Comment réduire les risques de conformité CMMC dans la chaîne d'approvisionnement

Comment réduire les risques de conformité CMMC dans la chaîne d’approvisionnement

À partir de 2025, CMMC 2.0 sera une exigence réglementaire pour travailler avec le DoD. Les contractants basés au Royaume-Uni et aux États-Unis sont en train de mettre en œuvre les exigences de conformité, mais vos partenaires en font-ils autant ?

En tant que maillon essentiel de sa chaîne d’approvisionnement, les contractants et sous-traitants de la Base Industrielle de Défense (DIB) représentent un risque potentiel de cybersécurité pour le DoD. Si les contractants souhaitent être conformes à CMMC 2.0, évaluer leur propre chaîne d’approvisionnement pour s’assurer qu’ils répondent à des normes de sécurité élevées est essentiel.
Dans cet article, nous discutons comment vous pouvez réduire les risques dans votre chaîne d’approvisionnement, en fournissant quatre étapes pratiques que vous pouvez prendre pour évaluer la posture de sécurité et de conformité de vos partenaires.

Pourquoi la conformité CMMC dépasse votre chaîne d’approvisionnement

Les menaces de cybersécurité sont de plus en plus sophistiquées et toute violation par un fournisseur tiers pourrait représenter un risque pour le DoD et la sécurité nationale américaine. Le ministère de la Défense (MoD) a récemment été victime d’une violation, où des données personnelles ont été accédées via un prestataire de système de paie tiers, prouve l’importance de la sécurité de la chaîne d’approvisionnement.

Par conséquent, les organisations gouvernementales ont souvent une réglementation en place qui exige que leurs fournisseurs répondent à certaines normes de cybersécurité. Par exemple, le MoD a le Partenariat de Protection Cybernétique de la Défense (DCPP) qui a été conçu pour améliorer la protection de la chaîne d’approvisionnement de la défense contre les menaces cybernétiques.

CMMC 2.0 a des implications similaires pour les organisations qui travaillent avec le DoD, ou un contractant ou sous-traitant. Les directives CMMC stipulent que:

Si les entrepreneurs et sous-traitants traitent le même type de FCI et CUI, alors le même niveau CMMC s’appliquera. Dans les cas où le principal ne transmet que des informations sélectionnées, un niveau CMMC inférieur peut s’appliquer au sous-traitant.

En conséquence, les entrepreneurs DIB devraient également chercher à évaluer les risques cybernétiques posés par leur propre chaîne d’approvisionnement. S’ils ne le font pas, leurs contrats avec le DoD pourraient être compromis. En fait, il est probable que d’autres grandes organisations de défense comme le MoD ou les partenaires du DoD intègreront formellement les exigences du CMMC 2.0 dans leurs propres contrats fournisseurs pour cette raison.

4 façons de réduire les risques de votre chaîne d’approvisionnement sous CMMC 2.0

Pour vous assurer que votre chaîne d’approvisionnement est conforme aux exigences CMMC 2.0 du DoD, les entrepreneurs devraient suivre ces quatre étapes pour réduire le risque cybernétique :

1. Examiner les auto-évaluations de vos partenaires actuels

En préparation pour le CMMC 2.0, les organisations doivent réviser leur propre état de conformité. Les organisations seront évaluées sur la maturité de leurs pratiques de cybersécurité, ainsi que sur leur transparence et leur sensibilisation.

Pour gérer les risques potentiels posés par leur propre chaîne d’approvisionnement, ils devraient appliquer ces mêmes principes à l’évaluation de la posture cybernétique de leurs fournisseurs. Réalisez une analyse des écarts par rapport aux exigences de sécurité CMMC et identifiez les actions que les fournisseurs tiers doivent entreprendre.

Questions à répondre :

  • Les membres de ma chaîne d’approvisionnement maintiennent-ils la conformité CMMC ?
  • Ont-ils démontré cela ?
  • Sont-ils prêts pour les évaluations CMMC à venir
  • Suis-je prêt à prouver ma conformité CMMC ?

2. Collaborer régulièrement avec ces tiers

Le DoD exigera des rapports réguliers et en temps opportun sur les incidents, les informations sur les menaces, le partage de renseignements, l’assistance technique et plus encore. Les entrepreneurs et sous-traitants DIB peuvent soutenir leurs fournisseurs en amont et en aval pour maintenir les normes CMMC en collaborant et en communiquant de manière cohérente.

Les sous-traitants DIB doivent s’assurer que les fournisseurs tiers sont conscients des attentes en matière de CMMC. Ils doivent également partager leurs propres politiques ou procédures CMMC pour aider leur chaîne d’approvisionnement à s’y conformer.

Examiner les sous-traitants avant les évaluations CMMC donnera également aux sous-traitants DIB le temps de soutenir les organisations non conformes pour s’améliorer, ou de résilier ces contrats.

3. Partenariat avec des petits fournisseurs

Les petits sous-traitants du DoD peuvent ne pas avoir les ressources nécessaires pour respecter la conformité, surtout si atteindre ces normes nécessite de grands changements dans leur infrastructure ou leurs opérations. Les partenaires directs du DoD ont l’opportunité de fournir des conseils et un soutien supplémentaires. Cela peut inclure :

  • Réalisation d’audits et d’analyses de lacunes
  • Création de plans de remédiation, incluant des recommandations d’outils conformes au CMMC
  • Partage de cadres et de modèles de politiques
  • Fourniture de formations aux équipes internes
  • Support d’évaluation continu

4. Maintenir la conformité CMMC au sein de votre organisation

S’assurer que les fournisseurs tiers sont conformes commence par montrer l’exemple. Les sous-traitants DIB doivent d’abord se concentrer sur leur propre conformité, en s’assurant qu’ils disposent de toutes les pratiques et politiques nécessaires pour répondre aux normes CMMC 2.0.

Les sous-traitants DIB peuvent également prendre le contrôle de la sécurité des communications entre eux et leurs partenaires. Les outils de communication de contenu sécurisé – tels que le chiffrement de bout en bout des e-mails, les contrôles d’accès granulaires, le partage sécurisé de fichiers ou le transfert sécurisé de fichiers – protégeront les données sensibles lorsqu’elles sont partagées avec ou envoyées par des tiers.

Choisir des solutions compatibles signifie que la couche de sécurité restera intacte, peu importe à qui les données sont envoyées, empêchant les acteurs internes ou externes d’accéder, télécharger, partager ou modifier les éléments sans autorisation.

Comment Kiteworks peut aider

Kiteworks est une plateforme de communication de données de fichiers et d’e-mails sécurisée conçue pour répondre à près de 90% des exigences de niveau 2 du CMMC 2.0 dès sa mise en service. Avec une autorisation FedRAMP Modérée, Kiteworks permet de répondre aux exigences de conformité pour NIST SP 800-171.

Kiteworks Réseau de contenu privésoutient également le reste de votre chaîne d’approvisionnement. Ses fonctionnalités robustes de sécurité et de contrôle d’accès permettent aux entrepreneurs de la défense de partager des contenus sensibles en interne et tout au long de leur chaîne d’approvisionnement par e-mail, partage de fichiers, transfert de fichiers et autres canaux, de manière à protéger les informations confidentielles unifiées (CUI) et autres données sensibles à chaque étape.

Avec Kiteworks, vous pouvez communiquer et collaborer avec tous vos partenaires, entrepreneurs et fournisseurs tout en minimisant les risques de cybersécurité.

Assurez-vous d’être prêt pour le CMMC et l’avenir du paysage réglementaire des données.

Téléchargez notre guide des solutions de communication de données sécurisées pour les entrepreneurs de la DIB basés au Royaume-Uni pour découvrir les tendances en matière de données et de cybersécurité et les solutions nécessaires pour y faire face.

FAQ

Le CMMC 2.0 s’applique à tous les tiers au sein de la chaîne d’approvisionnement de la défense, y compris les entrepreneurs, les fournisseurs et tout autre tiers contracté lié au soutien du Département de la Défense (DoD). Toutes les organisations qui font affaire avec le DoD doivent se conformer au CMMC 2.0, en function du type de CUI et/ou FCI qu’ils traitent, stockent, envoient ou reçoivent. La liste des entités comprend :

  • Contractants principaux du DoD
  • Sous-traitants du DoD
  • Fournisseurs à tous les niveaux dans la DIB
  • Fournisseurs de petites entreprises du DoD
  • Entreprises non américaines

Une fois CMMC 2.0 mis en œuvre, des auto-évaluations pour tous les niveaux seront nécessaires sur une base annuelle, et les niveaux 2 et 3 nécessiteront une évaluation triennale par un C3PAO.

Le niveau d’une organisation est basé sur les types d’informations qu’elle traite. Si les entrepreneurs et leurs sous-traitants traitent tous deux des données FCI et CUI, ils devront respecter le même niveau de normes CMMC. Si le contractant principal ne partage pas ces informations, ou ne partage que certaines informations avec ses sous-traitants, alors ils peuvent être soumis à un niveau inférieur.

CMMC 2.0 est une mise à jour de la Certification de Maturité en Cybersécurité (CMMC) qui a été initialement publiée en janvier 2021. C’est la méthode du Département de la Défense (DoD) pour exiger que les organisations de la chaîne d’approvisionnement du DoD protègent les informations de contrat fédéral (FCI) et les informations non classifiées contrôlées (CUI) au niveau approprié déterminé (il y a trois niveaux dans CMMC 2.0). CMMC 2.0 est une restructuration des niveaux de maturité de CMMC en éliminant deux des cinq évaluations originales, en améliorant les protocoles d’évaluation qui réduisent les coûts pour les entrepreneurs, et en introduisant un chemin plus flexible vers la certification à travers les Plans d’Action & Échéances (POA&Ms).

Travailler avec une Organisation Évaluatrice Tiers Partie CMMC (C3PAO) offre plusieurs avantages pour les organisations cherchant à obtenir la certification selon les normes CMMC 2.0 en plus d’être obligatoire pour les niveaux 2 et 3 :

  • Expertise : un évaluateur tiers certifié possède une vaste expérience dans l’évaluation des programmes de cybersécurité dans plusieurs industries et peut fournir un aperçu précieux des meilleures pratiques pour atteindre la conformité aux normes CMMC 2.0.
  • Objectivité : un évaluateur tiers indépendant fournit une rétroaction impartiale sur la posture de sécurité d’une organisation qui peut aider à identifier les domaines nécessitant des améliorations.
  • Économies de coûts : travailler avec un évaluateur tiers certifié peut permettre de gagner du temps et de l’argent par rapport à l’embauche de personnel interne ou de consultants qui peuvent ne pas avoir l’expertise dans l’évaluation des programmes de cybersécurité.
  • Efficacité : un évaluateur tiers certifié peut rapidement identifier les lacunes dans la posture de sécurité d’une organisation, aidant ainsi à réduire le temps consacré à la préparation de la certification.
  • Tranquillité d’esprit : avoir un évaluateur tiers indépendant examiner le programme de cybersécurité d’un fournisseur du DOD procure une tranquillité d’esprit, en s’assurant que les organisations ont pris toutes les mesures nécessaires pour atteindre la conformité aux normes CMMC 2.0.

Ressources supplémentaires


Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks