Exigences du DoD et de CMMC
Le Département de la Défense (DoD) est responsable de garantir la protection des États-Unis contre les menaces externes et internes, de maintenir des opérations militaires légales et efficaces, et de développer et de maintenir la capacité des États-Unis à mener toutes les missions militaires nécessaires pour protéger la nation. Ces responsabilités comprennent également l’élaboration de la politique et de la supervision de la sécurité nationale, la réponse aux menaces à la sécurité nationale et la gestion de la recherche et du développement de nouvelles technologies.
CMMC 2.0 Compliance Roadmap for DoD Contractors
Le DoD ne peut pas accomplir ces fonctions en vase clos ; il dépend de plus de 300 000 entrepreneurs et sous-traitants pour son soutien. Ce vaste réseau de chaîne d’approvisionnement est appelé la Base Industrielle de la Défense (BID). Étant donnée la nature sensible du travail du DoD, il est impératif que les entrepreneurs de la BID disposent des outils de cybersécurité appropriés pour protéger les informations sensibles qu’ils partagent avec le DoD. En réponse, le DoD a développé le Cybersecurity Maturity Model Certification (CMMC) pour protéger la confidentialité de ces informations. Le CMMC vise à renforcer les protections de sécurité autour de la chaîne d’approvisionnement de la BID en évaluant la sécurité des réseaux et des systèmes des entrepreneurs de la défense afin de garantir la conformité aux normes gouvernementales en matière de sécurité des données.
Comprendre le Département de la Défense et le CMMC
La BID du DoD est un écosystème vital composé d’entreprises du secteur privé qui permettent au DoD d’atteindre ses objectifs. Elle fournit des matériaux, des composants et des services essentiels. Voici un aperçu rapide de certains des produits et services fournis par la BID :
- Aéronefs militaires: Fabrication, modification et entretien d’aéronefs militaires, y compris les avions de transport, de combat et de reconnaissance.
- Systèmes de guidage et de navigation: Conception et production de systèmes de guidage et de navigation pour les plateformes de combat, y compris les systèmes de navigation inertielle non basés sur le GPS.
- Systèmes d’armes: Fabrication, maintenance et services de soutien pour des systèmes d’armes tels que les missiles, les roquettes, l’artillerie, les torpilles, les bombes et les contre-mesures électroniques.
- Systèmes de communication: Conception et production de systèmes de communication pour les réseaux opérationnels et de renseignement.
- Services logistiques et de soutien: Fourniture de services logistiques et de soutien, tels que l’entreposage, le transport, la gestion de la chaîne d’approvisionnement et le soutien du personnel.
- Plateformes sans pilote: Conception, fabrication et entretien de plateformes sans pilote telles que les drones, les robots et les véhicules autonomes sous-marins.
- Solutions de cybersécurité: Conception et mise en œuvre de solutions de cybersécurité, y compris des pare-feu, une protection contre les logiciels malveillants et la surveillance de la sécurité des réseaux.
- Construction navale et réparation: Conception, construction et entretien de navires militaires et civils.
- Formation et simulation: Fourniture de services de formation et de simulation pour le personnel militaire, ainsi que des services logistiques et de soutien aux missions.
- Recherche et développement: Recherche et développement de technologies émergentes de combat, y compris l’intelligence artificielle, la biométrie et la robotique.
CMMC 2.0 établit une série de mesures pour que les fournisseurs du DoD protègent leurs réseaux et leurs données contre les menaces malveillantes et accidentelles. Le schéma de certification est un cadre à trois niveaux qui évalue les pratiques de sécurité et les capacités des organisations opérant dans la BID. Les entreprises souhaitant devenir certifiées CMMC doivent répondre aux critères de l’un des trois niveaux, en fonction de la complexité de leurs opérations et de la sensibilité des informations qu’elles détiennent.
Le Niveau 1 de la CMMC impose des exigences de sécurité de base aux organisations, telles que la sécurisation adéquate de l’accès physique aux informations sensibles et l’utilisation de bonnes pratiques de gestion des mots de passe. Le Niveau 2 de la CMMC comprend des contrôles supplémentaires, tels que l’identification des rôles des utilisateurs et l’attribution de privilèges en conséquence, ainsi que la restriction de l’accès uniquement aux personnes autorisées. Le Niveau 3 de la CMMC intègre les exigences de cybersécurité les plus strictes, notamment des capacités avancées de détection et de réponse aux menaces, et est réservé aux organisations travaillant avec des informations non classifiées contrôlées (INC).
Qu’est-ce que l’information non classifiée contrôlée (INC)?
L’INC fait référence aux informations considérées par le DoD comme sensibles mais non classifiées. L’INC englobe les informations réglementées ou restreintes par des lois et réglementations fédérales et non fédérales. Les exemples d’INC incluent les informations propriétaires, les informations commerciales confidentielles ou les informations détenues ou contrôlées par le gouvernement.
CMMC vs. NIST SP 800-171
Le Niveau 2 de la CMMC 2.0 est aligné sur les exigences pratiques de la NIST 800-171, une liste de 110 contrôles pratiques que les entrepreneurs gouvernementaux traitant des INC doivent respecter. Comparé à la Publication Spéciale (SP) 800-171 de la NIST, le Niveau 2 de la CMMC 2.0 est plus approfondi et exige des évaluations plus détaillées et fiables qui ne sont pas disponibles avec la NIST SP 800-171. Le Niveau 2 de la CMMC 2.0 exige des organisations la mise en œuvre de pratiques de cybersécurité avancées, telles que le chiffrement, la gestion des vulnérabilités et la réponse aux incidents. En revanche, la NIST 800-171 exige uniquement la mise en œuvre de pratiques de cybersécurité de base. La CMMC 2.0 exige également que les organisations fournissent des preuves de conformité au cadre. Les organisations doivent documenter la mise en œuvre des différentes exigences et contrôles et soumettre leur documentation de conformité au DoD. La NIST 800-171 ne demande pas le même niveau de documentation. Les organisations doivent simplement s’assurer que leurs pratiques de sécurité des données respectent les exigences.
Le Niveau 2 de la CMMC 2.0 est un outil efficace pour renforcer la sécurité dans la chaîne d’approvisionnement du DoD, car il oblige les entrepreneurs à mettre constamment à jour leurs pratiques de sécurité et à s’assurer qu’ils respectent les normes de sécurité les plus élevées. Cela garantit que les INC sont conservées en toute sécurité et ne sont pas mises en danger. De plus, cela permet au DoD de mieux comprendre les mesures de sécurité prises par ses entrepreneurs, de sorte qu’il puisse avoir confiance dans le fait qu’il travaille avec des organisations capables de protéger les INC avec le niveau de sécurité approprié.
Compréhension des Trois Niveaux de CMMC 2.0
Les niveaux de CMMC 2.0 vont de basique à expert, et chaque niveau exige des mesures de sécurité plus strictes que le niveau précédent. En conséquence, les entrepreneurs sont contraints d’adopter une approche plus proactive de la sécurité et de la gestion des risques. Celles-ci doivent être intégrées dans le cadre de la stratégie de gestion des risques liés à la cybersécurité de l’organisation.
Niveau 1 de CMMC 2.0 exige des organisations de mettre en place des mesures de sécurité de base. Cela inclut la sécurité physique, le contrôle d’accès, l’inventaire des systèmes, la protection des données et la réponse aux incidents. Les organisations doivent également se conformer aux exigences de la NIST SP 800-171, telles que le chiffrement et l’authentification des utilisateurs.
Niveau 2 de CMMC 2.0 exige des organisations un ensemble plus complet de mesures de sécurité. Cela comprend non seulement les exigences du Niveau 1, mais également des politiques et procédures plus détaillées, telles que la limitation de l’accès aux systèmes et aux données sensibles, l’identification des rôles des utilisateurs et l’attribution des privilèges en conséquence, ainsi que le maintien d’un inventaire des actifs du système. Les organisations doivent également se conformer aux exigences de la NIST SP 800-171, telles que la prévention de l’accès non autorisé et l’authentification des utilisateurs.
Niveau 3 de CMMC 2.0 est le niveau de certification le plus élevé et est aligné sur la NIST SP 800-172. Les organisations doivent mettre en œuvre des mesures de sécurité basées sur le risque et établir des contrôles de sécurité des données plus avancés, tels que des capacités de détection et de réponse aux menaces avancées. Elles doivent également s’assurer que tout le personnel, les sous-traitants et les fournisseurs se conforment aux exigences de CMMC. Les organisations doivent également se conformer aux exigences de la NIST SP 800-171, telles que le chiffrement et l’authentification des utilisateurs.
Compréhension des Exigences de CMMC
Comprendre les exigences de CMMC est essentiel pour toute organisation travaillant actuellement avec le DoD ou espérant travailler avec lui à l’avenir. La compréhension des exigences de CMMC peut contribuer à garantir que les systèmes des entrepreneurs respectent les mesures de sécurité nécessaires pour mener des opérations sensibles.
Pour garantir le respect des différentes exigences de CMMC, les entrepreneurs du DoD doivent cartographier leurs pratiques et processus de cybersécurité existants. De nombreuses organisations ont recours à une Organisation d’Évaluation Tiers CMMC (C3PAO), qui fournit une évaluation du niveau de conformité d’un entrepreneur, donne des conseils sur les domaines d’amélioration et aide à élaborer et à exécuter un plan d’action CMMC approuvé. Pour les entrepreneurs du DoD qui dépendent fortement du partage de données, un réseau de contenu privé peut également être utilisé pour simplifier et accélérer le processus de conformité à la CMMC.
Les entrepreneurs du DoD doivent également être conscients des sanctions potentielles auxquelles ils pourraient être confrontés s’ils ne respectent pas les exigences de la CMMC. Cela inclut des amendes, la suspension de contrats ou, dans des cas extrêmes, la perte de contrats et le droit de soumissionner pour de nouveaux contrats du DoD. Il est important pour les entrepreneurs du DoD de comprendre les implications de ne pas respecter les exigences de la CMMC afin de se préparer adéquatement et de mettre en œuvre des mesures à long terme pour satisfaire aux exigences de la CMMC.
Avantages de la Certification CMMC
La certification CMMC rassure le DoD en lui garantissant que les entrepreneurs avec lesquels il travaille sont des partenaires de choix, car ils ont respecté les strictes exigences de cybersécurité du DoD. Comme le cadre de la CMMC exige des entrepreneurs du DoD de mettre en œuvre des mesures de sécurité robustes, ceux qui obtiennent la certification CMMC bénéficient d’un avantage concurrentiel sur le marché plus large (secteur privé). La certification CMMC établit une base de sécurité dans toute la chaîne d’approvisionnement du DoD en fonction du type de données privées qu’ils envoient, partagent, reçoivent et stockent. Les entrepreneurs ayant obtenu la certification CMMC (surtout au niveau 2 et au niveau 3) ont généralement une posture de cybersécurité plus solide qui devrait contribuer à prévenir les cyberattaques, les violations de données, les violations de la conformité et d’autres menaces potentielles liées à la cybersécurité.
La certification CMMC aide également les entrepreneurs à construire une marque réputée et à accroître la confiance de leurs clients. La certification peut également offrir des avantages juridiques et contractuels aux entrepreneurs, notamment l’accès à des contrats plus attractifs ou lucratifs et d’autres avantages importants. En fin de compte, les entrepreneurs du DoD qui obtiennent la certification CMMC bénéficient de nombreux avantages commerciaux.
Obtention de la Certification CMMC
Les organisations souhaitant être certifiées à l’un des trois niveaux de CMMC doivent d’abord s’assurer qu’elles répondent à toutes les exigences de ce niveau. Cela inclut la mise en œuvre des mesures de sécurité spécifiées dans les contrôles de pratiques CMMC 2.0. (Remarque : Les entreprises qui démontrent leur conformité aux exigences pratiques de CMMC 2.0 Niveau 2 ne sont pas automatiquement conformes à la NIST 800-171.)
Une fois qu’une entreprise a satisfait aux exigences des niveaux 2 et 3 de la CMMC par auto-attestation, elle doit ensuite rechercher la certification auprès d’un organisme de certification tiers accrédité CMMC (C3PAO). Le processus de certification implique l’évaluation des mesures de sécurité de l’entreprise et la détermination de savoir si l’entreprise répond aux exigences du niveau de certification souhaité. Si l’entreprise répond aux exigences, elle recevra la certification CMMC appropriée.
Les entreprises cherchant à obtenir la certification CMMC rencontrent des défis courants au cours du processus de certification. Ces défis comprennent la difficulté à comprendre les exigences de la CMMC et la difficulté à mettre en œuvre les mesures de sécurité requises. Les entreprises peuvent souvent surmonter ces défis en consultant un consultant certifié CMMC ou en travaillant avec une organisation tierce accréditée CMMC spécialisée dans la fourniture de services liés à la CMMC.
Kiteworks Aide les Organisations à Atteindre la Conformité CMMC
Kiteworks prend en charge près de 90 % des exigences de CMMC 2.0 Niveau 2 dès le départ. Le Kiteworks Private Content Network unifie la messagerie électronique, le partage de fichiers, le transfert sécurisé de fichiers (MFT), les formulaires Web et les interfaces de programmation d’applications (API) en une seule plateforme composée de contrôles de politique automatisés et de suivi conformes aux pratiques de CMMC 2.0 Niveau 2.
Le Kiteworks Private Content Network accélère la certification CMMC pour les fournisseurs du DoD. Parmi les principales capacités de la plateforme, on trouve notamment :
- Sécurité de qualité entreprise, telle que le chiffrement TLS 1.2 au niveau des fichiers en transit et le chiffrement AES 256 bits au repos
- Un appareil virtuel durci préconfiguré et autonome, optimisé pour la sécurité
- Autorisation FedRAMP pour un Impact de Niveau Modéré
- Validé FIPS 140-2
- Attestation SOC 2 de Niveau 1 et permet la certification SOC 2
- Certifié ISO 27001, 27017 et 27018
- Conforme à la NIST SP 800-171, à la NIST SP 800-172, au FISMA, et autres
De plus, Kiteworks offre une vue en temps réel et historique de tous les mouvements de fichiers entrants et sortants, et enregistre cette activité, notamment qui envoie quoi à qui, quand et où, créant ainsi une piste d’audit complète. Un contrôle total et une visibilité sur le contenu qui entre et sort de l’organisation permettent aux entrepreneurs du DoD de démontrer leur conformité aux réglementations sur la protection des données du monde entier, notamment, mais sans s’y limiter, le Règlement général sur la protection des données (RGPD), la Health Insurance Portability and Accountability Act (HIPAA), la California Consumer Privacy Act (CCPA), le Programme d’évaluation des évaluateurs de sécurité de l’information (IRAP), la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) et bien d’autres encore.
Pour voir la plateforme Kiteworks en action et découvrir comment elle peut accélérer votre parcours de conformité à la CMMC, planifiez une démonstration personnalisée dès aujourd’hui.