CMMC et MFT : Comment les sous-traitants de la défense doivent protéger les CUI lors des transferts de fichiers

Les sous-traitants de la défense et les organisations de la supply chain du Department of Defense (DoD) sont soumis à des exigences réglementaires strictes pour la protection des informations contrôlées non classifiées (CUI). Disposer de fonctions de transfert sécurisé de fichiers (MFT) conformes au CMMC est une condition sine qua non pour obtenir la certification Cybersecurity Maturity Model Certification (CMMC) de niveau 2 ou 3. Les méthodes traditionnelles de partage de fichiers, les solutions cloud grand public et les serveurs FTP anciens ne disposent pas des validations cryptographiques, des contrôles d’accès granulaires et de la journalisation d’audit immuable exigés par le CMMC.

Pour conserver leurs contrats avec le DoD et éviter les sanctions liées au False Claims Act, les sous-traitants de la défense doivent déployer des architectures de transfert sécurisé de fichiers de niveau entreprise, conçues pour appliquer les contrôles de sécurité des normes NIST SP 800-171 et NIST SP 800-172 sur tous les échanges de données internes et externes.

Résumé Exécutif

Ce guide explique comment les sous-traitants de la défense doivent concevoir leurs systèmes de transfert sécurisé de fichiers pour protéger la CUI et être conformes au CMMC. Les responsables cybersécurité et GRC découvriront comment associer les pratiques CMMC aux fonctions MFT, gérer les différentes catégories de CUI et exploiter des solutions validées FedRAMP et FIPS 140-3 pour répondre aux exigences du DoD.

Résumé des points clés

  1. Le niveau 2 du CMMC exige une protection de la CUI en transit et au repos. Les sous-traitants de la défense doivent déployer des solutions de transfert sécurisé de fichiers qui imposent des contrôles d’accès stricts, le chiffrement et la journalisation d’audit afin de satisfaire les 110 pratiques issues du NIST SP 800-171.
  2. Chaque catégorie de CUI nécessite des protocoles de gestion spécifiques. Les informations techniques contrôlées (CTI) et les données de confidentialité exigent une prévention granulaire des pertes de données, un chiffrement de bout en bout et une gouvernance stricte des accès pour éviter toute divulgation non autorisée lors du partage externe de fichiers.
  3. La validation FIPS 140-3 constitue un socle cryptographique obligatoire. Les systèmes de transfert de fichiers conformes au CMMC doivent utiliser des modules cryptographiques validés FIPS pour protéger la CUI, car un chiffrement non validé entraîne automatiquement l’échec de l’évaluation CMMC dans le domaine System and Communications Protection.
  4. L’autorisation FedRAMP répond aux exigences cloud du DFARS 7012. Les solutions MFT cloud traitant de la CUI doivent obtenir au minimum l’autorisation FedRAMP Moderate pour satisfaire le DFARS 252.204-7012 imposé aux fournisseurs de services cloud.
  5. La centralisation des journaux d’audit prouve la conformité lors des audits. Les plateformes MFT doivent générer des traces d’audit immuables et détaillées de toutes les activités de transfert de fichiers, des événements d’authentification et des actions administratives pour satisfaire les pratiques Audit and Accountability (AU) du CMMC.

Les exigences CMMC pour le transfert sécurisé de fichiers imposent des protocoles stricts de protection de la CUI

Les sous-traitants de la défense doivent mettre en place des systèmes de transfert sécurisé de fichiers conformes au CMMC qui appliquent automatiquement les politiques de sécurité en fonction de la catégorie de CUI transmise. Le registre CUI du DoD définit plusieurs catégories d’informations sensibles, chacune soumise à des contrôles distincts de gestion, de protection et de diffusion. Laisser les utilisateurs finaux appliquer ces contrôles conduit inévitablement à des fuites de données et à des échecs de conformité. Les organisations doivent donc automatiser ces exigences via leur architecture MFT, afin que chaque fichier chargé, téléchargé ou partagé en externe soit soumis à des contrôles de sécurité rigoureux.

Les informations techniques contrôlées (CTI) exigent un chiffrement de bout en bout et une gouvernance des accès

Les informations techniques contrôlées (CTI) figurent parmi les données les plus ciblées au sein de la base industrielle de défense (DIB). Les CTI incluent des données d’ingénierie, spécifications, manuels, rapports techniques, plans et codes sources à usage militaire ou spatial. Toute compromission de ces données a un impact direct sur la sécurité nationale, ce qui impose aux systèmes MFT d’imposer le chiffrement de bout en bout et une gouvernance stricte des accès lors de leur transmission dans la supply chain de la défense.

Les organisations doivent restreindre l’accès aux CTI aux seuls utilisateurs authentifiés disposant d’un « besoin d’en connaître » vérifié. Une plateforme de transfert sécurisé de fichiers conforme au CMMC applique cela en s’intégrant aux systèmes d’Identity and Access Management (IAM) de l’entreprise pour mettre en œuvre le contrôle d’accès basé sur les rôles (RBAC). Les systèmes MFT doivent également empêcher le téléchargement, le transfert ou l’impression non autorisés de packages techniques par des sous-traitants externes. Pour cela, ils appliquent la gestion des droits numériques (DRM), imposent un accès en lecture seule, apposent un filigrane avec l’identité du destinataire et définissent des politiques d’expiration strictes pour les liens d’accès sécurisé. L’application de labels de classification aux CTI avant leur entrée dans la plateforme MFT permet d’automatiser l’application des politiques selon le niveau de sensibilité, éliminant la dépendance au jugement manuel des utilisateurs.

La CUI de confidentialité impose une prévention granulaire des pertes de données et des traces d’audit

La CUI de confidentialité, qui inclut les informations personnelles identifiables (PII) et les informations médicales protégées (PHI) du personnel du DoD, des sous-traitants et de leurs familles, nécessite une prévention stricte des pertes de données (DLP) et une surveillance continue. Si les CTI sont souvent ciblées par des acteurs étatiques pour l’espionnage, la CUI de confidentialité est fréquemment visée pour le vol d’identité, l’extorsion et les attaques d’ingénierie sociale.

Les solutions de partage sécurisé de fichiers conformes au CMMC doivent s’intégrer de façon transparente aux moteurs DLP de l’entreprise via ICAP (Internet Content Adaptation Protocol) pour analyser tous les transferts sortants à la recherche de CUI de confidentialité. Si des données sensibles sont détectées dans un transfert non autorisé, le système MFT doit automatiquement bloquer la transmission, mettre le fichier en quarantaine et alerter le SOC (Security Operations Center). De plus, chaque interaction avec la CUI de confidentialité doit générer un journal d’audit immuable détaillant l’expéditeur, le destinataire, l’horodatage, l’adresse IP et les données exactes consultées. Ces traces d’audit sont essentielles pour satisfaire aux exigences de déclaration d’incident du DFARS 252.204-7012, qui impose aux sous-traitants de signaler tout incident cyber impliquant la CUI dans les 72 heures suivant la découverte.

Associer les pratiques CMMC aux fonctions de transfert sécurisé de fichiers

Pour obtenir la certification CMMC niveau 2, les organisations doivent associer les 110 pratiques du NIST SP 800-171 à leur infrastructure technique et à leurs procédures opérationnelles. Lors d’une évaluation CMMC, un organisme d’évaluation tiers certifié (C3PAO) exigera des preuves documentées de la mise en œuvre et du suivi continu de ces pratiques. Une plateforme robuste de transfert sécurisé de fichiers constitue le principal mécanisme d’application pour plusieurs domaines critiques, notamment le contrôle d’accès (AC), l’audit et la responsabilité (AU), la protection des systèmes et des communications (SC) et l’identification et l’authentification (IA).

Le tableau ci-dessous détaille comment les fonctions MFT d’entreprise répondent directement à certaines pratiques CMMC de niveau 2 pour la protection de la CUI lors des transferts de fichiers :

ID de la pratique CMMC Description de l’exigence Comment le MFT y répond
AC.1.001 Limiter l’accès au système aux utilisateurs autorisés, aux processus agissant pour le compte d’utilisateurs autorisés ou aux dispositifs autorisés. Le MFT applique le contrôle d’accès basé sur les rôles (RBAC), garantissant que seuls les utilisateurs authentifiés disposant d’autorisations explicites peuvent accéder, charger ou télécharger la CUI dans des dossiers et espaces de travail spécifiques.
AU.2.042 Créer et conserver des journaux et enregistrements d’audit système dans la mesure nécessaire pour permettre la surveillance, l’analyse, l’investigation et le reporting des activités illicites ou non autorisées du système. Le MFT génère des journaux centralisés et immuables de tous les transferts de fichiers, modifications administratives et tentatives d’authentification, exportés vers les outils SIEM via Syslog pour une surveillance continue.
SC.3.177 Utiliser une cryptographie validée FIPS pour protéger la confidentialité de la CUI. Le MFT utilise des modules cryptographiques validés FIPS 140-3 pour chiffrer la CUI au repos (AES-256) et en transit (TLS 1.2/1.3), répondant ainsi aux exigences cryptographiques strictes du DoD.
IA.3.083 Utiliser l’authentification multifactorielle pour l’accès local et réseau aux comptes privilégiés et pour l’accès réseau aux comptes non privilégiés. Le MFT s’intègre aux fournisseurs d’identité d’entreprise (IdP) via SAML/OIDC pour imposer l’authentification multifactorielle (MFA) à tous les utilisateurs internes et externes accédant au portail de partage de fichiers.
SC.1.175 Surveiller, contrôler et protéger les communications aux frontières externes et aux frontières internes clés des systèmes d’information. Le MFT agit comme une passerelle sécurisée, inspectant tous les transferts de fichiers entrants et sortants, s’intégrant à l’AV/ATP pour bloquer les malwares et empêcher toute exfiltration non autorisée de CUI.

L’autorisation FedRAMP et la validation FIPS 140-3 établissent le socle du transfert sécurisé de fichiers conforme au CMMC

Les sous-traitants de la défense ne peuvent pas se reposer sur des outils de partage de fichiers grand public ou des logiciels d’entreprise standards pour protéger la CUI. Le Department of Defense impose des normes cryptographiques et des autorisations de sécurité cloud spécifiques qui doivent être intégrées à l’architecture MFT. Utiliser des solutions disposant de l’autorisation FedRAMP et de la validation FIPS 140-3 est indispensable pour réussir un audit C3PAO. Des plateformes comme Kiteworks, validées FIPS 140-3 et disposant de l’autorisation FedRAMP Moderate (et FedRAMP High In Process pour le Secure Gov Cloud), offrent le socle cryptographique et de sécurité cloud exigé par le DoD.

La cryptographie validée FIPS 140-3 garantit la légalité du chiffrement de la CUI

La pratique CMMC SC.3.177 exige explicitement l’utilisation d’une cryptographie validée FIPS pour protéger la confidentialité de la CUI. Il est essentiel de distinguer « conforme FIPS » et « validé FIPS ». Être conforme FIPS signifie simplement que le fournisseur affirme utiliser des algorithmes comme l’AES-256, ce qui est insuffisant pour le CMMC. Être validé FIPS signifie que le module cryptographique utilisé par le logiciel a été rigoureusement testé et certifié officiellement par le NIST Cryptographic Module Validation Program (CMVP).

Les systèmes MFT doivent déployer un chiffrement validé FIPS 140-3 pour toutes les données au repos et en transit. Cela garantit que les algorithmes, la gestion des clés et les générateurs de nombres aléatoires utilisés pour sécuriser les données techniques et les informations de confidentialité respectent les standards mathématiques et opérationnels stricts exigés par le gouvernement fédéral. Si une plateforme MFT utilise une cryptographie non validée, l’organisation échouera automatiquement dans le domaine System and Communications Protection lors d’une évaluation CMMC.

L’autorisation FedRAMP répond aux exigences cloud du DFARS 7012

Selon le DFARS 252.204-7012, les sous-traitants de la défense qui utilisent un fournisseur de services cloud (CSP) pour stocker, traiter ou transmettre la CUI doivent s’assurer que le CSP répond à des exigences de sécurité équivalentes au socle FedRAMP Moderate. Le CSP doit également se conformer aux paragraphes (c) à (g) de la clause DFARS, qui imposent des exigences strictes en matière de déclaration d’incident cyber, de soumission de logiciels malveillants et de conservation des supports.

Une plateforme de transfert sécurisé de fichiers conforme au CMMC déployée dans le cloud doit disposer d’une autorisation FedRAMP Moderate ou supérieure pour traiter légalement les données du DoD. Pour les organisations manipulant des CUI hautement sensibles, des données soumises à l’ITAR ou opérant sous des exigences plus strictes (comme le CMMC niveau 3), utiliser une plateforme FedRAMP High In Process apporte les contrôles de sécurité nécessaires pour se protéger contre les menaces persistantes avancées (APT) visant la base industrielle de défense. Cette autorisation prouve que l’environnement cloud a fait l’objet d’un audit indépendant et d’une surveillance continue par les autorités fédérales.

Concevoir un écosystème de partage sécurisé de fichiers conforme au CMMC

Déployer un simple outil de transfert sécurisé de fichiers ne suffit pas pour obtenir et maintenir la certification CMMC. Les responsables GRC et cybersécurité doivent concevoir un écosystème de partage de fichiers intégrant les fonctions MFT à l’infrastructure de sécurité de l’entreprise. Cette approche de défense en profondeur garantit la protection de la CUI sur tous les canaux de communication, y compris le partage de fichiers ad hoc, la messagerie sécurisée, les transferts automatisés système à système et les formulaires web.

Pour bâtir une architecture résiliente et conforme, les sous-traitants de la défense doivent mettre en œuvre les exigences structurelles suivantes :

  • Application centralisée des politiques : Centralisez tous les partages de fichiers externes, la messagerie sécurisée et les transferts automatisés système à système dans une seule plateforme MFT. Cela élimine le shadow IT, empêche les employés d’utiliser des solutions cloud non autorisées et garantit l’application uniforme des politiques CUI dans toute l’organisation.
  • Intégration à l’Identity and Access Management (IAM) : Connectez le système MFT aux annuaires d’entreprise (Active Directory, Entra ID…) via SAML ou OpenID Connect. Cela permet d’imposer la MFA, d’automatiser le provisioning des utilisateurs selon leur appartenance à des groupes et d’assurer la révocation immédiate des accès en cas de départ ou de changement de poste.
  • Protection avancée contre les menaces (ATP) et antivirus : Faites transiter tous les transferts de fichiers entrants via des intégrations ICAP vers les solutions ATP et antivirus de l’entreprise. Ainsi, tous les fichiers provenant de sous-traitants externes sont analysés contre les malwares, ransomwares et menaces zero-day avant d’être accessibles en interne.
  • Intégration à la prévention des pertes de données (DLP) : Analysez toutes les données sortantes pour identifier la CUI marquée ou non. L’intégration de la plateforme MFT aux moteurs DLP permet de bloquer les transmissions non autorisées, d’imposer automatiquement le chiffrement et d’alerter les équipes sécurité en cas de menace interne ou de fuite accidentelle.
  • Gestion automatisée du cycle de vie : Mettez en place des politiques automatisées de conservation et de suppression des fichiers pour purger la CUI du système MFT dès que le besoin opérationnel cesse. La suppression automatique des fichiers après une période définie réduit la surface d’attaque et garantit la conformité avec les exigences de minimisation des données du NIST SP 800-171 (contrôles de nettoyage des supports).
  • Intégration SIEM : Exportez tous les journaux d’audit MFT vers le système SIEM de l’organisation. Cela facilite la surveillance continue, la réponse rapide aux incidents et fournit les preuves centralisées et immuables exigées par les auditeurs C3PAO pour vérifier la conformité aux pratiques AU.

Sécurisez la CUI et atteignez la conformité CMMC avec Kiteworks

Pour être conforme au CMMC, il faut une plateforme de transfert sécurisé de fichiers spécifiquement conçue pour les exigences de sécurité de la base industrielle de défense. Le Réseau de données privé Kiteworks offre aux sous-traitants de la défense une solution sécurisée de partage de fichiers et de MFT, pensée pour protéger la CUI et répondre aux exigences du NIST SP 800-171.

Kiteworks est validé FIPS 140-3, ce qui garantit que toute la CUI est chiffrée au repos et en transit avec des modules cryptographiques certifiés par le NIST. Pour les organisations déployant dans le cloud, Kiteworks dispose de l’autorisation FedRAMP Moderate et FedRAMP High In Process (Secure Gov Cloud), répondant pleinement aux exigences DFARS 252.204-7012 pour les fournisseurs de services cloud. En centralisant la messagerie sécurisée, les transferts automatisés et le partage de fichiers externe sur une plateforme unique et fortement auditée, Kiteworks permet aux responsables GRC et cybersécurité d’imposer des contrôles d’accès stricts, de s’intégrer aux systèmes DLP et ATP de l’entreprise et de générer les traces d’audit immuables requises pour réussir une évaluation C3PAO. Le tableau de bord CISO offre une visibilité en temps réel sur tous les flux de données CUI, fournissant aux équipes conformité les preuves unifiées nécessaires lors des audits CMMC.

Pour découvrir comment Kiteworks peut accélérer votre parcours vers la certification CMMC niveau 2 ou 3, réservez votre démo personnalisée dès maintenant.

Foire aux questions

Pour garantir que vos transferts automatisés de fichiers respectent les exigences CMMC, déployez une solution MFT imposant un chiffrement validé FIPS et des contrôles d’accès stricts. Configurez le système pour authentifier toutes les connexions système à système, chiffrer les données en transit et au repos, et générer des journaux immuables pour chaque transaction. Les fonctions automatisées de transfert sécurisé de fichiers protègent la CUI sans intervention manuelle, répondant ainsi aux exigences du niveau 2 du CMMC. Maintenez également une checklist de conformité CMMC à jour pour vérifier que tous les workflows automatisés sont alignés sur les pratiques du NIST SP 800-171.

Pour prouver que votre partage de fichiers respecte les contrôles d’audit CMMC, exportez les journaux centralisés et immuables de votre plateforme MFT vers votre SIEM. Ces journaux doivent inclure tous les événements d’authentification, chargements, téléchargements et modifications administratives. Maintenir des traces d’audit du partage sécurisé de fichiers démontre une surveillance continue et répond aux pratiques Audit and Accountability (AU) requises pour réussir l’évaluation CMMC. Consultez également le guide des bonnes pratiques de documentation CMMC pour vous assurer que vos dossiers d’audit répondent aux attentes des auditeurs C3PAO.

L’utilisation d’un stockage cloud commercial standard pour le partage de fichiers conforme au CMMC est interdite, sauf si le fournisseur respecte les exigences fédérales spécifiques. Selon le DFARS 7012, tout service cloud traitant de la CUI doit disposer au minimum d’une autorisation FedRAMP Moderate. Vous devez utiliser une plateforme de transfert sécurisé de fichiers disposant de l’autorisation FedRAMP pour garantir la légalité du traitement et du stockage des données de défense dans le cloud. Si vous doutez de la conformité de votre fournisseur cloud actuel, vérifiez les critères d’équivalence FedRAMP Moderate et le statut Marketplace avant qu’un audit ne révèle des écarts.

Pour protéger les informations techniques contrôlées (CTI) lors du partage de fichiers avec des sous-traitants, imposez une gouvernance granulaire des accès et un chiffrement de bout en bout. Mettez en place une plateforme MFT qui applique la gestion des droits numériques, restreint les téléchargements et exige l’authentification multifactorielle pour tous les destinataires externes. Utilisez la messagerie sécurisée et des outils de partage de fichiers intégrant le DLP pour éviter toute diffusion non autorisée et maintenir la protection des données CUI dans la supply chain. Un programme documenté de gestion des risques supply chain doit inclure une vérification périodique de la conformité des configurations MFT des sous-traitants aux mêmes contrôles CMMC que ceux du donneur d’ordre.

La validation FIPS 140-3 est obligatoire pour le MFT car la pratique CMMC SC.3.177 impose une cryptographie validée FIPS pour protéger la confidentialité de la CUI. Utiliser uniquement AES ou TLS ne suffit pas : le module cryptographique doit être certifié par le NIST. Déployer une solution de transfert sécurisé de fichiers validée FIPS 140-3 garantit que vos protocoles de chiffrement répondent aux standards mathématiques stricts du Department of Defense. Les administrateurs IT doivent demander les certificats NIST CMVP à tous les fournisseurs MFT et les documenter dans le plan de sécurité du système comme preuve pour le domaine SC lors d’une évaluation C3PAO.

Ressources complémentaires

  • Article de blog 6 raisons de préférer le transfert sécurisé de fichiers au FTP
  • Brief Optimiser la gouvernance, la conformité et la protection du contenu du transfert sécurisé de fichiers
  • Article de blog Guide d’achat des logiciels de transfert sécurisé de fichiers
  • Article de blog Onze exigences pour un transfert sécurisé de fichiers fiable
  • Article de blog Les meilleures solutions de transfert sécurisé de fichiers pour les entreprises

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks