Tout Ce Que Vous Devez Savoir Sur l'Organisme d'Accréditation CMMC (Le Cyber AB)
À l’ère numérique d’aujourd’hui, la cybersécurité est devenue une priorité majeure pour les organisations de tous les secteurs, en particulier celles qui travaillent avec des informations sensibles. Le Département de la Défense (DoD) a pris des mesures importantes pour renforcer ses mesures de cybersécurité en créant la Certification du Modèle de Maturité en Cybersécurité (CMMC).
L’organisme d’accréditation du CMMC (CMMC AB) joue un rôle essentiel en veillant à ce que les organisations respectent les normes de sécurité nécessaires pour protéger les informations non classifiées contrôlées (CUI) et les informations de contrat fédéral (FCI).
En avril 2022, le CMMC AB a annoncé qu’il allait subir un rebranding complet, et a déclaré qu’il adopterait un nouveau logo, un nouveau nom et un site Web accessible au public. Le 7 juin 2022, le CMMC AB a officiellement dévoilé son rebranding public en tant que “The Cyber AB” avec la même organisation et les mêmes responsabilités. Juridiquement, l’organisation conserve toujours le nom de Cybersecurity Maturity Model Certification Accreditation Body, Inc.
Cet article vise à vous aider à comprendre l’importance de The Cyber AB et son rôle dans l’autorisation des Organisations d’Évaluation Tierce Partie CMMC.
Qu’est-ce que The Cyber AB?
The Cyber AB est l’organisme d’accréditation officiel chargé de superviser et de mettre en œuvre le modèle CMMC. Cette organisation à but non lucratif a été créée en 2020 pour s’assurer que les organisations respectent les normes de cybersécurité requises pour traiter des informations sensibles, principalement pour les participants à la Base Industrielle de la Défense (DIB).
Alors qu’il existe d’autres organismes d’accréditation pour différentes industries et normes, The Cyber AB est spécifiquement responsable de la gestion des exigences du CMMC, qui sont propres au DoD et à ses entrepreneurs. Son principal objectif est de sauvegarder l’intégrité du processus CMMC et de maintenir un haut niveau d’expertise parmi ses professionnels certifiés.
Le cadre et la portée de The Cyber AB
Le rôle principal de The Cyber AB est d’autoriser et d’accréditer les Organisations d’Évaluation Tierce Partie CMMC (C3PAOs) qui effectuent des évaluations CMMC des organisations au sein de la DIB. Elle gère également les aspects de certification professionnelle et de formation de l’écosystème CMMC, en collaborant avec nos partenaires pour élaborer les programmes d’études et les protocoles d’examen pour les évaluateurs CMMC et les instructeurs CMMC.
The Cyber AB définit les exigences et les processus permettant d’obtenir la certification CMMC. Elle s’appuie sur des réglementations existantes telles que le NIST SP 800-171, le DFARS 252.204-7012, et d’autres, pour établir une norme complète en matière de cybersécurité. Le modèle CMMC 2.0 se compose de trois niveaux de maturité : le Niveau 1, le Niveau 2 et le Niveau 3.
Pour atteindre un niveau de maturité spécifique, les organisations doivent respecter les pratiques et les processus requis pour ce niveau. The Cyber AB est chargé de s’assurer que les organisations satisfont à ces exigences grâce à un processus d’évaluation et de certification rigoureux. Les organisations manipulant des CUI ou travaillant avec le DoD doivent obtenir le niveau de certification CMMC approprié pour être éligibles aux contrats.
The Cyber AB et les Organisations d’Évaluation Tierce Partie CMMC (C3PAOs)
The Cyber AB est l’instance référente pour les activités d’évaluation, d’accréditation et de certification CMMC. Elle est responsable de la mise en place et de la gestion de l’écosystème CMMC, qui comprend la formation, la certification et le contrôle qualité des Évaluateurs Certifiés (CAs) et des C3PAOs. The Cyber AB travaille en étroite collaboration avec le DoD pour garantir une mise en œuvre réussie du cadre CMMC et une posture renforcée en matière de cybersécurité pour la DIB. Elle est responsable de l’établissement des directives, des politiques et des procédures pour les évaluations, en veillant à ce que chaque organisation soit évaluée de manière précise en fonction de son niveau CMMC souhaité.
Les C3PAOs jouent un rôle crucial dans le processus d’évaluation. Ces organisations sont chargées de réaliser les évaluations CMMC réelles des organisations cherchant à obtenir la certification. Elles sont hautement formées et accréditées par The Cyber AB pour effectuer des évaluations CMMC et délivrer des certifications sur la base des preuves recueillies lors de l’évaluation. Les C3PAOs doivent rester impartiaux et indépendants de l’organisation qu’ils évaluent pour garantir une évaluation équitable et impartiale. Ils réalisent des évaluations en utilisant une combinaison de procédures normalisées, de directives et de cadres fournis par The Cyber AB.
L’évaluation réalisée par les C3PAOs est basée sur le niveau de maturité souhaité par l’organisation. Les niveaux de maturité CMMC 2.0 sont les suivants :
CMMC 2.0 Niveau 1: Fondamental
Le niveau fondamental nécessite une auto-évaluation annuelle avec attestation d’un dirigeant d’entreprise. Ce niveau englobe les exigences de base en matière de protection des FCI spécifiées dans la clause FAR 52.204-21.
CMMC 2.0 Niveau 2: Avancé
Le niveau avancé est aligné sur le National Institute of Standards and Technology SP 800-171 (NIST SP 800-171). Il nécessite des évaluations tierces triennales pour les entrepreneurs du DoD qui envoient, partagent, reçoivent et stockent des informations cruciales pour la sécurité nationale. Ces évaluations tierces sont réalisées par les C3PAOs. Certains entrepreneurs relevant du niveau 2 ne nécessitent que des auto-évaluations annuelles avec attestation de l’entreprise.
Ce niveau englobe les exigences de sécurité pour les CUI spécifiées dans le NIST SP 800-171 Rév. 2 conformément à la clause DFARS 252.204-7012 [3, 4, 5].
CMMC 2.0 Niveau 3: Expert
Le niveau expert est aligné sur et nécessitera des évaluations gouvernementales triennales. Les informations sur le niveau 3 seront publiées ultérieurement et comprendront un sous-ensemble des exigences de sécurité spécifiées dans le NIST SP 800-172 [6].
Chacun de ces niveaux comporte un ensemble de pratiques et de processus que les organisations doivent prouver qu’elles ont mis en place et qu’elles gèrent efficacement. Les C3PAOs évaluent et valident si l’organisation satisfait à ces exigences, ce qui conduit à l’octroi de la certification CMMC appropriée.
Un des objectifs principaux de The Cyber AB et des C3PAOs est de garantir la fiabilité et l’intégrité de l’écosystème CMMC.
Comment The Cyber AB Autorise-t-il les C3PAOs?
The Cyber AB joue un rôle essentiel dans la mise en œuvre et le succès du cadre CMMC. Le Cyber AB est responsable de plusieurs tâches critiques, notamment la création et la gestion des programmes de formation et de certification pour les évaluateurs CMMC, la tenue d’un registre des évaluateurs certifiés et la supervision de la mise en œuvre globale du cadre CMMC.
Une des responsabilités les plus cruciales de The Cyber AB est de veiller à ce que tous les évaluateurs respectent les normes les plus élevées en matière d’éthique et de professionnalisme. L’organisme d’accréditation réalise cela en élaborant un code d’éthique pour les évaluateurs et en établissant un système de contrôles et d’équilibres pour garantir l’impartialité et la cohérence des évaluations.
Une organisation qui souhaite devenir un C3PAO doit réussir à suivre un processus d’autorisation avant d’être certifiée en tant que C3PAO. Les futurs C3PAOs devront passer une évaluation CMMC menée par le Defense Industrial Base Cybersecurity Assessment Center (DIBCAC). Le C3PAO devra démontrer sa conformité à la norme CMMC à laquelle il effectuera des évaluations.
The Cyber AB est également responsable de garantir que le processus de certification est équitable, transparent et accessible à toutes les entreprises qui cherchent à être certifiées. Cela comprend le développement de programmes de formation pour les évaluateurs, la création d’un ensemble de procédures et de lignes directrices d’évaluation, et la mise en place d’un système d’appels et de résolution des litiges.
Dans l’ensemble, The Cyber AB joue un rôle essentiel dans la mise en œuvre réussie du cadre CMMC, et ses responsabilités sont cruciales pour garantir les normes les plus élevées de maturité en matière de cybersécurité dans le DIB. Avec son engagement envers la transparence, le professionnalisme et les pratiques éthiques, The Cyber AB est un partenaire essentiel dans l’effort continu pour protéger les informations sensibles du gouvernement et renforcer la sécurité nationale.
Rôles et Responsabilités du Personnel de The Cyber AB
The Cyber AB implique divers membres du personnel, notamment les membres du conseil d’administration, les évaluateurs et les C3PAOs. Les membres du conseil d’administration sont responsables de la supervision de la stratégie, de la gouvernance et des opérations de l’organisation. Ils développent également des politiques et des procédures pour le processus d’accréditation et veillent à la maintenance continue et à l’amélioration du modèle CMMC.
Les évaluateurs CMMC certifiés sont responsables de la réalisation d’audits et d’évaluations des organisations cherchant à obtenir la certification CMMC. Ils évaluent les pratiques et les processus de cybersécurité de l’organisation pour déterminer leur conformité aux exigences CMMC. The Cyber AB propose des programmes de formation et de certification rigoureux pour ses évaluateurs afin de garantir leur expertise et leur professionnalisme.
Importance de la Conformité CMMC pour les Entrepreneurs du Gouvernement
Le CMMC est une norme unifiée de cybersécurité pour les entrepreneurs du DoD, visant à protéger les informations non classifiées contrôlées (CUI) au sein de la chaîne d’approvisionnement. Le CMMC a été créé par le DoD et est un composant essentiel pour les organisations cherchant à sécuriser leur position au sein du DIB.
En mettant en œuvre le niveau approprié de conformité CMMC, les entrepreneurs du gouvernement peuvent démontrer leur engagement à protéger le contenu sensible et à maintenir la confiance du DoD et d’autres agences gouvernementales. Le Cyber AB joue un rôle vital dans la garantie que les entrepreneurs du gouvernement atteignent le niveau de conformité requis. En tant qu’organisme d’accréditation responsable du CMMC, The Cyber AB établit les exigences pour la certification des organisations et des évaluateurs individuels. The Cyber AB veille à ce que le processus de certification soit cohérent et rigoureux, favorisant un niveau élevé de sécurité dans le DIB. Les entrepreneurs cherchant la certification CMMC doivent subir des évaluations effectuées par des C3PAOs.
La conformité CMMC bénéficie non seulement à la sécurité nationale, mais offre également des avantages concurrentiels aux entrepreneurs du gouvernement. Être conforme au CMMC démontre l’engagement d’un entrepreneur envers la cybersécurité, ce qui est un facteur de sélection essentiel pour les agences gouvernementales.
Le Cyber AB et l’Intégration du Modèle de Maturité en Cybersécurité (CMMI)
Le modèle CMMI est un cadre d’amélioration des processus qui aide les organisations à améliorer leurs processus et à atteindre des niveaux de performance plus élevés. Il se concentre sur différents domaines, notamment la cybersécurité. Le Cyber AB tire parti du modèle CMMI pour établir un modèle de maturité pour les pratiques et les processus de cybersécurité, offrant un cadre solide aux organisations pour améliorer leur posture en matière de cybersécurité.
Le Cyber AB et le CMMI travaillent ensemble pour garantir que les organisations atteignent le niveau souhaité de maturité en cybersécurité, cherchant constamment à améliorer leur posture de sécurité au fil du temps.
Kiteworks Soutient la Conformité CMMC 2.0 Niveau 2
Parce que Kiteworks est Autorisé FedRAMP pour un Impact de Niveau Modéré, il prend en charge près de 90 % des exigences du CMMC 2.0 Niveau 2 dès le départ. Kiteworks facilite également et accélère la certification des fournisseurs du DoD pour la conformité CMMC. En utilisant une approche de confiance zéro définie par le contenu, Kiteworks protège les communications sensibles de contenu CUI et FCI et inclut une gestion de processus sécurisée pour prendre en charge le flux de travail et la revue des activités et une authentification des utilisateurs pour se prémunir contre les acteurs malveillants.
Kiteworks offre la possibilité d’automatiser bon nombre des systèmes et des processus liés à la satisfaction des exigences du CMMC grâce à la génération de rapports de journal d’audit. Cela permet aux C3PAOs de mener à bien leurs évaluations des fournisseurs du DoD en identifiant les lacunes éventuelles dans les contrôles de pratiques du CMMC.
Les entrepreneurs et sous-traitants du DoD qui souhaitent concourir pour les contrats du DoD doivent être conformes au CMMC. La mise en œuvre progressive a débuté en mai 2023, il est donc temps de commencer dès maintenant, et le Private Content Network de Kiteworks est le point de départ idéal.
Planifiez une démonstration personnalisée pour découvrir comment Kiteworks peut accélérer votre parcours de conformité au CMMC dès aujourd’hui.