations un cadre pour évaluer leur posture en matière de sécurité, ainsi que des recommandations pour mettre en œuvre des processus et des contrôles afin de mieux protéger leurs systèmes. Les deux réglementations aident les organisations en établissant des exigences minimales en matière de sécurité qui doivent être respectées pour être conformes. Les contrôles du CMMC 2.0 Niveau 2 sont alignés sur le NIST 800-171, qui regroupe les contrôles de sécurité en 14 domaines.
Les deux réglementations insistent fortement sur l’importance de documenter la posture en matière de sécurité d’une entreprise et fournissent des indications significatives pour choisir les bonnes technologies, politiques et meilleures pratiques. Le NIST 800-171 donne des instructions plus détaillées sur la manière de mettre en œuvre des contrôles de sécurité spécifiques, tandis que le CMMC adopte une approche plus globale et ne spécifie pas de technologies ou de procédures particulières. Les deux réglementations mettent également l’accent sur la protection de l’information non classifiée contrôlée (CUI) et des normes d’audit et de responsabilité, ainsi que sur l’aide aux organisations pour établir des politiques de gestion de l’identité et de l’accès. Les deux réglementations imposent également des exigences strictes pour les fournisseurs et les entrepreneurs tiers.
Dans la section suivante, examinons en détail les niveaux du CMMC 2.0 et les exigences du NIST 800-171.
Niveaux et exigences du CMMC 2.0
Le CMMC 2.0 est un système de certification en trois niveaux conçu pour protéger l’information non classifiée contrôlée (CUI). Les trois niveaux du CMMC 2.0 sont Fondamental (Niveau 1), Avancé (Niveau 2) et Expert (Niveau 3).
Niveau 1 du CMMC (Fondamental) équivaut au CMMC 1.02 Niveau 1. Les 17 contrôles Fondamentaux se concentrent sur la protection des systèmes d’information de l’entrepreneur, principalement en limitant l’accès aux utilisateurs autorisés. Ce niveau assure une protection de base des informations de l’entrepreneur et ne s’applique qu’aux organisations traitant des informations de contrat fédéral (FCI).
Niveau 2 du CMMC (Avancé) équivaut au CMMC 1.02 Niveau 3 et inclut les 14 domaines et les 110 contrôles de sécurité du NIST SP 800-171. Ce niveau est conçu pour les entreprises travaillant avec des CUI.
Niveau 3 du CMMC (Expert) s’applique aux entreprises traitant des CUI pour les programmes du DoD à la plus haute priorité. Il exige les 110 contrôles du NIST SP 800-171 ainsi qu’un sous-ensemble des contrôles du NIST SP 800-172. Ce niveau est conçu pour réduire la vulnérabilité d’un système aux menaces persistantes avancées (APT).
Familles d’exigences du NIST 800-171
Les 14 familles d’exigences du NIST 800-171 servent de base à la création d’un système d’information sécurisé pour les entrepreneurs fédéraux traitant des CUI. Ces familles couvrent de nombreux aspects de la sécurisation d’un système d’information, de la configuration du système et du contrôle d’accès à la surveillance et à la journalisation des audits. Les exigences spécifiques doivent être mises en œuvre par l’entrepreneur pour rester conforme.
Famille d’exigences du NIST 800-171 #1: Contrôle d’accès
Les exigences de Contrôle d’accès visent à empêcher l’accès non autorisé aux CUI afin de protéger les informations et de les maintenir en sécurité. Cette famille d’exigences couvre des sujets tels que l’authentification de l’utilisateur, le verrouillage de session, le principe du privilège minimum, les listes de contrôle d’accès, la surveillance des comptes, et plus encore.
Famille d’exigences du NIST 800-171 #2 : Audit et Responsabilité
Cette famille d’exigences garantit que les individus et les actions sont retracés jusqu’à leur point d’origine. Cela est accompli en enregistrant les événements dans le système et en maintenant des journaux d’activité des utilisateurs. Elle inclut également des exigences pour l’examen des journaux d’audit et la protection des journaux d’audit.
Famille d’exigences du NIST 800-171 #3: Sensibilisation et Formation
Les exigences de Sensibilisation et Formation visent à renforcer l’importance de la sécurité auprès du personnel du système. Cela comprend des exigences pour dispenser une formation formelle au personnel sur des sujets tels que la manipulation de l’information, la sécurité du système et le chiffrement.
Famille d’exigences du NIST 800-171 #4 : Gestion de la Configuration
Les exigences de Gestion de la Configuration visent à assurer des configurations systèmes cohérentes et sécurisées dans toute l’organisation. Cette famille d’exigences couvre des sujets tels que la configuration de base sécurisée des systèmes et l’utilisation d’outils de gestion des paramètres de configuration.
Famille d’exigences du NIST 800-171 #5 : Identification et Authentification
Cette famille d’exigences se concentre sur la manière dont les utilisateurs s’authentifient et obtiennent l’accès au système. Elle inclut des exigences relatives aux informations d’identification des utilisateurs, à l’authentification multi-facteurs, aux modules cryptographiques, et plus encore.
Famille d’exigences du NIST 800-171 #6: Gestion des Incidents
Cette famille d’exigences se concentre sur la préparation, la réponse et la récupération face à tout incident de sécurité pouvant survenir. Elle inclut des exigences relatives à la détection, à la limitation, à l’éradication et à la récupération des incidents.
Famille d’exigences du NIST 800-171 #7: Maintenance
Les exigences de Maintenance visent à s’assurer que les composants du système sont régulièrement entretenus pour accroître leur sécurité. Cette famille d’exigences comprend des contrôles tels que la mise à jour, les inventaires logiciels et matériels, et la protection antivirus.
Famille d’exigences du NIST 800-171 #8 : Protection des Médias
Cette famille d’exigences se concentre sur la protection des supports, tels que les disques durs, les clés USB, et plus encore. Elle inclut des exigences relatives à l’étiquetage, au suivi et à la désinfection des médias.
Famille d’exigences du NIST 800-171 #9: Protection Physique
Les exigences de Protection Physique visent à s’assurer que l’environnement physique où se trouve l’ICU est sécurisé. Cela inclut des exigences relatives à la sécurité des sites alternatifs, à la protection de l’environnement et au contrôle d’accès.
Famille d’exigences du NIST 800-171 #10: Évaluation des Risques
Les exigences d’Évaluation des Risques visent à garantir que les risques pour le système sont identifiés et traités. Cette famille d’exigences comprend des contrôles tels que la numérisation des vulnérabilités, l’évaluation des risques et l’atténuation des risques.
Famille d’exigences du NIST 800-171 #11: Protection des Systèmes et des Communications
Cette famille d’exigences vise à protéger les canaux de communication et les systèmes de l’organisation. Elle inclut des contrôles tels que le chiffrement, les pare-feu, les zones démilitarisées et le durcissement des dispositifs réseau.
Famille d’exigences du NIST 800-171 #12 : Intégrité des Systèmes et des Informations
Les exigences d’Intégrité des Systèmes et des Informations visent à protéger l’intégrité du système et des informations qui y sont contenues. Cela inclut des exigences relatives à la protection contre les codes malveillants, à la protection du système de fichiers et à la validation des entrées d’informations.
Famille d’exigences du NIST 800-171 #13: Plan de Sécurité du Système
Cette famille d’exigences décrit les étapes de création d’un plan de sécurité du système pour la protection de l’ICU. Elle inclut des contrôles tels que la documentation du système, les tests de sécurité du système et la maintenance du plan.
Famille d’exigences du NIST 800-171 #14: Acquisition de Systèmes et de Services
Les exigences d’Acquisition de Systèmes et de Services visent à garantir que tous les systèmes et services sont acquis de manière sécurisée. Cette famille d’exigences couvre des contrôles tels que les exigences relatives aux systèmes et aux services, les pratiques d’acquisition sécurisée et l’utilisation de l’ICU par les contractants.
Principales différences entre CMMC 2.0 et NIST 800-171
Les exigences des deux cadres ont certaines similitudes, mais il existe également des différences significatives. Le CMMC 2.0 exige que les organisations mettent en place des pratiques avancées de cybersécurité, telles que le chiffrement, la gestion des vulnérabilités et la réponse aux incidents. En comparaison, le NIST 800-171 exige uniquement la mise en place de pratiques de cybersécurité de base.
Le CMMC 2.0 exige également des organisations qu’elles fournissent des preuves de conformité au cadre. Les organisations doivent documenter la mise en œuvre des différentes exigences et contrôles et soumettre leur documentation de conformité au DoD. Le NIST 800-171 n’exige pas le même niveau de documentation. Les organisations doivent simplement s’assurer que leurs pratiques de sécurité des données répondent aux exigences.
Si je suis conforme à CMMC 2.0, suis-je conforme à NIST 800-171?
Se conformer aux exigences du CMMC ne garantit pas la conformité au NIST 800-171. Le CMMC 2.0 a été spécifiquement élaboré pour le département de la Défense (DoD) et vise à protéger les informations non classifiées contrôlées (CUI) détenues par les sous-traitants de la défense.
Bien que le NIST 800-171 protège également les CUI, il s’agit d’un ensemble de normes qui s’applique à tous les contractants du gouvernement traitant les CUI. Pour être conforme au NIST 800-171, les contractants doivent se conformer aux exigences spécifiques des 14 familles ; la seule conformité au CMMC ne suffit pas. Bien que les deux ensembles de normes puissent se chevaucher à bien des égards, ils présentent également des différences. Par exemple, le CMMC 2.0 prévoit la conformité pour les petits contractants en établissant les trois niveaux d’évaluation.
Kiteworks pour la conformité CMMC 2.0 Niveau 2 et NIST SP 800-171
Le Réseau de contenu privé offre aux entrepreneurs gouvernementaux une plateforme de partage sécurisé de fichiers qui facilite la conformité CMMC 2.0 Niveau 2 et NIST SP 800-171. Il s’agit d’une solution autorisée par FedRAMP pour les CUI de niveau Modéré, qui chiffre les données en transit et au repos avec respectivement TLS 1.2 et le chiffrement AES-256. Kiteworks prend en charge près de 90% des exigences du CMMC 2.0 Niveau 2 dès la sortie de la boîte et satisfait à toutes les exigences de sécurité spécifiées dans le NIST SP 800-171. Kiteworks aide également les organisations à se conformer à d’autres réglementations, notamment l’ITAR, le RGPD, SOC 2 (SSAE-16) et FISMA.
Kiteworks offre une couche critique de sécurité et de gouvernance sur les utilisateurs et les systèmes qui détiennent et transfèrent des informations sensibles telles que les CUI. Les organisations cherchant à se conformer à la conformité CMMC 2.0 Niveau 2 ou NIST 800-171 peuvent planifier une démonstration personnalisée de Kiteworks pour en savoir plus.