À quoi s’attendre pour votre audit CMMC 2.0 niveau 2
Si vous tentez de naviguer dans les complexités de votre audit et des processus de certification CMMC 2.0, ce webinaire est pour vous. Découvrez comment trouver et évaluer efficacement un C3PAO et apprenez ce qui est requis de votre part pour un audit réussi. Parmi d’autres recommandations, des experts démystifient les POA&Ms, proposent des stratégies de résolution et offrent des recommandations expérimentées et des meilleures pratiques pour compléter avec succès votre audit CMMC 2.0.
Communications de contenu sensible et conformité CMMC 2.0
En tant que sous-traitant de la base industrielle de défense (DIB), il est crucial de garantir la sécurité et la gestion appropriée des informations sensibles pour maintenir la conformité avec le cadre de la Certification de maturité en cybersécurité (CMMC) 2.0. Voici certains des plus grands défis rencontrés par les sous-traitants de la DIB en matière de conformité CMMC 2.0 et de leurs communications de contenu sensible.
Communications Email Sécurisées
L’un des principaux défis dans la communication de contenu sensible est d’assurer la sécurité des échanges d’emails. L’email est une méthode de communication courante, mais elle est également vulnérable à l’interception et à l’accès non autorisé. Pour atténuer ce risque, les sous-traitants de la DIB doivent mettre en œuvre des protocoles d’email sécurisés, tels que le chiffrement et les signatures numériques, pour protéger et vérifier l’intégrité des informations sensibles transmises par email. De plus, les sous-traitants devraient envisager d’utiliser des solutions d’email qui ont obtenu l’autorisation FedRAMP Moderate, ce qui garantit que le fournisseur de services a satisfait aux exigences de sécurité rigoureuses fixées par le gouvernement américain.
Identification et Étiquetage du CUI
Identifier et étiqueter précisément les informations non classifiées contrôlées (CUI) représente un autre défi important pour les sous-traitants de la DIB. Le CUI englobe une large gamme d’informations sensibles qui nécessitent des mesures de protection ou de diffusion conformément aux lois, règlements et politiques gouvernementales applicables. Les sous-traitants doivent développer et mettre en œuvre des processus pour identifier et étiqueter correctement le CUI dans divers formats, y compris les documents numériques et physiques, les emails et les actifs numériques. Une identification et un étiquetage appropriés garantissent que les informations sensibles reçoivent le niveau de protection adéquat et ne sont partagées qu’avec des individus autorisés.
Contrôle d’Accès et Gestion des Permissions
Gérer le contrôle d’accès et les permissions pour le contenu sensible est une tâche complexe qui nécessite une vigilance constante. Les sous-traitants de la DIB doivent établir des politiques et des procédures de contrôle d’accès strictes pour s’assurer que seul le personnel autorisé peut accéder aux informations sensibles. Cela implique la mise en œuvre de systèmes de contrôle d’accès basés sur les rôles (RBAC), la révision régulière et la mise à jour des permissions des utilisateurs, et la révocation rapide de l’accès lorsqu’un employé change de rôle ou quitte l’organisation. Les sous-traitants doivent également maintenir des journaux d’audit détaillés pour suivre l’accès au contenu sensible et détecter toute tentative d’accès non autorisé.
Partage de Fichiers Sécurisé et Collaboration
Collaborer sur du contenu sensible présente des défis uniques, car cela implique souvent de partager des fichiers et des documents avec des partenaires externes, des sous-traitants et des agences gouvernementales. Les sous-traitants de la DIB doivent adopter des solutions de partage de fichiers sécurisées offrant un chiffrement de bout en bout, des contrôles d’accès et des capacités d’audit. Ces solutions doivent également être conformes aux exigences du CMMC 2.0 pour la protection du CUI et d’autres informations sensibles. Lors de la sélection d’une plateforme de partage de fichiers, les sous-traitants doivent privilégier les solutions ayant obtenu l’autorisation FedRAMP Moderate, car cela garantit un haut niveau de sécurité et de conformité avec les normes gouvernementales.
Transfert de Fichiers Géré Sécurisé
Les sous-traitants de la DIB doivent envisager l’utilisation de solutions de transfert de fichiers géré sécurisé pour la transmission de fichiers volumineux ou sensibles. Les solutions de transfert de fichiers géré offrent une méthode sécurisée, fiable et auditable pour transférer des fichiers entre organisations, garantissant que les données sensibles sont protégées pendant le transit. Lors de la sélection d’une solution de transfert de fichiers géré sécurisé, les sous-traitants doivent rechercher des fonctionnalités telles que le chiffrement, les contrôles d’accès et des journaux d’audit détaillés. De plus, les solutions de transfert de fichiers géré doivent être autorisées FedRAMP Moderate pour garantir la conformité avec les exigences de sécurité du gouvernement.
Démontrer la Conformité Rapidement et Facilement
Démontrer la conformité avec les exigences du CMMC 2.0 peut représenter un défi significatif pour les sous-traitants de la DIB, en particulier en ce qui concerne les communications de contenu sensible. La plupart des outils de communication, tels que les emails, le SFTP et les plateformes de partage de fichiers, résident dans des silos et génèrent des ensembles distincts de journaux d’audit. Agréger et concilier ces journaux pour démontrer la conformité peut être une tâche chronophage et pratiquement impossible.
Accélérez votre conformité CMMC 2.0 avec Kiteworks
Contrôlez, protégez et suivez vos communications sensibles DoD pour la conformité CMMC
Protégez les FCI et CUI chaque fois que vous les envoyez, partagez, recevez ou stockez. Les contrôles d’accès granulaires, l’authentification à deux facteurs (2FA), le chiffrement de bout en bout et les liens sécurisés garantissent que seuls les utilisateurs autorisés ont accès aux contenus sensibles, ce qui est essentiel pour la conformité CMMC. Consolidez les e-mails sécurisés, le partage de fichiers, le transfert sécurisé de fichiers, les formulaires Web et les APIs sur une plateforme pour unifier les métadonnées et standardiser les politiques et contrôles de sécurité. Enfin, un point d’intégration unique pour les investissements de sécurité tels que ATP, DLP, CDR, LDAP/AD et SIEM permet aux entrepreneurs et sous-traitants de défense de protéger les contenus sensibles sous les pratiques CMMC 2.0.
En savoir plus sur les fonctionnalités de sécurité de Kiteworks pour la protection des FCI et CUI
Facilitez le déploiement avec l’autorisation FedRAMP Moderate
Évitez les coûts et le temps nécessaires pour démontrer que votre plateforme cloud répond aux 325 contrôles de sécurité NIST 800-53 – essentiels pour la conformité CMMC – en utilisant une plateforme déjà approuvée par le gouvernement fédéral américain : FedRAMP Moderate Authorized. Contrairement aux fournisseurs « équivalents à FedRAMP », Kiteworks se soumet régulièrement à des tests de pénétration et des vérifications du personnel et est soutenu par un chiffrement robuste, une sécurité physique, des plans de réponse aux incidents et plus encore. En fin de compte, les entrepreneurs utilisant une solution de partage de fichiers autorisée par FedRAMP comme Kiteworks ont un chemin plus court vers la conformité aux exigences CMMC et la démonstration de la conformité CMMC.
Protégez le CUI du DoD avec des contrôles d’accès complets pour la conformité CMMC
Gérez de manière centralisée un seul ensemble de rôles d’utilisateur et de politiques pour protéger le CUI qui circule à travers tous les canaux de communication que la plateforme Kiteworks consolide. Minimisez le risque d’exposition accidentelle ou malveillante du CUI avec des contrôles d’accès par défaut à droits minimaux sur les dossiers, les e-mails, SFTP, les flux de Transfert de Fichiers Sécurisé (MFT) et les formulaires Web, ainsi que les locataires, les fonctions, les dépôts et les domaines. Et quelle que soit l’option de déploiement que vous choisissez, les employés de Kiteworks n’ont jamais accès aux contenus de votre système Kiteworks.
Protégez le CUI avec une chiffrement des e-mails de bout en bout transparent
Protégez le CUI que vous partagez par e-mail avec vos parties prenantes du DoD grâce à des algorithmes de chiffrement robustes. Appliquez vos politiques de sécurité à votre chiffrement d’e-mail pour décider automatiquement si un e-mail doit être chiffré ou non. L’échange automatique de clés assure une facilité d’utilisation, permettant à vos employés de travailler avec leurs clients d’e-mail standards sans nécessiter de plugins ou de formations. Le chiffrement de bout en bout garantit que le contenu et les pièces jointes des e-mails sont chiffrés du client émetteur au client destinataire, tandis que la clé de déchiffrement privée reste avec le client destinataire, empêchant ainsi les fournisseurs côté serveur et les attaquants de déchiffrer. Enfin, appliquez votre DLP au trafic sortant et votre anti-malware et anti-phishing au trafic entrant. Vous brillerez devant vos
Suivez toutes les activités de fichiers CUI et simplifiez les audits avec un journal et des rapports unifiés
Voyez qui a envoyé quoi, quand et comment, afin de pouvoir suivre les FCI et CUI entrant et sortant de votre entreprise, détecter les activités suspectes et prendre des mesures en cas d’anomalies. Reposez-vous sur les journaux d’audit complets et immuables de Kiteworks pour toutes les activités des utilisateurs, automatisées et administrateurs, incluant toutes les actions sur les contenus, les permissions et les configurations. Analysez, alertez et rapportez sur les événements avec des outils intégrés ou redirigez-les pour une analyse approfondie vers votre SIEM via Syslog ou le Splunk Forwarder.
Gérer strictement les configurations pour assurer une sécurité maximale en conformité avec le CMMC
L’appliance virtuelle durcie de Kiteworks suit le principe de la fonctionnalité minimale nécessaire pour la conformité CMMC, en exposant seulement quelques ports essentiels, avec tous les services non nécessaires désactivés. De plus, le serveur empêche les utilisateurs et les administrateurs d’accéder au système d’exploitation ou d’installer des logiciels, impose une séparation stricte des responsabilités et enregistre chaque changement de configuration. Et lorsque vous vous préparez pour les audits, il fournit le reporting nécessaire pour valider les configurations et les contrôles documentés.
Kiteworks SafeEDIT facilite la conformité à CMMC 2.0
Kiteworks SafeEDIT aide les organisations à respecter CMMC 2.0 et à protéger les informations CUI échangées dans le DIB en permettant une collaboration externe sécurisée sur des fichiers sensibles, sans renoncer au contrôle des documents originaux, qui restent en sécurité dans l’environnement du propriétaire. En diffusant une lecture vidéo éditable des fichiers plutôt que de transférer la propriété, SafeEDIT garantit que les données CUI ne quittent jamais le périmètre de sécurité de l’organisation, offrant ainsi le plus haut niveau de contrôle de sécurité et de suivi. La solution offre une expérience d’application native pour l’édition et la collaboration sur les lectures de fichiers diffusées et facilite des workflows à distance sans faille avec une protection stricte des données. SafeEDIT prend en charge la collaboration sécurisée universellement à travers les types de fichiers sans enveloppes propriétaires et permet une productivité sans compromis sur la souveraineté des données, une exigence critique lors de la manipulation de CUI dans la chaîne d’approvisionnement DIB.
Questions Fréquentes
Le CMMC 2.0 est une mise à jour du Cybersecurity Maturity Model Certification (CMMC) initialement publié en janvier 2021. C’est la méthode utilisée par le Département de la Défense (DoD) pour exiger des organisations de la chaîne d’approvisionnement du DoD qu’elles protègent les informations des contrats fédéraux (FCI) et les informations non classifiées contrôlées (CUI) au niveau approprié déterminé (il y a trois niveaux dans le CMMC 2.0). Le CMMC 2.0 restructure les niveaux de maturité du CMMC en éliminant deux des cinq notations originales, améliore les protocoles d’évaluation pour réduire les coûts pour les entrepreneurs et introduit un chemin plus flexible vers la certification grâce aux Plans d’Action & Jalons (POA&M).
La conformité aux normes NIST est imposée comme exigence contractuelle par l’inclusion de clauses telles que FAR 52.204-21 et DFARS 252.204-7012. Les exigences du CMMC aboutissent à une auto-évaluation de l’entrepreneur, ou à une évaluation par un tiers via une Organisation d’Évaluation Tierce Partie CMMC (C3PAO), pour déterminer si la norme NIST applicable (telle qu’identifiée par la clause DFARS) a été respectée. Sous CMMC 2.0, une évaluation de niveau 2 sera menée contre la norme NIST SP 800-171 et une évaluation de niveau 3 sera basée sur un sous-ensemble des exigences NIST SP 800-172.
Un CMMC C3PAO est une Organisation d’Évaluation Tierce Partie CMMC (C3PAO) autorisée et certifiée par le Corps d’Accréditation CMMC (CMMC-AB) pour effectuer des évaluations des entrepreneurs et sous-traitants cherchant à obtenir la certification pour démontrer la conformité avec la norme CMMC. Les C3PAOs sont chargés d’évaluer et de certifier que les entreprises de la base industrielle de la défense (DIB) ont satisfait aux exigences de cybersécurité de la norme CMMC. Leurs responsabilités incluent l’évaluation et la délivrance de certificats d’adhésion à la norme CMMC. Le C3PAO doit également examiner et certifier les rapports d’audit et d’auto-évaluation de l’entrepreneur ou du sous-traitant basés sur le modèle de maturité en cybersécurité du DoD. Le C3PAO doit aussi être capable de recommander et de mettre en œuvre des actions correctives si nécessaire.
Le CMMC 2.0 s’applique à tous les tiers au sein de la chaîne d’approvisionnement de la défense, y compris les entrepreneurs, les fournisseurs et tout autre tiers contracté en relation avec le soutien du département de la défense (DoD). Toutes les organisations civiles qui font affaire avec le DoD doivent se conformer au CMMC 2.0, en fonction du type de CUI et de FCI qu’elles traitent et échangent. La liste des entités comprend :
- Entrepreneurs principaux du DoD
- Sous-traitants du DoD
- Fournisseurs à tous les niveaux dans la DIB
- Petits fournisseurs d’affaires du DoD
- Fournisseurs commerciaux qui traitent, gèrent ou stockent des CUI
- Fournisseurs étrangers
- Membres d’équipe des entrepreneurs du DoD qui gèrent des CUI tels que les prestataires de services informatiques gérés
Selon Kiteworks, travailler avec une Organisation d’Évaluation Tierce Partie CMMC (C3PAO) offre plusieurs avantages pour les organisations cherchant à obtenir la certification selon les normes CMMC 2.0 :
- Expertise : Un évaluateur tiers certifié a une vaste expérience dans l’évaluation des programmes de cybersécurité dans de multiples industries et peut fournir un aperçu précieux des meilleures pratiques pour atteindre la conformité CMMC.
- Objectivité : Un évaluateur tiers indépendant fournit un retour impartial sur la posture de sécurité d’une organisation qui peut aider à identifier les domaines où des améliorations sont nécessaires pour répondre à des contrôles CMMC spécifiques, réussir un audit de conformité CMMC et atteindre la conformité CMMC.
- Économies de coûts : Travailler avec un évaluateur tiers certifié peut permettre de gagner du temps et de l’argent par rapport à l’embauche de personnel interne ou de consultants qui peuvent ne pas avoir d’expertise dans l’évaluation des programmes de cybersécurité, la réalisation d’audits de conformité CMMC ou même la démonstration de la conformité CMMC.
- Efficacité : Un évaluateur tiers certifié peut rapidement identifier les lacunes dans la posture de sécurité d’une organisation, aidant ainsi à réduire le temps de préparation pour la conformité CMMC.
- Tranquillité d’esprit : Avoir un évaluateur tiers indépendant qui examine le programme de cybersécurité d’un fournisseur du DoD procure une tranquillité d’esprit, en s’assurant que les organisations ont pris toutes les mesures nécessaires pour atteindre la conformité CMMC.