CMMC Certification
Liste de vérification des meilleures pratiques
La certification CMMC exige que les sous-traitants de la défense respectent un ensemble étendu de critères de cybersécurité. Voici notre liste des meilleures pratiques de certification CMMC que chaque sous-traitant de la défense devrait sérieusement envisager lorsqu’il vise la conformité CMMC 2.0 et, finalement, la certification CMMC.
1. Choisir le Niveau de Maturité CMMC Approprié
Il existe trois niveaux de certification CMMC 2.0 : CMMC Niveau 1 (fondamental), CMMC Niveau 2 (avancé) et CMMC Niveau 3 (expert) ; les organisations doivent choisir le bon niveau à poursuivre en fonction de la sensibilité des données qu’elles traitent. Les exigences de certification augmentent en rigueur parallèlement à la sensibilité du contenu à traiter et à partager.
2. Réaliser une Auto-évaluation CMMC
Effectuez une auto-évaluation de votre profil de cybersécurité pour évaluer votre préparation à la certification CMMC. Cette évaluation doit inclure un examen de votre maturité en cybersécurité, y compris vos politiques et procédures, la sécurité du réseau, les contrôles d’accès et les capacités de réponse aux incidents.
3. Tirer Parti des Cadres de Cybersécurité Complémentaires
CMMC a été développé à partir de cadres existants et un chevauchement significatif est évident. Tirer parti des cadres et certifications existants qui s’alignent sur les exigences CMMC peut rendre la certification CMMC moins intimidante. Les cadres complémentaires incluent le NIST CSF, FedRAMP, FISMA, ISO 27001, NIST 800-171 et NIST 800-172.
4. Élaborer un Plan d’Action et des Jalons (POA&M)
Un Plan d’Action et des Jalons (POA&M) décrit votre stratégie pour aborder les faiblesses et les déficiences en cybersécurité. Priorisez les domaines à traiter. Développez un calendrier pour chaque tâche, assignez des tâches aux membres de l’équipe avec des responsabilités claires et documentez toutes les étapes entreprises. Suivez les progrès et mettez à jour le POA&M si nécessaire.
5. Développer un Plan de Sécurité du Système (SSP)
Le SSP décrit vos procédures d’authentification et d’autorisation, les flux d’informations, les règlements de l’entreprise, les obligations de sécurité du personnel, les diagrammes de réseau, les tâches administratives, et plus encore. Notez : créer et mettre à jour le SSP peut être un processus exigeant en ressources, mais c’est une pièce critique du processus de certification. Votre C3PAO et le DoD examineront et évalueront soigneusement votre SSP.
6. Sélectionner une Organisation d’Évaluation Tiers CMMC (C3PAO)
Les C3PAO sont autorisées à réaliser des évaluations CMMC. Elles fournissent des conseils tout au long du processus de conformité CMMC et évaluent la conformité de votre organisation avec le cadre CMMC. Consultez le site web du CMMC AB pour une liste des C3PAO autorisées, recherchez celles ayant de l’expérience dans votre secteur, vérifiez leur statut d’accréditation, demandez des références et examinez leur structure tarifaire.
7. Établir un Calendrier
Le processus de certification CMMC peut prendre jusqu’à 12 mois, avec une maintenance continue et des évaluations périodiques tout au long, alors planifiez en conséquence. D’autres variables incluent le niveau de certification souhaité, la taille de votre organisation et votre posture actuelle en matière de cybersécurité. Gardez également à l’esprit que l’analyse des écarts du C3PAO peut prendre jusqu’à trois mois. Pour plus d’informations sur les calendriers et jalons CMMC, assurez-vous de consulter CMMC Roadmap: Your Ultimate Guide for CMMC 2.0 Compliance.
8. Allouer des Ressources Suffisantes
Le processus de certification CMMC est coûteux, alors budgétez en conséquence. Vous aurez des coûts pour les évaluations de cybersécurité, la remédiation et la maintenance continue. Autres considérations budgétaires : les coûts de certification varient selon le niveau CMMC que vous poursuivez et les coûts des C3PAO varient en fonction de leur expérience et de leur statut d’accréditation. Pour plus d’informations sur les coûts et le budget CMMC, assurez-vous de consulter The True Cost of CMMC Compliance: What Defense Contractors Need to Budget For.
En Savoir Plus sur le CMMC
Apprenez et comprenez la différence entre la certification CMMC et la conformité CMMC.
Pour en savoir plus sur la certification CMMC, assurez-vous de consulter notre Guide Essentiel des Exigences de Conformité CMMC 2.0.
Et pour en savoir plus sur Kiteworks pour la conformité CMMC, assurez-vous de consulter Achieve CMMC Compliance With Complete Protection of CUI and FCI.