À quoi s’attendre pendant l’audit CMMC 2.0 de niveau 2 ?
Conseils pour bien se préparer et obtenir la certification CMMC
Les principaux obstacles à la conformité NIST 800-171
Les organisations rencontrent des difficultés majeures à répondre aux exigences de la norme NIST 800-171, de par la complexité à mettre en œuvre et à maintenir les contrôles de sécurité requis dans l’ensemble des systèmes et des process.
Voici les difficultés couramment rencontrées par les prestataires du DIB pour se conformer au NIST 800-171 concernant leurs communications de contenu sensible.
Les contrôles d’accès
Se conformer aux exigences de contrôle d’accès du NIST 800-171 peut être un véritable casse-tête pour les entreprises.
La mise en œuvre de contrôles d’accès granulaires, la gestion des comptes utilisateurs et l’application des principes du moindre privilège dans les systèmes et applications demandent des efforts et des ressources considérables. Les organisations doivent veiller à ce que les droits d’accès soient appliqués de manière cohérente, revus régulièrement et mis à jour rapidement lorsque les rôles des utilisateurs changent ou qu’un collaborateur quitte l’entreprise. En outre, la surveillance et la traçabilité de l’accès aux données sensibles (comme les CUI) sont complexes et chronophages, notamment dans des environnements comportant une multitude de systèmes et d’utilisateurs.
Audit et responsabilité
Compliqué pour les organisations de répondre aux exigences en matière d’audit et de responsabilité. Autrement dit, d’assurer la traçabilité totale et le suivi des événements du système, et de protéger ces informations contre tout accès ou modification non autorisés. Déployer des outils de journalisation et d’audit dans plusieurs systèmes et applications est souvent complexe et coûteux en ressources. En effet, il s’agit de veiller à ce que les enregistrements d’audit contiennent suffisamment d’informations pour permettre une analyse et une investigation efficaces, tout en les protégeant contre la falsification ou la suppression. Quant à l’examen et à l’analyse régulière des journaux d’audit pour détecter les activités suspectes, ils nécessitent des ressources et une expertise spécifiques. En cas de manquement à ces exigences, les entreprises sont non seulement incapables de détecter les incidents de sécurité et d’y répondre, mais elles risquent aussi d’en subir les conséquences juridiques et réglementaires.
La gestion des paramètres
Les obligations en matière de gestion des paramètres de configuration soulèvent plusieurs difficultés. Elles impliquent d’établir et de conserver des configurations basiques sécurisées, de contrôler les modifications effectuées et de restreindre l’utilisation de fonctions, de ports et de services inutiles.
Comment s’assurer que les systèmes soient configurés de manière sûre et cohérente dans toute l’entreprise ? En particulier dans les environnements informatiques complexes ? Recenser et consigner les déviations par rapport aux paramètres originaux requiert des processus d’analyse approfondis. En outre, il s’agit de réviser et mettre à jour les inventaires de systèmes, suivre l’emplacement des CUI et appliquer des contrôles appropriés aux systèmes utilisés dans les zones à haut risque. Tout manquement à ces exigences peut entraîner des vulnérabilités, des incohérences et donc multiplier les risques.
Identification et Authentification
Le texte impose l’identification et l’authentification de tous les utilisateurs et appareils, avec un système d’authentification multifactorielle. Les organisations doivent donc veiller à ce que tous les utilisateurs et appareils soient correctement authentifiés avant d’accorder l’accès aux systèmes et données sensibles. Ce mécanisme peut s’avérer complexe et coûteux en ressources, en particulier dans les environnements à grande échelle. L’application de l’authentification multifactorielle dans plusieurs systèmes et applications nécessite des efforts importants et peut avoir des conséquences sur l’expérience utilisateur. Elle implique des processus sécurisés pour gérer les identifiants : attribution, révocation et protection contre la divulgation ou la modification non autorisée. Le non-respect de ces exigences peut entraîner des accès non autorisés, des violations de données et la non-conformité réglementaire.
La protection des systèmes et des communications
Le texte prévoit la surveillance et le contrôle des communications dans les limites du système, la séparation de la fonctionnalité utilisateur de la gestion du système, la protection de la confidentialité des CUI pendant le transfert et le stockage, et la gestion sécurisée des clés de chiffrement. Il revient donc aux organisations de s’assurer que leurs systèmes sont correctement cloisonnés et que les communications entre les réseaux internes et externes sont rigoureusement contrôlées. Appliquer des mécanismes de chiffrement solides permet de protéger les CUI en transit et au repos, mais la tâche est complexe, en particulier dans le cas de systèmes et de plateformes multiples. De plus, il faut gérer les clés de chiffrement avec des processus sécurisés (génération, distribution, stockage, etc.). Le non-respect de ces exigences peut entraîner des accès non autorisés, des violations de données et des problèmes de non-conformité.
Kiteworks supporte la conformité avec la norme NIST 800-171
Gestion efficace des comptes
Kiteworks propose toute une série de fonctionnalités pour être conforme aux exigences concernant les contrôles d’accès. La plateforme facilite la gestion des comptes utilisateurs, en permettant aux administrateurs de créer, de modifier et de désactiver les comptes utilisateurs, ainsi que de surveiller l’utilisation des comptes. En appliquant des contrôles d’accès basés sur les rôles et les principes du moindre privilège, Kiteworks garantit que les utilisateurs n’ont accès qu’aux données et aux fonctions qui leur sont strictement nécessaires. La plateforme gère également la séparation des tâches, l’authentification multifactorielle et l’accès à distance en toute sécurité. Enfin, la solution Kiteworks permet aux organisations de protéger les informations confidentielles sur les appareils mobiles et de contrôler l’accès aux systèmes externes.
Intégration SIEM et traçabilité Immuable
La plateforme enregistre tous les accès et partages de contenu, suit les activités des utilisateurs et génère des historiques détaillés avec horodatage, identité des utilisateurs et nature des événements. Kiteworks s’intègre aux systèmes SIEM pour corréler les événements en temps réel et détecter les menaces. La plateforme dispose également de fonctionnalités de reporting pour les enquêtes de sécurité. Les journaux d’audit sont protégés contre les accès, modifications et suppressions non autorisés pour garantir l’intégrité des informations recueillies. Kiteworks alerte les administrateurs en cas de défaillance de logs et fournit un tableau de bord RSSI pour avoir une vue d’ensemble des activités et des anomalies du système. Ces fonctionnalités permettent aux organisations de surveiller, d’analyser et de sécuriser efficacement leurs systèmes, conformément à leurs obligations en matière d’audit et de responsabilité.
Appliance virtuelle durcie et paramètres de moindre privilège
Les apports de conformité de Kiteworks sont accessibles en un seul clic. Ils permettent de suivre la configuration de base et d’enregistrer toutes les modifications apportées ensuite à la configuration du système. Les administrateurs peuvent configurer les paramètres de sécurité pour la plateforme, les utilisateurs et les appareils mobiles. Le système applique par défaut les paramètres de moindre privilège et signale les configurations potentiellement risquées. Kiteworks donne aux administrateurs les moyens techniques pour examiner, approuver et contrôler les changements apportés au système, et émet des alertes de non-conformité en cas de changement compromettant la sécurité. L’appliance virtuelle durcie n’expose que les ports et les services essentiels, empêche l’installation non autorisée de logiciels et protège les données CUI traitées dans le système. Ces caractéristiques assurent la sécurité et la conformité des configurations des systèmes, réduisant ainsi le risque de vulnérabilités et d’atteintes à la protection des données.
Accès limité aux données sensibles grâce à l’identification et à l’autorisation
La plateforme Kiteworks attribue des identifiants uniques et suit toutes les activités des utilisateurs. De telle sorte que les utilisateurs sont correctement identifiés et authentifiés avant d’accéder à des données sensibles. Soit par authentification multifactorielle, soit par mot de passe à usage unique, authentification par SMS ou encore par intégration à des solutions d’authentification tierces. La plateforme propose également des mécanismes d’authentification inviolables et assure une gestion sécurisée des authentifiants, les protégeant ainsi de toute divulgation ou modification non autorisée. Enfin, Kiteworks applique des politiques de mot de passe strictes, chiffre les mots de passe en transit et au repos, et masque le retour d’information sur l’authentification. Ces caractéristiques sont utiles aux organisations pour mettre en place un processus d’identification et d’authentification solide, et réduire ainsi le risque d’accès non autorisé et de violation des données.
Protéger les systèmes et les communications
Kiteworks surveille et contrôle les communications aux limites du système, garantissant la sécurité des CUI partagés entre les organisations. Kiteworks sépare les fonctions utilisateur de la gestion du système, empêchant ainsi tout accès non autorisé aux données et fonctions sensibles. La plateforme chiffre les CUI en transit à l’aide de TLS 1.3 et au repos à l’aide d’AES-256, et administre les clés de chiffrement en toute sécurité. De plus, la solution permet de cloisonner les réseaux, d’établir des listes blanches et noires d’adresses IP et d’utiliser des serveurs proxys pour renforcer la sécurité et le contrôle. Elle protège également l’authenticité des sessions, limite les connexions réseau externes et fournit une gestion sécurisée des codes mobiles. Toutes ces fonctionnalités garantissent aux entreprises un niveau de sécurité élevé, qui protège leurs systèmes et leurs communications des accès non autorisés, fuites de données et autres menaces.
