Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO

CMMC & CMMC 2.0 : Certification du modèle de maturité de la cybersécurité

Accueil Glossaire CMMC & CMMC 2.0 : Certification du Modèle de Maturité en Cybersécurité

Tandis que le CMMC continue d’évoluer, vous voudrez vous assurer que votre entreprise est à jour concernant ce qu’est une certification CMMC et comment ses mises à jour vous affectent.

Le processus de certification CMMC est ardu, mais notre feuille de route pour la conformité au CMMC 2.0 peut aider.

Qu’est-ce que le CMMC ? La Certification du Modèle de Maturité en Cybersécurité est une norme qui exige des contractants du Département de la Défense de rencontrer certains niveaux de cybersécurité afin de protéger les données sensibles du département.

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire l’article

Qu’est-ce que le CMMC ?

La Certification du Modèle de Maturité en Cybersécurité (CMMC) est une norme unifiée pour la protection de l’Information Non Classifiée Contrôlée (CUI) au sein de la Base Industrielle de la Défense (DIB). C’est un cadre utilisé pour évaluer les pratiques de cybersécurité d’une organisation et permet au Département de la Défense (DoD) de certifier que ces pratiques répondent aux exigences établies dans le NIST SP 800-171. La certification est requise pour toutes les organisations travaillant avec le DoD, car le CMMC est conçu pour protéger le CUI contre les cybermenaces et garantir que les contractants suivent les mêmes politiques et procédures de cybersécurité.

CMMC & CMMC 2.0 : Certification du Modèle de Maturité en Cybersécurité

Qu’est-ce que le cadre CMMC ?

La Certification du Modèle de Maturité en Cybersécurité (CMMC) est un cadre de cybersécurité centralisé et rationalisé créé par le Département de la Défense des États-Unis pour soutenir les efforts de conformité et de sécurité de la chaîne d’approvisionnement des contractants de la défense.

Selon le type de données qu’ils gèrent, qui est en partie déterminé par l’agence avec laquelle ils travaillent, les contractants de la défense doivent avoir en place certains types de contrôles de sécurité informatique et de confidentialité, et si pertinent, certains niveaux d’habilitation. Cependant, certains types de données ne nécessitent pas d’habilitation de sécurité spéciale mais remplissent tout de même un rôle essentiel pour le DoD et les agences associées. Voici des exemples de ces types de données :

  • Informations Relatives aux Contrats Fédéraux (FCI) : Ces informations sont créées dans le cadre de la relation de travail entre les fournisseurs contractants et les industries de défense. Bien qu’elles ne soient pas protégées par une habilitation de sécurité, elles sont toujours considérées comme une partie importante des opérations de défense.
  • Information Non Classifiée Contrôlée (CUI) : Les agences de défense utilisent ou créent CUI dans le cadre de leurs opérations. Bien qu’elle ne soit pas non plus classifiée, elle est une partie critique des opérations de défense (plus que le FCI) et est jugée sujette à des contrôles de cybersécurité.

Annoncé et publié en 2019, la version 1.0 du CMMC existe spécifiquement pour certifier les contractants de la défense pour gérer soit le FCI soit le CUI. Avant ces changements, tous les contractants de la défense étaient tenus de s’auto-certifier sous les directives de la Publication Spéciale 800-171 du NIST.

Comment le Transfert Sécurisé de Fichiers Peut-il Devenir Conforme au CMMC ?

De plus, le CMMC sert de pont crucial entre l’ancien modèle d’auto-déclarations et un nouveau exigeant des audits par des tiers. La création de règles a commencé en 2019 et s’est poursuivie en 2020, et la règle intérimaire du Supplément de Règlementation Fédérale d’Acquisition de la Défense (DFARS) 2019-D041 a été mise en œuvre pour commencer à inclure les exigences dans toutes les demandes de propositions de la défense.

En novembre 2021, le DoD a annoncé une nouvelle révision du CMMC, la version 2.0. Bien que le CMMC 2.0 soit attendu pour entrer en vigueur dans l’année ou deux prochaines années, le CMMC 1.0 reste la réglementation de base que les organisations doivent suivre pour la conformité.

Quelle est la portée du cadre CMMC ?

La portée du cadre CMMC couvre la sécurité de toutes les Informations Relatives aux Contrats Fédéraux (FCI) et de l’Information Non Classifiée Contrôlée (CUI) stockées ou gérées par l’environnement d’un contractant couvert (organisation) et s’applique à toutes les activités menées par l’organisation. Le processus et les procédures traitent de la sécurité de tous les domaines de l’organisation du contractant qui traitent, stockent ou transmettent le FCI et le CUI, y compris leurs réseaux, systèmes, personnel et autres actifs.

CMMI et les Entreprises de Défense

Le Capability Maturity Model Integration (CMMI) est une approche d’amélioration des processus qui fournit aux organisations les éléments essentiels pour une amélioration efficace des processus. Le CMMI aide les organisations à améliorer la performance des processus et à intégrer les processus organisationnels. Il est utilisé dans divers secteurs, y compris l’aérospatiale, la défense, l’ingénierie logicielle, la finance, le gouvernement et la santé. Le CMMI est un cadre qui définit les étapes d’amélioration des processus et évalue la maturité des organisations dans six domaines clés de mise en œuvre des processus : la performance, la gestion de projet, les services, le support, l’intégration des processus et la focalisation sur les processus organisationnels.

La Cybersecurity Maturity Model Certification (CMMC) est une certification créée par le Département de la Défense des États-Unis (DoD) pour mieux protéger les données non classifiées qui sont traitées ou stockées sur les réseaux des sous-traitants et des contractants du DoD. La certification CMMC est requise pour les contrats du DoD et vise à fournir une couche supplémentaire de sécurité pour les données sensibles et les systèmes d’information. La CMMC est conçue pour répondre au besoin de contrôles de sécurité supplémentaires pour les contractants et fournisseurs du DoD qui gèrent des Informations Non Classifiées Contrôlées (CUI).

La principale différence entre le CMMI et la CMMC réside dans l’objectif de chaque certification. Le CMMI est une approche d’amélioration des processus utilisée pour améliorer les processus et la performance organisationnels, tandis que la CMMC est une certification de sécurité destinée à protéger les données non classifiées stockées sur les réseaux des sous-traitants et des contractants du DoD. Le CMMI est une approche d’amélioration des processus et la CMMC est une certification de sécurité.

Les entreprises de défense doivent se conformer à la fois au CMMI et à la CMMC afin d’augmenter la sécurité de leurs systèmes et de s’assurer qu’elles respectent toutes les réglementations pertinentes du DoD. Le CMMI aidera les contractants à mieux gérer et améliorer leurs processus, tandis que la CMMC protégera leurs réseaux et données non classifiées. De plus, la CMMC fournit également une base pour déterminer si un contractant de la défense respecte ses obligations contractuelles. En adhérant à la fois au CMMI et à la CMMC, les entreprises de défense peuvent protéger leurs réseaux, leurs données et leurs systèmes et préserver leur réputation.

Quels sont les niveaux de maturité de la version 1.0 de la CMMC ?

L’un des changements les plus significatifs par rapport aux réglementations précédentes est la mesure de la “maturité” en matière de cybersécurité à travers différents niveaux. Les contractants cherchant à obtenir la certification travailleront vers l’un de ces niveaux. Le niveau de maturité requis est indiqué dans toute demande de proposition de défense et est dicté par les types de données gérées par le fournisseur et les exigences de leur agence cliente.

Sous la version 1.0, la maturité est définie à la fois par les “processus” (les capacités globales de l’organisation) et les “pratiques” (une mesure de l’hygiène cybernétique basée sur le nombre de contrôles mis en œuvre à partir de NIST 800-171).

Les cinq niveaux de maturité de la CMMC 1.0 sont les suivants :

  • Niveau 1 : Au Niveau 1, les fournisseurs doivent avoir une hygiène cybernétique “basique” (17 contrôles au total) et la capacité de les mettre en œuvre selon les besoins. Le Niveau 1 est l’exigence minimale pour qu’un contractant puisse gérer les FCI.
  • Niveau 2 : Au Niveau 2, les fournisseurs doivent avoir une hygiène cybernétique “intermédiaire” (48 contrôles) et la capacité de documenter la mise en œuvre de ces contrôles pour soutenir une mise en œuvre répétée dans le temps.
  • Niveau 3 : Le Niveau 3 exige des fournisseurs qu’ils aient une hygiène cybernétique “bonne” (110 contrôles) et la capacité de gérer leur système de sécurité global (y compris la création de déclarations de mission et d’objectifs, le financement, la formation et la communication avec les parties prenantes concernées). Le Niveau 3 est l’exigence minimale pour qu’un contractant puisse gérer les CUI.
  • Niveau 4 : Les contractants sont censés adopter des postures de cybersécurité avancées. Cela signifie avoir une hygiène cybernétique “proactive” (156 contrôles) orientée vers la lutte contre certaines des tactiques de piratage les plus avancées. De plus, ces organisations devraient être capables de revoir leur infrastructure de sécurité, de collecter des données, de créer des métriques et de mesurer l’efficacité.
  • Niveau 5 : Le plus haut niveau, le Niveau 5 exige une hygiène cybernétique “proactive avancée” orientée vers la détection et l’atténuation des menaces persistantes avancées (171 contrôles). Enfin, les organisations de ce niveau sont censées être capables de standardiser, d’optimiser et de démontrer la capacité de le faire régulièrement tout ce qu’elles ont mis en œuvre.

Qu’est-ce qu’une Organisation Évaluatrice Tiers Certifiée ?

L’autre mise à jour majeure de la CMMC 1.0 est l’exigence d’une évaluation par un tiers via une Organisation Évaluatrice Tiers Certifiée (C3PAO).

Les C3PAO sont des entreprises de sécurité essentielles dans la cybersécurité de la défense qui ont reçu l’accréditation du Corps d’Accréditation CMMC (CMMC-AB) pour fournir des audits des contractants de la défense. Toute organisation familière avec d’autres cadres de sécurité comme FedRAMP  reconnaîtra immédiatement ce processus. La CMMC emprunte une partie de son processus d’audit aux mêmes documents, à savoir NIST 800-53 et FIPS 140-2.

L’un des inconvénients de travailler avec un C3PAO est qu’il ne peut pas également servir de consultant au sein de votre organisation. C’est pourquoi il existe une désignation secondaire dans la réglementation : l’Organisation Fournisseur Enregistrée. Une RPO peut fournir des conseils, des recommandations et des avis aux clients qui se préparent pour leur parcours de conformité. La même entreprise de sécurité ne peut jamais servir à la fois de RPO et de C3PAO pour une seule organisation.

Qu’est-ce que le CMMC 2.0 ?

En novembre 2021, le DoD a révisé les exigences en se basant sur les retours des organisations partenaires et des entreprises en cours de certification C3PAO. Leur objectif avec cette révision était de rationaliser le cadre pour le rendre moins coûteux et moins chronophage pour toutes les parties prenantes, sans sacrifier l’efficacité.

Les changements proposés dans la version 2.0 comprennent les suivants :

  • Réduction des niveaux de maturité de cinq à trois : Sous la version 2.0, le nouveau modèle ne comprendra que trois niveaux de maturité. Le niveau 1 sera toujours le minimum pour gérer les FCI et nécessitera 17 pratiques issues de la NIST 800-171. Le niveau 2 sera le niveau minimum pour gérer les CUI et représente une fusion des deuxième et troisième niveaux originaux avec un total de 110 pratiques requises. Enfin, le niveau 3 comprendra plus de 110 pratiques requises (déterminées par les besoins de l’agence cliente).
  • Exigences limitées pour les C3PAOs : Plutôt que d’exiger un C3PAO pour tous les entrepreneurs, la version 2.0 ne nécessite qu’un audit tiers triennal pour la certification aux niveaux 2 et 3. Les entrepreneurs cherchant à obtenir la certification de niveau 1 (et un nombre limité de ceux cherchant des certifications spécifiques de niveau 2) peuvent opter pour une auto-attestation annuelle.
  • Plan d’action et jalons : Certains autres cadres incluaient l’option pour les entrepreneurs audités de soumettre un POA&M à la fin de leurs audits. Supposons que leur auditeur a déterminé que le contrat n’était pas entièrement conforme mais pourrait l’être dans un délai raisonnable avec des changements relativement simples. Dans ce cas, ils pourraient autoriser l’entrepreneur avec un POA&M complet et contraignant. Le CMMC 1.0 n’autorisait pas cette approche — l’entrepreneur devait être entièrement conforme pour recevoir la certification. Sous la version 2.0, le DoD permettra les POA&Ms sous certaines conditions.

Le modèle CMMC 2.0 est actuellement juste une publication et est en cours de révision et de processus de réglementation. Il devrait terminer ce processus en 9 à 24 mois. En attendant, le CMMC-AB continue d’honorer et d’opérer sous les audits et certifications de la version 1.0.

CMMC 1.0 & CMMC 2.0 — Quels changements ?

Le CMMC (Cybersecurity Maturity Model Certification) 1.0 a été publié en janvier 2020 en réponse à l’augmentation de la sophistication et de la fréquence des cybermenaces. Le cadre fournissait un modèle de certification simple à cinq niveaux qui détaillait les exigences de sécurité minimales que les organisations devaient respecter pour se conformer aux réglementations du Département de la Défense des États-Unis (DoD).

Le CMMC 2.0 a été publié en octobre 2020 et s’appuie sur le cadre original. Il est conçu pour guider et évaluer la maturité du programme de cybersécurité d’une organisation. Il se compose toujours de cinq niveaux, mais inclut désormais des contrôles et des procédures plus rigoureux destinés à garantir que les organisations adoptent une approche adaptative pour protéger leurs données.

Les changements significatifs entre le CMMC 1.0 et le CMMC 2.0 comprennent :

  • Introduction de niveaux plus granulaires (niveaux 1 à 5) de performance que les organisations doivent atteindre au lieu des catégories larges de base, moyen et élevé requises par le CMMC 1.0.
  • Un accent sur les approches proactives de la cybersécurité qui mettent l’accent sur l’adaptabilité et l’amélioration continue au lieu de la conformité statique.
  • Application des mêmes exigences de sécurité pour les entrepreneurs et les sous-traitants, garantissant des normes plus cohérentes dans toute la chaîne d’approvisionnement du DoD.
  • Introduction d’étapes plus spécifiques que les organisations doivent suivre pour répondre pleinement aux exigences de sécurité décrites dans le modèle CMMC. Cela inclut des éléments tels que la surveillance, la réalisation de changements organisationnels et le développement de politiques et de procédures.
  • Incorporation de descriptions plus détaillées pour chaque contrôle ainsi que des attentes sur la manière dont les organisations peuvent les respecter.

Ces descriptions sont conçues pour offrir des conseils sur la mise en œuvre des contrôles de sécurité et ce qui est requis pour la conformité.

Comment aborder la certification CMMC

Il existe cependant quelques bonnes pratiques pour aider le processus de certification :

  • Utiliser le Marketplace : Le site web du CMMC-AB comprend un marché pour les RPO et les C3PAOs (même ceux en cours de certification). Sélectionnez toujours des partenaires potentiels sur ce site, une source réelle, authentifiée et légitime pour des entreprises de sécurité réputées sur ce marché.
  • Travailler avec une technologie conforme : Plus souvent qu’autrement, les entreprises travaillent avec un fournisseur de cloud, un fournisseur de services gérés ou un fournisseur de gestion de fichiers dans le cadre de leurs opérations. Maintenir la conformité exige que les entreprises évaluent leurs fournisseurs et ne travaillent qu’avec ceux qui ont ou peuvent soutenir une technologie certifiée.
  • Travailler avec un RPO : Ne compliquez pas les choses plus que nécessaire. Alors qu’un C3PAO peut aider avec votre audit, un RPO peut vous préparer à cet audit de manière que le C3PAO ne peut pas. Renseignez-vous sur les services de conseil RPO et CMMC lorsque vous commencez vos efforts de conformité.
  • Se préparer pour la version 2.0 : Si vous travaillez déjà sur le CMMC, vous recevrez la certification sous la réglementation et serez intégré dans le CMMC 2.0. Le DoD se prépare déjà pour cette transition, mais entre-temps, il est préférable de savoir maintenant quelles seront vos obligations sous un nouveau cadre.

Certification CMMC pour soutenir la défense de la nation

La certification n’est pas juste un autre obstacle — c’est une partie cruciale de votre travail en tant qu’entrepreneur dans la chaîne d’approvisionnement de la base industrielle de la défense. Votre technologie, vos pratiques, vos collaborateurs et votre fonctionnement doivent être alignés avec ce modèle de sécurité important. Cependant, les récompenses pour la conformité contribuent également à votre entreprise avec une meilleure sécurité, de meilleures ressources et une posture de cybersécurité plus mature dans l’ensemble.

Pour en savoir plus sur Kiteworks, la conformité et le cadre CMMC, lisez notre livre blanc sur la conformité CMMC. Ou, pour en savoir plus sur la manière dont la plateforme Kiteworks soutient vos objectifs commerciaux, contactez l’équipe pour organiser une démo sur mesure.

Retour au glossaire Risque & Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Partagez
Tweetez
Partagez
Get A Demo