MFT pour CMMC : Assurez-vous que votre solution de transfert sécurisé de fichiers est conforme au CMMC

Votre solution de transfert sécurisé de fichiers est-elle conforme au CMMC ? Si vous n’êtes pas conforme, et que vous devez l’être, cela peut vous coûter des contrats actuels ou futurs.

À qui s’applique le CMMC ? Le CMMC, ou Cybersecurity Maturity Model Certification, s’applique à toute personne travaillant avec le Département de la Défense des États-Unis, y compris les entrepreneurs et sous-traitants. Lors de son lancement initial, la mise en œuvre du CMMC a affecté plus de 300 000 organisations.

Le processus de certification CMMC est ardu, mais notre feuille de route pour la conformité CMMC 2.0 peut vous aider.

Qu’est-ce que le CMMC et comment impacte-t-il mon entreprise ?

CMMC est un ensemble relativement nouveau de réglementations en matière de cybersécurité déployées dans la chaîne d’approvisionnement du Département de la Défense (DoD). Basé sur la Publication Spéciale 800-171, le Standard Fédéral de Traitement de l’Information (FIPS) 200, et d’autres documents publiés par le National Institute of Standards and Technology (NIST), le CMMC fournit aux entrepreneurs de la chaîne d’approvisionnement un modèle de maturité qui détermine leur capacité à gérer les Informations Non Classifiées Contrôlées (CUI).

Le CUI est une désignation unique pour les données. Créé en 2010 par un décret du président Barack Obama de l’époque, le CUI définit une catégorie d’informations qui, bien que non classifiées (et donc non soumises à la loi militaire ou fédérale en tant que telles), jouent néanmoins un rôle essentiel dans le fonctionnement des agences de défense ou exécutives. NIST 800-171 et le CMMC décrivent les exigences nécessaires pour protéger le CUI.

Pour évaluer la maturité des entrepreneurs en cybersécurité, le CMMC propose une approche par niveaux basée sur cinq niveaux déterminés par l’hygiène de cybersécurité (qui inclut le nombre de pratiques de sécurité technique mises en œuvre) et les processus (la capacité à gérer la sécurité organisationnelle).

Il existe trois niveaux de maturité CMMC dans le cadre CMMC 2.0 :

1. Niveau 1 CMMC (Fondamental) : Niveau 1 CMMC nécessite une auto-évaluation annuelle attestée par un cadre de l’entreprise. Ce niveau englobe les exigences de protection de base pour les FCI spécifiées dans la clause FAR 52.204-21.
2. Niveau 2 CMMC 2.0 (Avancé) : Niveau 2 CMMC est aligné avec NIST SP 800-171. Il nécessite des évaluations triennales par des tiers pour les entrepreneurs qui envoient, partagent, reçoivent et stockent des informations critiques pour la sécurité nationale. Ces évaluations tierces sont menées par des C3PAO. Certains entrepreneurs de niveau 2 ne nécessitent qu’une auto-évaluation annuelle avec attestation d’entreprise.
   Ce niveau englobe les exigences de sécurité pour le CUI spécifiées dans NIST SP 800-171 Rev 2 selon la clause DFARS 252.204-7012 [3, 4, 5].
3. Niveau 3 CMMC 2.0 (Expert) : Niveau 3 CMMC est aligné avec NIST 800-172 et nécessitera des évaluations triennales dirigées par le gouvernement. Le niveau 3 contiendra 24 exigences de NIST SP 800-172.

Il est certain que lorsqu’il s’agit de transférer des fichiers dans un contexte où le CUI est impliqué, toute solution de transfert de fichiers devra répondre aux exigences de sécurité minimales pour au moins le niveau 2 du CMMC.

Comment le MFT affecte-t-il la conformité au CMMC ?

Parce que les réglementations CMMC exigent bien plus que de simples mesures de sécurité technique pour protéger les données, une solution de transfert sécurisé de fichiers (MFT) conforme offre de nombreuses fonctions de contrôle, de sécurité et d’audit des données. C’est pourquoi de nombreux entrepreneurs optent pour des solutions de transfert sécurisé de fichiers comme Kiteworks Secure MFT pour gérer le transfert de fichiers d’entreprise.

Considérons le niveau 2 du CMMC, le niveau minimum requis pour gérer le CUI. À ce niveau, une solution de transfert sécurisé de fichiers devrait inclure les fonctionnalités suivantes :

• Chiffrement pour toutes les données au repos et en transit : Les algorithmes de chiffrement typiques à ce niveau incluent AES-128 ou AES-256 (pour les données au repos) et TLS 1.2 ou supérieur (pour les données en transit).
• Contrôles d’accès suffisants : Une solution MFT qui maintient la conformité inclura des contrôles d’accès robustes—des moyens de limiter l’accès au système aux utilisateurs autorisés, de placer des limites d’accès en fonction du type de transaction, de limiter les tentatives de connexion, de contrôler strictement les privilèges des utilisateurs et de vérifier ou contrôler le nombre de transactions sur le système.
• Journaux d’audit : Le CMMC exige des systèmes informatiques qui fournissent des journaux d’audit pour les actions des utilisateurs sur le système. Cela inclut la capacité de tracer de manière unique les étapes à travers le système, de maintenir des journaux immuables pour les analyses judiciaires, de marquer précisément les journaux, de créer des alertes basées sur les événements enregistrés, de protéger les informations d’audit contre la falsification ou la corruption, et de générer des rapports basés sur les journaux d’audit.
• Rapports et documentation : Les MFT devraient inclure des moyens de rapporter l’activité dans le système, généralement via un tableau de bord qui soutient les efforts de reporting et de documentation. Ces documents seront souvent nécessaires pour répondre aux demandes d’audit, mais ils informent également des pratiques importantes et nécessaires comme la gestion des risques.

De plus, les MFT conformes doivent toujours répondre aux charges de travail d’entreprise à haute performance :

• Transferts Programmés et en Lot : Gérer de grands transferts de fichiers ou des transferts en lot à haut volume tout en maintenant la vitesse et l’agilité sont les principales raisons d’utiliser des transferts de fichiers comme le MFT. Un MFT permet également de programmer ces transferts, ce qui peut servir à décharger les transferts intensifs en réseau après les heures de bureau.
• Scalabilité : Un MFT fournit une base solide pour des schémas de transfert de fichiers évolutifs où les transferts stratégiques et la surveillance des données peuvent s’adapter en fonction des besoins d’une organisation.
• Intégration d’Entreprise : Un MFT avec les bonnes intégrations vaut son pesant d’or. Un MFT qui peut intégrer des fonctionnalités avec des outils de productivité, des solutions de gestion des informations et des événements de sécurité (SIEM), des plateformes cloud et des applications de cloud computing étend la manière dont une organisation peut utiliser ces données efficacement.

Que recherchent les entrepreneurs de la défense dans une solution de transfert sécurisé de fichiers conforme au CMMC?

En ce qui concerne le MFT et la conformité, les organisations vont évaluer toute solution basée sur deux critères :

• Fonctionnalités et Outils d’Entreprise : Que peut apporter cet outil à mon entreprise ? Comment aide-t-il à exploiter nos données de manière significative ? Que peut-il apporter en termes d’intelligence et d’aperçus, de flexibilité et de scalabilité ?
• Conformité et Sécurité : Comment ce MFT fournit-il des mesures de sécurité conformes au CMMC ? Offre-t-il des mesures techniques, des contrôles administratifs, une sécurité physique, ou une combinaison de ces trois éléments ?

Avec cela à l’esprit, une solution MFT devrait cocher toutes les cases suivantes :

1. La technologie répond au niveau de maturité CMMC souhaité.
2. La technologie fournit des capacités d’audit et de journalisation étendues.
3. La technologie inclut des intégrations de productivité ou d’autres fonctionnalités comme des tableaux de bord intégrés qui offrent plus de contrôle sur l’utilisation du système.
4. La technologie prend en charge des contrôles MFT robustes comme la programmation détaillée et le suivi et les transferts à haut volume.

Kiteworks MFT pour la Conformité CMMC

En ce qui concerne le CMMC, les entrepreneurs et sous-traitants de la défense doivent travailler avec un fournisseur de MFT qui répond aux exigences du CMMC sans sacrifier l’utilisabilité et la fonctionnalité de l’entreprise. Le Réseau de Contenu Privé de Kiteworks aide les organisations à exploiter des fonctionnalités MFT de pointe avec une technologie sécurisée et conforme.

Avec Kiteworks, les entrepreneurs de la défense obtiennent les éléments suivants :

• Sécurité et Conformité : Kiteworks utilise le chiffrement AES-256 pour les données au repos et TLS 1.3 pour les données en transit. Son appliance virtuelle durcie, ses contrôles granulaires, son authentification et d’autres intégrations de pile de sécurité, ainsi que la journalisation et l’audit complets, permettent aux organisations d’atteindre la conformité efficacement.
• Journalisation d’Audit : Avec les journaux d’audit immuables de Kiteworks, les organisations peuvent être sûres de détecter les attaques plus tôt et de maintenir la chaîne de preuves correcte pour effectuer des analyses judiciaires. Étant donné que le système fusionne et standardise les entrées de tous les composants, son Syslog unifié et ses alertes font gagner un temps précieux à l’équipe du centre des opérations de sécurité (SOC) et aident une équipe de conformité à se préparer aux audits.
• Cloud Privé à Locataire Unique : Les transferts de fichiers, le stockage de fichiers et l’accès se feront sur une instance dédiée de Kiteworks, déployée sur site, sur des ressources Infrastructure-as-a-Service (IaaS), ou hébergée dans le cloud par le serveur Cloud de Kiteworks. Cela signifie pas de runtime partagé, de bases de données ou de référentiels, de ressources, ou de potentiel de violations ou d’attaques inter-cloud. Kiteworks est également autorisé FedRAMP pour les informations de niveau d’impact modéré ; la conformité FedRAMP simplifie le processus de conformité CMMC car elle satisfait aux exigences de NIST 800-171, une base pour le niveau 2 du CMMC.
• Scalabilité et Consolidation des Coûts : La gouvernance centralisée, la journalisation et l’administration permettront également d’économiser du temps et des coûts administratifs. Tous les serveurs Kiteworks sont équipés de manière transparente de partage sécurisé de fichiers et de messagerie électronique sécurisée.
• Automatisation Transparente : La plateforme Kiteworks prend en charge l’automatisation du MFT pour faciliter le transfert de contenu vers et depuis SFTP et d’autres référentiels comme les partages de fichiers et AWS S3.
• Facilité d’Utilisation en Libre-Service : Les utilisateurs professionnels accèdent à l’arrière-plan du serveur SFTP de Kiteworks via des dossiers de partage de fichiers Web familiers. Les employés délégués par les administrateurs gèrent les dossiers pour créer de nouveaux arbres de dossiers pour de nouveaux partenaires ou imbriquer de nouveaux dossiers pour de nouveaux sujets de données.
• Visibilité et Gestion des Données : Notre tableau de bord RSSI offre aux organisations une vue d’ensemble de leurs données : où elles se trouvent, qui y accède, comment elles sont utilisées, et si elles sont conformes au CMMC. Le tableau de bord RSSI permet aux dirigeants d’entreprise de prendre des décisions éclairées sur les exigences de sécurité et réglementaires.

Pour en savoir plus sur la conformité CMMC et le transfert sécurisé de fichiers, réservez une démo personnalisée de Kiteworks dès aujourd’hui.

Ressources Supplémentaires

• Brochure Automatisez votre entreprise avec la sécurité et la conformité en priorité
• Article de Blog 11 Exigences pour un Transfert Sécurisé de Fichiers
• Livre Blanc Sécuriser les Communications de Contenu pour le CMMC 2.0