Pourquoi la conformité au modèle de maturité de la cybersécurité (CMMC) est-elle importante ?
La certification du modèle de maturité de la cybersécurité a été conçue pour protéger les données contrôlées et sensibles transmises à une organisation dans le cadre d'un contrat de défense. Cela inclut à la fois les informations sur les contrats fédéraux (FCI) et les informations contrôlées non classifiées (CUI).
Qui a besoin de cette certification ?
Toute organisation qui envisage de travailler en tant que maître d’œuvre ou sous-traitant dans le cadre d’un contrat de défense devra obtenir la conformité du modèle de maturité en matière de cybersécurité une fois que la réglementation entrera pleinement en vigueur. Le niveau de conformité CMMC requis dépendra du contrat lui-même, du rôle de l’organisation dans le contrat et de l’accès de l’entreprise à la FCI et à la CUI dans le cadre du contrat.
Les détails de CMMC 2.0 sont toujours en cours d'élaboration, et la norme ne devrait pas être déployée avant mai 2023. À ce moment-là, les contrats de défense commenceront une période de mise en œuvre progressive de 5 ans jusqu’à ce que tous les nouveaux contrats nécessitent la conformité CMMC.
Niveaux de CMMC
À l’origine, la certification du modèle de maturité en matière de cybersécurité comprenait cinq niveaux de conformité répartis en pratiques et en processus. Cependant, une révision de la norme CMMC 2.0 a supprimé les processus et réduit les niveaux aux trois niveaux suivants :
- Fondatoire (niveau 1)
- Avancé (niveau 2)
- Expert (niveau 3)
Ces modifications ont supprimé les phases « transitoires » 2 et 4, conservant trois niveaux progressifs. Ces modifications visaient à réduire la complexité et les coûts associés à la conformité pour les petites et moyennes entreprises (PME).
À la suite de ces modifications, le CMMC reflète étroitement la conformité aux normes du NIST. La conformité de niveau 2 est équivalente à la conformité totale avec la norme NIST SP 800-171, tandis que le niveau 3 s’inspire également de la norme NIST SP 800-172.
Exigences de conformité CMMC
Le niveau de conformité CMMC requis qu’une organisation devra atteindre dépend des détails du contrat en question. Cependant, chaque sous-traitant de la défense sera accepté d’obtenir au moins la conformité de niveau 1 du modèle de maturité en matière de cybersécurité, qui traite de la protection de la FCI. Des niveaux de conformité plus élevés seront nécessaires pour les organisations ayant accès à l’IUC.
Les exigences en matière de conformité dépendent du niveau requis et comprennent :
- Niveau 1 : Le niveau de conformité 1 nécessitera une auto-évaluation annuelle par rapport à 17 contrôles de sécurité. Ces contrôles sont décrits dans la FAR 52.204-21 Protection de base des informations couvertes sur les sous-traitants.
- Niveau 2 : La conformité de niveau 2 est requise pour les organisations ayant accès à CUI et équivaut à une conformité totale avec la norme NIST SP 800-171. Le niveau 2 de conformité exige des évaluations une fois tous les trois ans par un auditeur indépendant pour certains programmes et des autoévaluations annuelles pour d’autres, selon la sensibilité de l’information concernée.
- Niveau 3 : La conformité de niveau 3 exige une conformité NIST SP 800-171 complète et une conformité à certains des contrôles de la norme NIST SP 800-172. Les vérifications de conformité pour le niveau 3 de la CMMC seront dirigées par des vérificateurs gouvernementaux.
Étant donné que CMMC 2.0 est encore en cours de développement, les exigences exactes en matière de conformité à chaque niveau sont encore en cours d’élaboration. Cependant, l’ensemble des contrôles et processus de sécurité requis pour les niveaux 1 et 2 de conformité a déjà été défini, ce qui permet aux organisations de prendre une longueur d’avance sur l’obtention de la conformité avant d’être tenues de participer à des contrats de défense.
Comment obtenir une certification CMMC
Le processus d’obtention d’une certification CMMC dépend du niveau de conformité requis. Pour les niveaux nécessitant uniquement une auto-évaluation, un guide d'évaluation a été publié par le CMMC. Après avoir terminé l’auto-évaluation, un cadre supérieur de l’entreprise sera tenu d’affirmer chaque année la conformité de l’entreprise.
Pour que la conformité CMMC exige des audits par des tiers, une organisation devra planifier ces audits avec un organisme d’évaluation tiers accrédité (C3PAO) et éventuellement un évaluateur gouvernemental. La liste des C3PAO accrédités est disponible sur le CMMC Marketplace, et les procédures relatives à la réalisation et à la réalisation d'audits seront disponibles à l'approche de la date d'entrée en vigueur de la CMMC 2.0.
Atteindre CMMC Conformité avec Point de contrôle
L’obtention et le maintien de la certification du modèle de maturité en matière de cybersécurité La conformité exige la conformité aux normes NIST SP 800-171 et potentiellement NIST SP 800-172 sur tous les systèmes ayant accès à FCI et CUI. Pour ce faire, il faut mettre en œuvre les contrôles de sécurité requis et faire preuve d’une conformité continue.
Check Point CloudGuard peut aider les organisations à atteindre et à maintenir la conformité CMMC en effectuant une surveillance continue des systèmes d’entreprise pour la conformité à la réglementation. Pour en savoir plus sur la façon dont Point de contrôle peut aider votre organisation à : mettre en œuvre les contrôles de sécurité requis et les surveiller et les entretenir sur le long terme, inscrivez-vous pour une démo gratuite de CloudGuard.
Commentaires