La Certification du Modèle de Maturité en Cybersécurité (CMMC) est une étape incrémentielle mais importante à laquelle les entrepreneurs de la défense doivent répondre. Le Niveau 2 de la CMMC se concentre sur l’hygiène cybernétique avancée, créant ainsi une progression logique mais nécessaire pour les organisations passant du Niveau 1 au Niveau 3. En plus de protéger les informations de contrat fédéral (FCI), le Niveau 2 inclut la protection des informations non classifiées contrôlées (CUI). Comparé au Niveau 1, les ensembles de pratiques supplémentaires inclus dans le Niveau 2 positionnent les fournisseurs du DoD pour mieux se défendre contre des menaces cybernétiques plus dangereuses.

CMMC 2.0 Compliance Roadmap for DoD Contractors

Read Now

Le Niveau 2 de la CMMC introduit également l’élément de maturité des processus du modèle. Au Niveau 2 de la CMMC, une organisation est tenue de réaliser et de documenter les fonctions clés de cybersécurité. Mettre en place un plan détaillé pour la conformité au Niveau 2 de la CMMC est essentiel pour tout fournisseur du DoD qui échange des CUI au sein de la chaîne d’approvisionnement du DoD.

Qui a besoin de la conformité au Niveau 2 de la CMMC ?

Les entrepreneurs et sous-traitants qui travaillent actuellement avec le Département de la Défense, ou prévoient de le faire, doivent démontrer leur conformité. Si ces entreprises traitent, manipulent ou gèrent des informations critiques pour la sécurité nationale, elles auront besoin de la conformité au Niveau 2 de la CMMC. Pour atteindre cette conformité, les entrepreneurs devront subir une évaluation de tiers exhaustive au Niveau 2 de la CMMC.

Conformité au Niveau 2 de la CMMC

Il existe 110 contrôles pour le Niveau 2 de la CMMC qui proviennent directement de NIST 800-171. La certification au Niveau 2 de la CMMC est nécessaire pour ceux qui souhaitent soumissionner sur des contrats du DoD qui traitent des éléments suivants :

  • Informations non classifiées contrôlées (CUI)
  • Informations techniques contrôlées (CTI)
  • Données ITAR ou soumises à des contrôles à l’exportation

Comment savoir si j’ai des CUI?

CUI est un terme utilisé pour désigner une grande variété de données sensibles mais non classifiées. Cela peut inclure des informations personnelles identifiables (IPI), des informations confidentielles sur les entreprises, des informations médicales protégées (PHI), des informations critiques sur les infrastructures et la cybersécurité, et des informations protégées (CJIS) liées aux opérations des forces de l’ordre. Le but des CUI est de s’assurer que même si les données ne sont pas classifiées et sont considérées comme non classifiées, elles sont toujours protégées et doivent suivre un processus spécifique pour garantir qu’elles sont traitées de manière sécurisée et que l’accès n’est donné qu’à ceux qui en ont besoin. Les CUI comprennent des données qui doivent être manipulées avec un haut niveau de sécurité pour les protéger. Il est important que tous ceux qui manipulent ces données soient bien formés et compétents dans la protection des CUI, afin de protéger les données contre un accès non autorisé.

Exigences de sécurité CMMC pour les e-mails

La conformité au Niveau 2 de la CMMC se concentre sur l’établissement de pratiques intermédiaires en matière d’hygiène cybernétique, notamment la sécurité des e-mails pour protéger les CUI. Une passerelle de protection des e-mails (EPG) est cruciale pour sécuriser les communications par e-mail concernant les CUI, rendant les processus de chiffrement transparents pour les utilisateurs finaux. La mise en place d’une solution EPG aide les organisations à répondre aux exigences du Niveau 2 de la CMMC en fournissant des fonctionnalités robustes de sécurité des e-mails telles que la filtration du spam, la protection contre le phishing, la prévention de la perte de données et la chiffrement sécurisé des e-mails. En respectant ces exigences, les organisations peuvent protéger leurs informations sensibles, réduire les menaces cybernétiques et maintenir leur conformité avec l’évolution du paysage de la cybersécurité.

Que faut-il pour obtenir la conformité CMMC Niveau 2?

Obtenir la conformité au niveau 2 de la CMMC nécessite une approche globale de la cybersécurité. Cela englobe la mise en place de politiques et de procédures, l’utilisation de contrôles techniques et l’établissement d’un solide canal d’éducation et de formation. En ce qui concerne les politiques et les procédures, le Niveau 2 exige des organisations qu’elles disposent d’un plan de sécurité du système, d’une politique de protection des médias, d’un plan de continuité, d’une réponse aux incidents, d’une gestion des correctifs et de procédures de gestion des comptes.

Du côté des contrôles techniques, les organisations doivent avoir des contrôles en place pour l’authentification, l’étiquetage des médias, la surveillance du système, l’intégrité du système, la protection contre les virus et l’audit. Les organisations doivent également disposer d’un programme de formation et d’éducation approuvé pour le personnel ayant les autorisations appropriées afin de comprendre adéquatement leur rôle dans la protection de l’environnement. Obtenir la conformité au Niveau 2 nécessite une approche globale de la sécurité qui équilibre la mise en œuvre de mesures techniques proactives, des processus et des procédures clairs, ainsi qu’un programme complet d’éducation et de formation.

Préparation à la CMMC Niveau 2 : Une liste de contrôle

Se préparer à la conformité au Niveau 2 de la CMMC implique d’améliorer systématiquement la posture de cybersécurité de votre organisation. Cette liste de contrôle de la CMMC Niveau 2 peut vous guider tout au long du processus :

  1. Familiarisez-vous avec les exigences de la CMMC Niveau 2, y compris les 72 pratiques de sécurité réparties sur 17 domaines.
  2. Effectuez une analyse complète des écarts pour identifier les domaines nécessitant des améliorations.
  3. Élaborez un plan de remédiation pour traiter les lacunes identifiées et mettre en place les contrôles nécessaires.
  4. Allouez des ressources, telles que le budget et le personnel, pour soutenir vos efforts de conformité.
  5. Formez votre personnel aux exigences de la CMMC et aux meilleures pratiques en matière de cybersécurité.
  6. Mettez en place des politiques, des procédures et une documentation pour soutenir les initiatives de conformité.
  7. Revoyez régulièrement et mettez à jour vos pratiques de cybersécurité pour maintenir la conformité.
  8. Collaborez avec des consultants en CMMC ou des C3PAOs pour obtenir des conseils et un soutien pour l’évaluation.
  9. Effectuez une auto-évaluation pour évaluer votre préparation avant l’évaluation officielle de la CMMC.
  10. Planifiez votre évaluation CMMC avec un C3PAO accrédité pour vérifier la conformité.

Exigences de conformité CMMC 2.0 Niveau 2

Les exigences de la CMMC au Niveau 2 comprennent 110 contrôles regroupés sous 15 domaines:

Domaine Nombre de contrôles
1. Contrôle d’accès (AC) 22 contrôles
2. Audit et responsabilité (AU) 9 contrôles
3. Sensibilisation et formation (AT) 3 contrôles
4. Gestion de configuration (CM) 9 contrôles
5. Identification et authentification (IA) 11 contrôles
6. Réponse aux incidents (IR) 3 contrôles
7. Maintenance (MA) 6 contrôles
8. Protection des médias (MP) 9 contrôles
9. Sécurité du personnel (PS) 2 contrôles
10. Protection physique (PE) 6 contrôles
11. Récupération (RE) 2 contrôles
12. Gestion des risques (RM) 3 contrôles
13. Évaluation de la sécurité (CA) 4 contrôles
14. Protection des systèmes et des communications (SC) 16 contrôles
15. Intégrité des systèmes et des informations (SI) 7 contrôles

Les contrôles dans chacun des 15 domaines sont les suivants :

Contrôle d’accès

Cette famille de requirements est la plus importante. Elle contient 22 contrôles. Dans le cadre du Contrôle d’accès, les organisations doivent surveiller tous les événements d’accès dans l’environnement informatique et limiter l’accès aux systèmes et aux données. Les exigences du Contrôle d’accès comprennent:

  • Mise en œuvre du principe du privilège minimal
  • Autorisation et protection de l’accès sans fil par l’utilisation du chiffrement et de l’authentification
  • Séparation des fonctions des individus pour prévenir les activités irrégulières
  • Surveillance et contrôle de l’accès à distance
  • Contrôle et restriction de l’utilisation des appareils mobiles
  • Contrôle de la circulation des informations non classifiées au sein d’une organisation et chiffrement sur les appareils mobiles

Audit et Responsabilité

Cette famille se compose de neuf contrôles. Elle demande aux organisations de conserver les journaux d’audit pour les utiliser dans les enquêtes de sécurité et de rendre les utilisateurs responsables de leurs actions. Les organisations doivent collecter et analyser les journaux d’audit pour détecter toute activité non autorisée et y répondre rapidement. Plusieurs étapes peuvent aider à mettre en œuvre ces contrôles :

  • Protéger les systèmes d’audit contre tout accès non autorisé
  • Examiner et mettre à jour les événements audités
  • Signaler les échecs dans le processus d’audit
  • Générer des rapports qui soutiennent l’analyse à la demande et fournissent des preuves de conformité

Sensibilisation et Formation

Cette famille de contrôles exige que les entreprises s’assurent que les gestionnaires, les administrateurs système et les autres utilisateurs connaissent les risques liés à la sécurité de leurs activités. Ils doivent être familiers avec les politiques de sécurité de l’organisation et les pratiques de cybersécurité de base pour reconnaître et répondre aux menaces internes et externes.

Gestion de la Configuration

Dans le cadre des exigences en matière de Gestion de la Configuration, les entreprises doivent établir et maintenir des configurations de base, ce qui implique de contrôler et de surveiller les logiciels installés par les utilisateurs et toutes les modifications apportées aux systèmes de votre organisation. Les exigences de conformité dans ce domaine comprennent :

  • Mettre sur liste noire les logiciels non autorisés
  • Documenter tous les événements où l’accès a été restreint en raison de modifications apportées aux systèmes informatiques
  • Restreindre, désactiver ou empêcher l’utilisation de programmes, de fonctions, de protocoles et de services non essentiels
  • Appliquer le principe de la fonctionnalité minimale en configurant les systèmes pour fournir uniquement les capacités essentielles

Identification et Authentification

La famille d’exigences relative à l’Identification et à l’Authentification garantit que seuls les utilisateurs authentifiés peuvent accéder au réseau ou aux systèmes de l’organisation. Elle comporte 11 exigences couvrant les procédures et les politiques de mot de passe et d’authentification. Elle concerne également l’identification fiable des utilisateurs. Les exigences visant à assurer la distinction entre les comptes privilégiés et non privilégiés sont reflétées dans l’accès au réseau.

Intervention en cas d’Incident

Dans cette famille, les organisations doivent avoir une stratégie d’intervention en cas d’incident qui permet une réponse rapide à tout incident pouvant entraîner une violation de données. Une organisation peut mettre en place des capacités pour détecter, analyser et répondre aux incidents de sécurité et signaler ces incidents aux responsables appropriés, et tester régulièrement son plan d’intervention en cas d’incident.

Entretien

Un entretien incorrect du système peut entraîner la divulgation de CUI, ce qui constitue une menace pour la confidentialité des informations. Les entreprises sont tenues d’effectuer un entretien régulier en respectant des exigences telles que :

  • Surveiller de près les individus et les équipes qui effectuent des activités de maintenance
  • S’assurer que les supports contenant des programmes de diagnostic et de test sont exempts de code malveillant
  • S’assurer que l’équipement retiré pour une maintenance hors site ne contient pas de données sensibles

Protection des Supports

La famille de contrôles relative à la Protection des Supports exige que vous garantissiez la sécurité des supports système contenant CUI, qu’il s’agisse de supports papier ou numériques.

Sécurité du Personnel

Il s’agit d’une petite famille de contrôles qui demande aux entreprises de surveiller les activités des utilisateurs et de s’assurer que tous les systèmes contenant CUI sont protégés pendant et après les actions du personnel, telles que les résiliations et les mutations des employés.

Protection Physique

La Protection Physique comprend la protection du matériel, des logiciels, des réseaux et des données contre les dommages ou les pertes dus à des événements physiques. Ce domaine demande aux organisations d’effectuer plusieurs activités pour atténuer le risque de dommages physiques, telles que :

  • Contrôler les dispositifs d’accès physique
  • Limiter l’accès physique aux systèmes et équipements aux utilisateurs autorisés
  • Maintenir des journaux d’audit des accès physiques

Récupération

Sous la section Récupération, les organisations sont tenues d’effectuer régulièrement des sauvegardes de données et de les tester, ainsi que de protéger la confidentialité des données CUI de sauvegarde aux emplacements de stockage.

Gestion des Risques

Il existe deux exigences relatives à l’exécution et à l’analyse régulières des évaluations des risques. Les organisations doivent scanner régulièrement les systèmes pour détecter les vulnérabilités, en maintenant à jour et sécurisés les dispositifs réseau et les logiciels. Mettre en évidence régulièrement et renforcer les vulnérabilités améliore la sécurité de l’ensemble du système.

Évaluation de la Sécurité

Une organisation doit surveiller et évaluer ses contrôles de sécurité pour déterminer s’ils sont suffisamment efficaces pour contribuer à maintenir la sécurité des données. Les organisations doivent disposer d’un plan décrivant les limites du système, les relations entre différents systèmes et les procédures pour la mise en œuvre des exigences de sécurité et la mise à jour périodique de ce plan.

Protection des Systèmes et des Communications

Il s’agit d’une famille assez importante d’exigences comprenant 16 contrôles pour la surveillance, le contrôle et la protection des informations transmises ou reçues par les systèmes informatiques. Cela implique plusieurs activités, telles que:

  • Prévention du transfert non autorisé d’informations
  • Mise en place de mécanismes cryptographiques pour empêcher toute divulgation non autorisée de CUI
  • Création de sous-réseaux pour les composants système accessibles au public, séparés des réseaux internes
  • Refus du trafic de communication réseau par défaut

Système et Intégrité de l’Information

Ce groupe de contrôles exige que les entreprises identifient rapidement et corrigent les défauts du système et protègent les actifs critiques contre les codes malveillants. Cela comprend des tâches telles que:

  • Surveillance et réaction rapide aux alertes de sécurité indiquant une utilisation non autorisée des systèmes informatiques
  • Réalisation de scans périodiques des systèmes informatiques et analyse des fichiers provenant de sources externes lorsqu’ils sont téléchargés ou utilisés
  • Mise à jour des mécanismes de protection contre les codes malveillants dès que de nouvelles versions sont disponibles

Coût de la Conformité CMMC

Le coût de la conformité CMMC varie en fonction de la taille de l’organisation, de sa complexité et du niveau de certification spécifique recherché.

Pour les petites et moyennes entreprises (PME), le coût de la conformité peut être significatif. Les investissements initiaux peuvent inclure la mise en place de contrôles de sécurité, l’embauche ou la formation du personnel chargé de la cybersécurité et l’acquisition d’outils pour soutenir ces efforts. Les organisations peuvent également avoir besoin d’allouer des ressources pour maintenir la conformité, telles que des audits de sécurité réguliers, des mises à jour de logiciels et la formation des employés.

La conformité de niveau 1 de la CMMC, qui se concentre sur les pratiques de base en matière d’hygiène cybernétique, nécessite généralement un investissement moins important que les niveaux supérieurs. À mesure que les organisations visent le niveau 2 ou le niveau 3 de la CMMC, les coûts augmentent en raison de la nécessité de contrôles plus avancés, de la documentation et de la surveillance continue.

Les organisations doivent effectuer une évaluation complète des risques et une analyse des écarts pour identifier les mesures de sécurité requises et estimer les coûts associés. Faire appel à une Organisation d’Évaluation Tiers CMMC (C3PAO) ou à une Organisation Fournisseur Enregistré (RPO) peut aider à guider l’organisation tout au long du processus et assurer une transition plus fluide vers la conformité.

Comment Mon Organisation Devrait-elle se Préparer à une Évaluation de Niveau 2 CMMC ?

Le Niveau 2 CMMC (Avancé) nécessite des évaluations tierces triennales pour les entrepreneurs du DoD qui envoient, partagent, reçoivent et stockent des informations cruciales pour la sécurité nationale. Ces évaluations tierces sont menées par une Organisation d’Évaluation Tiers CMMC (C3PAO) autorisée et certifiée par le CMMC Accreditation Body (CMMC-AB) pour effectuer des évaluations des entrepreneurs et sous-traitants cherchant à obtenir la certification démontrant la conformité à la norme CMMC.

Pour garantir le succès du processus, il est important de se préparer adéquatement. Les étapes suivantes doivent être prises pour assurer une préparation réussie :

  • Comprendre le cadre et les exigences de l’évaluation, y compris les normes, les critères et les objectifs
  • Avoir à disposition des documents pertinents et des preuves de conformité facilement accessibles et à jour
  • Planifier correctement l’évaluation en réservant suffisamment de temps et de ressources pour répondre aux exigences
  • Allouer du personnel pour faciliter l’évaluation, planifier l’évaluation dans un lieu approprié et disposer du bon équipement et des bons matériaux
  • S’assurer que toutes les parties prenantes pertinentes sont adéquatement préparées grâce à des sessions de formation complètes

Atteindre la Conformité au Niveau 2 CMMC

Atteindre la conformité au Niveau 2 CMMC implique la mise en place de pratiques intermédiaires d’hygiène cybernétique qui protègent les informations non classifiées contrôlées (CUI) et les informations de contrat fédéral (FCI). Les organisations doivent respecter 72 pratiques de sécurité réparties sur 17 domaines, en s’appuyant sur l’hygiène de base établie au Niveau 1. Les étapes clés comprennent la réalisation d’une analyse approfondie des écarts, le développement d’un plan de remédiation, la mise en place des contrôles de sécurité requis et la formation du personnel. Faire appel à des consultants CMMC ou à des Organisations d’Évaluation Tiers (C3PAOs) peut aider les organisations à naviguer dans le processus, à assurer une mise en œuvre appropriée et à vérifier la conformité, renforçant ainsi leur posture en matière de cybersécurité.

Qui Est Responsable des Évaluations Complètes CMMC ?

Les Organisations d’Évaluation Tiers CMMC (C3PAOs) sont responsables de la réalisation d’évaluations complètes CMMC. Ces organisations sont accréditées par le CMMC Accreditation Body (CMMC-AB) et sont composées d’assesseurs certifiés qui évaluent les pratiques de cybersécurité et les contrôles d’une organisation par rapport au cadre CMMC. Les C3PAOs vérifient de manière impartiale la conformité d’une organisation au niveau CMMC requis, garantissant qu’elle respecte les normes de sécurité pour protéger les informations sensibles et maintenir les contrats au sein de la chaîne d’approvisionnement du Département de la Défense (DoD).

Critères et Systèmes de Notation d’Auto-évaluation CMMC 2.0

CMMC 2.0, une version mise à jour du cadre CMMC original, simplifie la conformité en permettant aux organisations de réaliser des auto-évaluations. Les critères évaluent le respect par une organisation des pratiques et des contrôles essentiels de cybersécurité. Sur la base du degré de mise en œuvre, les systèmes de notation fournissent une mesure quantitative de la maturité de la cybersécurité d’une organisation. Un score plus élevé signifie une meilleure posture de cybersécurité. En utilisant des modèles et des outils d’auto-évaluation, les organisations peuvent identifier les domaines à améliorer, élaborer un plan pour combler les lacunes et suivre les progrès vers l’obtention du niveau souhaité de conformité CMMC 2.0.

Quel Est le Rôle d’un C3PAO dans la Conformité au Niveau 2 CMMC 2.0 ?

Un C3PAO est essentiel pour atteindre la conformité au Niveau 2 CMMC 2.0. Les évaluateurs C3PAO évaluent les politiques, les processus et les contrôles existants d’une organisation par rapport aux exigences du CMMC. Ils examinent la documentation de sécurité existante, mènent des entretiens et effectuent des inspections sur site des systèmes et de la sécurité physique. Après avoir évalué le niveau actuel de conformité de l’organisation, le C3PAO fournit un rapport sur ses conclusions. Ce rapport sera soumis au CMMC Accreditation Body pour examen, évaluation et certification.

Kiteworks Accélère l’Obtention de la Conformité CMMC 2.0 pour les Fournisseurs du DoD

Le Kiteworks Private Content Network est Autorisé par FedRAMP pour un Impact de Niveau Modéré. Grâce à sa certification FedRAMP, Kiteworks prend en charge près de 90% des exigences de CMMC 2.0 Niveau 2 dès le départ. Les fournisseurs de technologie sans certification Autorisée par FedRAMP ne peuvent pas atteindre ce niveau de conformité. En conséquence, Kiteworks accélère le temps nécessaire aux fournisseurs du DoD pour atteindre la conformité au Niveau 2 CMMC. En utilisant une approche de confiance zéro définie par le contenu, Kiteworks protège les communications sensibles de CUI et de FCI sur de nombreux canaux de communication, notamment les e-mails, le partage de fichiers, le transfert sécurisé de fichiers, les formulaires Web et les interfaces de programmation d’applications (API).

Planifiez une démonstration personnalisée pour voir comment le Kiteworks Private Content Network permet aux entrepreneurs et sous-traitants du DoD d’accélérer et de simplifier leur processus de certification CMMC.

 

Retour au Glossaire de la Gestion des Risques et de la Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks