Qu'est-ce que le CMMC ? Certification du modèle de maturité de la cybersécurité

Qu'est-ce que le CMMC ?

CMMC, ou Cybersecurity Maturity Model Certification, est un cadre de cybersécurité que le Département de la Défense des États-Unis (DoD) créé pour protéger les données stockées par la Base industrielle de défense (DIB).

D'une manière générale, le DIB est composé d'entrepreneurs et de sous-traitants qui travaillent avec le ministère de la Défense et qui traitent donc des informations sensibles.

CMMC 1.0

En 2019, le DoD a annoncé la création d'un modèle d'évaluation et de certification de la cybersécurité. L'objectif initial du CMMC était de garantir que les fournisseurs et sous-traitants du DoD sécurisent et entretiennent correctement leurs réseaux. informations contrôlées non classifiées (ICN) et les informations sur les contrats fédéraux (FCI).

CMMC 2.0

En novembre 2021, un peu plus de deux ans après l'annonce de la première phase du CMMC par le DoD, l'agence américaine a dévoilé ses plans pour un programme CMMC 2.0 renforcé et amélioré. La phase 2 maintient l'objectif initial de protection des informations sensibles de l'utilisateur final tout en minimisant les obstacles existants à la conformité.

Certification du modèle de maturité de la cybersécurité Phase 2.0 :

• Simplifie les exigences pour les petites entreprises
• Simplifie et clarifie les normes relatives aux exigences réglementaires, politiques et contractuelles
• Nécessite des normes de cybersécurité plus strictes et des évaluations par des tiers pour les projets plus prioritaires
• Renforce la surveillance des normes éthiques par le DoD
• les obstacles à la conformité et maximise la facilité d'exécution
• Encourage une culture collaborative de cybersécurité

Les améliorations 2.0 visent à renforcer la cybersécurité des entreprises DIB en facilitant une plus grande collaboration avec le DoB et en permettant aux entrepreneurs d'effectuer des auto-évaluations et de rendre compte de leur conformité.

Des responsables du Pentagone indiquent que le Bureau de la gestion et du budget (OMB) devrait approuver la réglementation CMMC en tant que « proposition de règle » en 2023, et qu'une période de commentaires d'un an maximum sera prévue avant l'entrée en vigueur de la réglementation définitive. Cela donnerait aux entreprises davantage de temps pour comprendre et se préparer à cette réglementation complexe. Cependant, cela signifie également que les exigences CMMC ne devraient pas figurer dans les contrats avant 2024. Selon le programme unifié de l'automne 2022, les réglementations CMMC sont actuellement au stade de « règle proposée », et un avis de proposition de réglementation devrait être publié en mai 2023, bien que ces projections soient susceptibles d'être modifiées.

Quel est le but du CMMC ?

Les cybermenaces contre l'industrie de la défense sont en hausse, et ces menaces sont non seulement plus fréquentes, mais aussi plus complexes. Pour protéger les entreprises du DIB contre ces attaques croissantes, le DoD a besoin de normes et de protections informatiques solides et complètes.

Le CMMC évalue les programmes de sécurité des fournisseurs et s'assure que ces fournisseurs disposent de systèmes suffisants pour protéger tout CUI résidant sur leurs réseaux.

Il est conçu pour réduire les vulnérabilités de la chaîne d’approvisionnement, protéger les informations du DoD contre les violations et améliorer les pratiques globales de cybersécurité.

Qu'est-ce que le cadre CMMC ?

Le CMMC original — ou version 1.0 — organisait les processus de sécurité en cinq niveaux de maturité qui comprenaient :

Niveau 1 : Basique
Sauvegardes FCI en ligne — 17 pratiques
Niveau 2 : Intermédiaire
Un niveau de transition — 72 pratiques
Niveau 3 : Bon
Garanties CUI en plus du FCI — 130 pratiques
Niveau 4 : Proactif
Protège les CUI et réduit le risque de menaces persistantes avancées (APT) — 156 pratiques
Niveau 5 : Avancé
Programme cyber progressif — 171 pratiques

Chaque niveau de maturité s’appuyait sur le précédent, obligeant l’entreprise à maîtriser toutes les pratiques d’un niveau avant de passer au suivant.

La version simplifiée de la CMMC 2.0 réduit le nombre de niveaux de maturité de cinq à trois, supprime 20 exigences de sécurité, s'aligne plus étroitement sur les contrôles de sécurité de la norme NIST SP 800-171 et permet à certaines organisations d'auto-évaluer leurs programmes plutôt que de les soumettre à des évaluations externes. Les nouveaux niveaux simplifiés de la version 2.0 sont les suivants :

Niveau 1 : Fondamental
Nécessite des auto-évaluations annuelles — 17 pratiques
Niveau 2 : Avancé
Nécessite soit des auto-évaluations annuelles pour certaines organisations, soit des évaluations par des tiers pour les informations critiques relatives à la sécurité nationale ; conforme aux politiques NIST SP 800-171 — 110 pratiques
Niveau 3 : Expert
Nécessite des évaluations menées par le gouvernement ; conforme aux politiques NIST SP 800-172 — plus de 110 pratiques

Exigences CMMC

Les organisations doivent satisfaire à un certain nombre d’exigences pour obtenir la certification CMMC, notamment :

• identifier et documenter tous les systèmes et actifs, y compris les données, qui sont pertinents pour la protection des informations contrôlées non classifiées (CUI)
• établir et maintenir un plan de sécurité du système (SSP) qui décrit comment il répond aux exigences de sécurité décrites dans le cadre CMMC
• pratiques et procédures de mise en œuvre et de documentation pour la gestion de l'accès aux CUI, y compris l'authentification, l'autorisation et l'audit
• élaborer et maintenir un plan de réponse aux incidents qui décrit les procédures de réponse et de signalement des incidents de sécurité
• des procédures de surveillance, d'évaluation et de test réguliers de ses contrôles de sécurité pour garantir leur efficacité
• démontrer la conformité au niveau approprié de certification CMMC par le biais d'une évaluation formelle par un organisme d'évaluation tiers CMMC (C3PAO)

Qui doit se conformer à la CMMC ?

Le ministère de la Défense travaille avec plus de 30 000 entrepreneurs et sous-traitants. Il peut s'agir d'entreprises des secteurs de la technologie, de la finance, de la fabrication, de la conception et du développement, de la recherche, des fournisseurs de services cloud, etc. Avec la version 1.0, tous devaient être certifiés.

La phase 2.0, cependant, décompose les exigences de certification par niveau. Les entreprises de niveau 1 qui protègent des FCI non critiques pour la sécurité nationale n'auront pas à se soumettre à évaluations gouvernementales ou de tiers et peut compter sur l’autocertification.

Les entrepreneurs de la défense de niveau 2 qui manipulent des CUI sensibles à des fins de sécurité nationale auront besoin d'une certification, tandis que les entreprises qui gèrent des projets non prioritaires n'en auront peut-être pas besoin.

Comment obtenir la certification CMMC ?

Bien que certains détails de la certification soient encore en cours d’élaboration, l’organisme d’accréditation — ou CMMC-AB — est chargé de fournir l’accréditation aux organisations tierces qui certifient les entrepreneurs du DoD.

Ces évaluateurs, connus sous le nom d'organisations d'évaluation tierces CMMC — ou C3PAO — seront autorisés à effectuer des évaluations des réseaux de sécurité des entrepreneurs et à fournir les certifications appropriées pour chaque organisation.

Types d'évaluation CMMC

Auto-évaluations : Il s'agit d'une option permettant à l'entreprise de réaliser l'évaluation. Ce type d'évaluation est généralement utilisé pour les niveaux inférieurs de certification CMMC et peut aider l'entreprise à identifier les faiblesses en matière de cybersécurité. Cependant, il est important de noter que les auto-évaluations ne sont pas toujours acceptées pour tous les niveaux de certification et peuvent nécessiter une vérification par un tiers pour garantir l'exactitude et la validité des résultats.

Évaluations par des tiers : Ce type d'évaluation est réalisé par un organisme externe agréé par l'organisme d'accréditation CMMC. Son objectif est d'évaluer le respect par l'entreprise des pratiques et exigences spécifiques décrites dans le CMMC et de fournir une évaluation indépendante de sa cybersécurité. L'évaluation par un tiers est essentielle à l'obtention de la certification CMMC et est nécessaire pour garantir que les entreprises ont mis en place des contrôles de cybersécurité efficaces.

Évaluations gouvernementales : Cette évaluation, menée par le gouvernement américain, évalue le respect par l'entreprise des pratiques et exigences spécifiques décrites dans la CMMC, ainsi que de toute exigence de sécurité supplémentaire spécifiée par l'organisme gouvernemental. Les évaluations gouvernementales sont souvent réalisées en complément d'évaluations tierces afin de vérifier les résultats ou d'évaluer des mesures de sécurité supplémentaires. L'objectif principal d'une évaluation gouvernementale est de s'assurer que l'entreprise a mis en place des contrôles et des mesures de cybersécurité efficaces pour protéger les informations sensibles.

Que signifie la conformité CMMC ?

Les entreprises qui passent des contrats avec le Département de la Défense des États-Unis doivent sécuriser les données hautement sensibles auxquelles elles ont accès. Pour conclure un contrat avec le DoD, vous devez maîtriser les politiques, pratiques et normes de la réglementation. De plus, si vous traitez certains types de données, vous aurez également besoin d'une certification par un tiers ou par le gouvernement.

Adhérer à la publication spéciale 800-171 du National Institute of Standards and Technology — ou cadre NIST SP 800-171 — représente la moitié de la bataille, puisque les nouvelles améliorations adhèrent étroitement à l'ensemble des directives de sécurité du NIST.

Les entreprises souhaitant travailler avec le DoD ou soumissionner pour des contrats gouvernementaux doivent s’assurer qu’elles disposent de pratiques de sécurité efficaces. Solutions de sécurité avancées basées sur le ML de BigID Aidez les organisations à protéger toutes leurs données sensibles, à grande échelle. Voici comment :

• Vous ne pouvez pas protéger ce que vous ne savez pas que vous possédez : Découvrez toutes vos données sensibles, réglementées et à haut risque, partout — y compris CUI et FCI
• Classer et cataloguer davantage de types de données, à grande échelle, à l'aide des techniques NPL et ML
• Identifier les utilisateurs à haut risque de données sensibles et limiter l'accès aux fichiers aux utilisateurs autorisés
• Corriger, conserver ou supprimer les données sensibles
• Réduisez de manière proactive les risques sur vos données les plus sensibles grâce à la notation des risques
• Déterminez avec précision les utilisateurs impactés suite à une violation de données et simplifiez la réponse aux incidents
• Alignez vos pratiques de protection des données avec Normes de conformité du NIST

Mettre en place un Démo BigID pour voir comment nous pouvons vous aider sécuriser les informations de sécurité nationale hautement sensibles.

Auteur

BigID

Découvrez le collectif d'auteurs de BigID, une équipe diversifiée composée de spécialistes du marketing produit, d'experts en la matière et de rédacteurs spécialisés dans la confidentialité, la sécurité et la gouvernance des données. Notre approche collaborative s'appuie sur une grande expertise du secteur pour créer un contenu pertinent et informatif, vous permettant ainsi de rester informé dans ce paysage en constante évolution.