CMMC CUI et Ce Que Cela Signifie
L’information non classifiée contrôlée (CUI) selon le CMMC est l’information que le gouvernement détermine nécessitant des contrôles de protection ou de diffusion. Elle ne bénéficie pas de la protection légale de l’information classifiée, mais est soumise à des réglementations et des exigences en matière de protection, de contrôle et d’utilisation. Elle inclut des informations non spécifiées comme liées au renseignement, à l’application de la loi ou à la sécurité nationale et est généralement étiquetée sous forme de balises, de marquages ou de légendes. La CUI est l’un des deux types d’informations principaux que le CMMC vise à protéger. L’autre est l’information de contrat fédéral (FCI).
Qu’est-ce que le CMMC ?
CMMC signifie le Modèle de Certification de Maturité en Cybersécurité. Initialement un programme de certification en cinq niveaux lancé par le Département de la Défense (DoD) pour garantir la sécurité de la chaîne d’approvisionnement et des données du DoD, le cadre a été remodelé en 2021 pour consolider les niveaux en trois et désigné CMMC 2.0. La certification mesure et valide la mise en œuvre des pratiques de sécurité allant de l’hygiène de base en cybersécurité à la gestion avancée des menaces. Elle inclut également des mesures telles que l’évaluation de la performance et des capacités organisationnelles.
La CUI doit être protégée par la loi ou la politique nationale. Elle inclut les données gouvernementales et commerciales sensibles mais non classifiées. La CUI inclut des informations sujettes à une divulgation ou une diffusion restreinte, soit parce qu’elles sont sensibles, soit parce qu’elles sont réglementées d’une autre manière. La CUI inclut toutes les informations qui doivent être protégées contre une divulgation non autorisée. Un objectif principal du CMMC est de protéger le DoD contre les cyberattaques sur sa vaste chaîne d’approvisionnement.
CMMC 2.0 Compliance Roadmap for DoD Contractors
Types de Informations Non Classifiées Contrôlées (CUI)
Il existe divers types de CUI, et elle peut être classée en deux catégories:
- CUI de Base : La CUI de Base est un type de CUI qui nécessite des mesures de protection de base pour protéger l’information contre une divulgation non autorisée. Des exemples de CUI de Base peuvent inclure des informations sur des contrats gouvernementaux, des informations sensibles mais non classifiées, ou des informations qui nécessitent une protection en vertu des lois fédérales, des réglementations ou des décrets présidentiels.
- CUI Spécifiée : La CUI Spécifiée est un type de CUI qui nécessite des mesures de protection supplémentaires pour protéger l’information contre une divulgation non autorisée. La CUI Spécifiée peut inclure des informations liées à la sécurité nationale, à l’application de la loi, ou à toute autre information qui nécessite une protection en vertu de lois ou réglementations spécifiques.
Voici quelques exemples spécifiques de CUI:
- Informations Personnellement Identifiables (PII): Des informations telles que les noms, adresses, numéros de sécurité sociale et données financières qui pourraient être utilisées pour identifier un individu.
- Informations de Santé Protégées (PHI): Les informations de santé réglementées par la Loi sur la Portabilité et la Responsabilité en matière d’Assurance Santé (HIPAA).
- Données liées à l’Exportation, au Commerce International ou aux Contrôles à l’Exportation: Des données liées à l’exportation, à l’importation et au commerce international.
- Propriété Intellectuelle: Brevets, droits d’auteur et marques déposées.
- Informations Sensibles des Entrepreneurs: Des informations liées à des contrats, des sous-contrats et des offres.
- Informations Propriétaires des Entreprises (IPE), également appelées Informations Commerciales Confidentielles (CBI).
- Informations Techniques Non Classifiées Contrôlées (ITNCC): Des informations contenant des informations militaires sensibles qui ne sont pas classifiées mais nécessitent une protection. Des exemples comprennent des plans opérationnels, des technologies en développement, des équipements essentiels à la mission, des méthodes de surveillance et d’autres informations sensibles.
- Informations Sensibles Mais Non Classifiées (SBU): Des informations non classifiées qui sont toujours considérées comme sensibles et qui nécessitent une manipulation spéciale. Cela peut inclure des informations personnelles protégées, des informations commerciales et des informations gouvernementales qui nécessitent une sécurité et une protection contre une visualisation et un accès non autorisés.
Exigences de Gestion pour les Informations Non Classifiées Contrôlées (CUI)
La gestion des CUI nécessite des mesures spécifiques pour garantir sa protection, notamment :
- Contrôle d’Accès: L’accès aux CUI doit être restreint aux individus disposant de l’autorisation appropriée et sur la base du besoin de savoir.
- Stockage : Les CUI doivent être stockées dans un endroit sécurisé et protégées par des mesures de sécurité physique ou électronique.
- Diffusion : Les CUI ne doivent être diffusées qu’à des individus disposant de l’autorisation appropriée et sur la base du besoin de savoir.
- Destruction : Les CUI doivent être détruites lorsqu’elles ne sont plus nécessaires ou lorsqu’elles sont requises par la loi ou la réglementation.
Pourquoi est-il Important de Protéger les Informations Non Classifiées Contrôlées (CUI)
La protection des CUI est importante pour plusieurs raisons, notamment:
- Sécurité Nationale : La divulgation non autorisée de CUI peut causer des préjudices importants à la sécurité nationale.
- Confidentialité : La divulgation non autorisée de PII peut porter atteinte à la confidentialité des individus et peut entraîner des vols d’identité.
- Intérêts Économiques : La divulgation non autorisée d’informations commerciales propriétaires peut causer des préjudices importants aux intérêts économiques d’une entreprise.
Protection des CUI CMMC: Niveaux 1, 2 et 3 de CMMC 2.0
Le Modèle de Maturité en Cyber-sécurité (CMMC) est un ensemble de normes et de meilleures pratiques visant à protéger les CUI. Il est utilisé par le Département de la Défense des États-Unis (DoD) et d’autres agences gouvernementales pour s’assurer que les entrepreneurs prennent au sérieux la protection des CUI. CMMC 2.0 se compose de trois niveaux d’évaluation pour les organisations cherchant à obtenir la certification pour protéger les CUI :
- Niveau 1: Fondamental. Ce niveau de protection exige la mise en place de mesures de cybersécurité de base, telles que la gestion de l’identité, le contrôle d’accès et la protection des données.
- Niveau 2: Avancé. Ce niveau de protection comprend des mesures de sécurité plus avancées, telles que l’authentification des systèmes et le chiffrement.
- Niveau 3: Expert. Ce niveau de protection comprend les mesures de sécurité les plus avancées, telles que la surveillance continue et les plans d’intervention en cas d’incident de sécurité.
Comment savoir si j’ai des CUI dans mon environnement?
Les CUI peuvent être trouvées dans de nombreux endroits différents, notamment dans les bases de données, les réseaux, les sites Web et les documents. Pour identifier les CUI dans un environnement, il est important de comprendre où les données sont stockées et qui y a accès. Les sources courantes de CUI comprennent les listes de clients, les dossiers financiers et les plans d’entreprise. De plus, les CUI peuvent être trouvées dans les e-mails, les messages texte et autres communications.
Quel type de CUI ai-je?
Une fois que vous avez identifié les CUI dans votre environnement, il est important de déterminer de quel type de CUI il s’agit. Les CUI sont divisées en plusieurs catégories, notamment les PII, les PHI, les données soumises à un contrôle à l’exportation, la propriété intellectuelle, les informations sensibles des entrepreneurs et les informations sensibles de sécurité nationale qui ne sont pas classifiées. Chaque catégorie de CUI nécessite son propre ensemble de protections.
Comment protéger les CUI et respecter les exigences en matière de conformité?
Les CUI peuvent contenir des informations confidentielles, sensibles et/ou exclusives – des données qui doivent être protégées à tout prix. Comme indiqué ci-dessus, il est essentiel de protéger les CUI et de respecter les exigences en matière de conformité, car le non-respect de ces exigences peut entraîner des pertes financières et, pire encore, la perte de confiance des clients, des fournisseurs et des employés.
La première étape pour protéger les CUI et répondre aux exigences en matière de conformité consiste à déterminer les lois et réglementations applicables aux données de votre organisation. Il est important de bien comprendre ces normes, y compris les risques et les vulnérabilités associés à votre secteur d’activité spécifique. Une fois que vous avez identifié les normes applicables, les organisations doivent mettre en place des mesures appropriées pour protéger les CUI. Ce processus devrait inclure toute une série de mesures de sécurité techniques, physiques et administratives, telles que le chiffrement, la protection contre les logiciels malveillants, la sauvegarde sécurisée et la protection par mot de passe. De plus, des politiques d’accès doivent être en place pour contrôler qui peut accéder et modifier les CUI, ainsi que pour instituer des processus de suivi, d’enregistrement et de déclaration des CUI.
Les organisations doivent également disposer d’un système de gestion des incidents et des vulnérabilités pour garantir que tout problème de sécurité ou exposition aux CUI soit traité rapidement. Les plans d’intervention en cas d’incident doivent comprendre des processus pour répondre aux incidents, recueillir et analyser des preuves, et atténuer les dommages éventuels. Des examens de sécurité réguliers et des tests doivent également être effectués pour valider l’efficacité des mesures de sécurité actuelles et identifier les domaines d’amélioration.
En prenant les mesures nécessaires pour protéger les CUI et respecter les exigences en matière de conformité, les organisations peuvent garantir que leurs données sont sécurisées et que leurs opérations restent conformes aux lois applicables. Ceci est essentiel pour la réputation d’une organisation et la sécurité de ses informations.
Les étapes supplémentaires pour garantir que les CUI sont correctement protégées par les organisations comprennent :
- Mise en place de mesures de cybersécurité robustes, telles que la gestion des identités et des accès, le chiffrement des données et l’authentification multi-facteurs.
- Établissement de protocoles de gestion des CUI, tels que la limitation de l’accès au personnel autorisé et la surveillance des journaux d’accès.
- Veiller à ce que tout le personnel ayant accès aux CUI soit correctement formé aux procédures de protection des CUI.
Pourquoi le réseau de contenu privé Kiteworks est essentiel pour protéger les données sensibles comme les CUI
Chaque jour, les organisations sont confrontées à des défis de plus en plus importants pour protéger les données sensibles telles que les CUI contre des tiers malveillants, les cyberattaques et les violations de données. Pour garantir la sécurité de ces données sensibles, Kiteworks propose un Réseau de Contenu Privé (PCN) qui unifie, suit, contrôle et sécurise les communications de contenu sensible avec une gouvernance complète de sécurité et de conformité. Les organisations peuvent contrôler qui visualise le contenu, qui peut le modifier, qui peut l’envoyer et le partager, à qui et où il peut être envoyé et partagé, depuis quels appareils il peut être visualisé, modifié, envoyé et partagé, et où il peut être envoyé et partagé.
Kiteworks utilise une appliance virtuelle durcie pour protéger les communications de contenu sensible contre les cybercriminels malveillants et les États-nations hostiles. Son utilisation de couches de sécurité qui intègrent un chiffrement double AES-256 au niveau du fichier et du volume de disque rend extrêmement difficile l’accès de toute attaque cybernétique au contenu. En raison du niveau de sécurité qu’emploie Kiteworks, la vulnérabilité et la gravité de l’impact des vulnérabilités sont considérablement réduites.
Kiteworks unifie les communications de données de fichiers et d’e-mails dans une seule plateforme qui offre un suivi consolidé et des contrôles pour gérer l’envoi, le partage, la réception, la collaboration et le stockage du contenu. Avec les e-mails, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, les formulaires web et les interfaces de programmation d’applications (API) consolidés en une seule plateforme, les organisations obtiennent des améliorations spectaculaires en matière de conformité opérationnelle, d’efficacité et de sécurité.
Le chiffrement des données est un élément clé du réseau de contenu privé Kiteworks. Il protège les données sensibles en les encodant de manière à ce que seules les personnes autorisées puissent y accéder. De plus, ni Kiteworks ni les fournisseurs de services cloud n’ont accès à la gestion de vos clés de chiffrement. Les clients de Kiteworks conservent la pleine propriété et l’accès à leurs clés de chiffrement. Les agences gouvernementales, les avocats et les tribunaux ne peuvent pas accéder à votre contenu sensible dans Kiteworks par des mesures légales.
Apprenez comment Kiteworks offre un réseau de contenu privé en regardant notre vidéo explicative. Ou demandez simplement une démonstration personnalisée pour découvrir comment vous pouvez protéger les CUI au niveau 2 du CMMC avec Kiteworks, qui prend en charge près de 90 % des exigences du CMMC 2.0 au niveau 2 dès le départ.