Répondre à l’exigence d’équivalence FedRAMP du CMMC
Protégez les CUI en évitant de vous fier aux affirmations non fondées d’équivalence des fournisseurs
Qu’est-ce que la DFARS 7012 et pourquoi est-elle essentielle pour la conformité CMMC ?
DFARS 7012, ou Defense Federal Acquisition Regulation Supplement Clause 252.204-7012, définit un ensemble d’exigences en cybersécurité pour les sous-traitants travaillant avec le Département de la Défense des États-Unis (DoD). Elle vise à protéger les informations non classifiées contrôlées (CUI) et s’appuie sur la norme NIST SP 800-171. De son côté, la CMMC 2.0, ou Cybersecurity Maturity Model Certification, est un cadre qui évalue la maturité et la préparation d’une entreprise en matière de cybersécurité pour travailler avec le DoD. DFARS 7012 et CMMC 2.0 sont donc étroitement liées. Tandis que la DFARS 7012 se concentre sur des contrôles de sécurité précis pour la protection des CUI, la CMMC 2.0 s’appuie sur la DFARS et introduit des niveaux de maturité pour classifier le degré de préparation en cybersécurité d’une organisation. La CMMC 2.0 inclut toutes les exigences de la DFARS 7012 et va plus loin en ajoutant des niveaux de maturité et un processus formel d’évaluation par un tiers. Ainsi, les sous-traitants doivent être conformes à la fois à la DFARS 7012 et aux exigences spécifiques de leur niveau de maturité CMMC, la CMMC 2.0 englobant et élargissant en substance le cadre de la DFARS 7012.
Points clés de la solution
Pour la conformité CMMC, la DFARS 7012, en particulier le paragraphe (D), exige que si un sous-traitant prévoit d’utiliser un fournisseur de services cloud externe (CSP) pour traiter des informations de défense couvertes (CDI), le CSP doit répondre à des exigences de sécurité équivalentes à la base FedRAMP Moderate et se conformer aux mesures de sécurité spécifiques décrites dans les paragraphes (c) à (g) de la clause. Cela signifie que le sous-traitant doit garantir que le CSP respecte ces standards de sécurité lors du traitement des CDI. La CMMC 2.0 inclut toutes les exigences de la DFARS 7012 et va plus loin en ajoutant des niveaux de maturité et un processus formel d’évaluation par un tiers. Ainsi, les sous-traitants doivent être conformes à la fois à la DFARS 7012 et aux exigences spécifiques de leur niveau de maturité CMMC, la CMMC 2.0 englobant et élargissant en substance le cadre de la DFARS 7012.
Il est essentiel de bien comprendre ce que signifie « équivalent » pour être réellement équivalent. Heureusement, le DoD a récemment publié le mémo d’équivalence FedRAMP, qui apporte des précisions sur cette notion. Selon ce mémo, pour être considéré comme équivalent au niveau FedRAMP Moderate, les CSO doivent atteindre 100 % de conformité avec la dernière base de contrôles de sécurité FedRAMP Moderate via une évaluation menée par une organisation tierce reconnue par FedRAMP, fournir un dossier de preuves au sous-traitant (incluant le plan de sécurité du système, le plan d’évaluation de la sécurité, le rapport d’évaluation de sécurité réalisé par le 3PAO, ainsi qu’un plan d’actions correctives), et respecter les exigences de la DFARS 252.204-7012 concernant la déclaration d’incidents cyber, les logiciels malveillants, la préservation et la protection des supports, l’accès aux informations et équipements nécessaires à l’analyse médico-légale, ainsi que l’évaluation des dommages causés par un incident cyber.
Répondre à l’exigence d’équivalence FedRAMP dans le cadre de la CMMC
À la lumière de ces précisions, voici trois questions à poser à votre fournisseur CSP pour vérifier sa conformité :
- Avez-vous fait l’objet d’une évaluation menée par une organisation tierce reconnue par FedRAMP ? Si ce n’est pas le cas, il n’est pas considéré comme équivalent.
- Pouvez-vous fournir un dossier de preuves de cette évaluation (incluant le plan de sécurité du système, le plan d’évaluation de la sécurité, le rapport d’évaluation de sécurité réalisé par le 3PAO et un plan d’actions correctives) ? Si ce n’est pas le cas, il n’est pas considéré comme équivalent.
- Pouvez-vous démontrer votre conformité aux exigences de la DFARS 252.204-7012 concernant la déclaration d’incidents cyber, les logiciels malveillants, la préservation et la protection des supports, l’accès aux informations et équipements nécessaires à l’analyse médico-légale, ainsi que l’évaluation des dommages causés par un incident cyber ? Si ce n’est pas le cas, il n’est pas considéré comme équivalent.
Pour les sous-traitants qui manipulent des données gouvernementales sensibles et cherchent à rester conformes à des réglementations de cybersécurité strictes du secteur de la défense, valider les fonctions de sécurité adéquates peut s’avérer une tâche ardue. En s’appuyant sur des partenaires ayant déjà obtenu des certifications rigoureuses comme FedRAMP Moderate Authorized, les organisations peuvent vérifier efficacement leur posture de sécurité sans devoir réaliser elles-mêmes des évaluations de contrôles approfondies. Fort de nombreuses années de certifications de conformité telles que FedRAMP, FIPS et SOC 2, Kiteworks permet aux sous-traitants de valider rapidement leur conformité avec des standards comme la DFARS 7012 et la CMMC 2.0, accélérant ainsi les processus d’achat et réduisant les risques liés à des partenaires « équivalents » non conformes. Grâce à des fonctions avancées, sécurisées par des tests et audits indépendants continus, les solutions Kiteworks permettent aux sous-traitants de répondre avec confiance aux exigences du DoD tout en renforçant la protection des données grâce à une plateforme mature et éprouvée.