Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS

Qu'est-ce que le CMMC CUI ?

Accueil Glossaire CMMC CUI et ce que cela signifie

Les informations non classifiées contrôlées (CUI) dans le cadre du CMMC sont des informations que le gouvernement estime devoir protéger ou dont la diffusion doit être contrôlée. Elles ne bénéficient pas de la protection juridique des informations classifiées, mais sont soumises à des réglementations et exigences concernant leur protection, leur contrôle et leur utilisation. Elles englobent des informations qui ne relèvent pas du renseignement, de l’application de la loi ou de la sécurité nationale, et sont généralement identifiées par des balises, des marquages ou des mentions. Le CUI constitue l’un des deux principaux types d’informations que le CMMC vise à protéger. L’autre est l’information contractuelle fédérale (FCI).

Zero Trust Data Exchange

Qu’est-ce que le CMMC ?

Le Cybersecurity Maturity Model Certification, ou CMMC, est un programme de certification lancé par le Department of Defense (DoD) pour garantir la sécurité de la supply chain et des données du DoD. Le cadre a été remanié en 2021, passant de cinq à trois niveaux. Ce nouveau cadre, appelé CMMC 2.0, mesure et valide la mise en œuvre de pratiques de sécurité allant de l’hygiène de base en cybersécurité à la gestion avancée des menaces. Il inclut également des mesures telles que l’évaluation de la performance organisationnelle et des fonctions.

Le CUI doit être protégé par la loi ou une politique nationale. Il comprend des données gouvernementales et commerciales sensibles mais non classifiées. Le CUI englobe toute information soumise à une divulgation ou une diffusion restreinte, soit parce qu’elle est sensible, soit parce qu’elle est réglementée d’une autre manière. Il s’agit de toute information devant être protégée pour éviter toute divulgation non autorisée. L’un des objectifs majeurs du CMMC est de protéger le DoD contre les cyberattaques visant sa vaste supply chain.

Qui a besoin de la certification CMMC ?

Les organisations du Defense Industrial Base (DIB) qui traitent des Federal Contract Information (FCI) ou des Controlled Unclassified Information (CUI) doivent obtenir la Cybersecurity Maturity Model Certification (CMMC) au niveau spécifié dans leurs contrats DoD. Cela concerne les contractants principaux titulaires de contrats directs avec le DoD, ainsi que les sous-traitants et fournisseurs à tous les niveaux qui fournissent des biens ou services aux contractants principaux.

L’exigence s’étend à divers acteurs, y compris les éditeurs de logiciels, les fournisseurs de services cloud et les partenaires de conseil soutenant des contrats DoD. Concrètement, si votre organisation crée, traite, transmet ou stocke des FCI ou des CUI dans le cadre de ses activités pour le DoD, la certification CMMC est indispensable.

Il existe trois niveaux CMMC 2.0 et le niveau requis dépend du type d’informations traitées : CMMC Niveau 1 s’applique aux contractants ne traitant que des FCI et impose la mise en œuvre des pratiques de protection de base définies dans le FAR 52.204-21. CMMC Niveau 2 est requis pour les organisations traitant des CUI, imposant la conformité aux 110 contrôles de sécurité spécifiés dans le NIST SP 800-171 Rev 2, conformément à la clause DFARS 252.204-7012. CMMC Niveau 3 concerne les organisations traitant des CUI liées à des programmes critiques ou à des actifs stratégiques, nécessitant des contrôles renforcés issus du NIST 800-172 pour contrer les menaces persistantes avancées (APT).

Les contractants principaux doivent veiller à ce que leurs sous-traitants atteignent le niveau CMMC approprié en fonction des informations qui leur sont transmises, comme l’exige la clause DFARS 252.204-7021. Les fournisseurs internationaux du DIB sont également soumis aux exigences CMMC s’ils manipulent des FCI ou des CUI.

Par exemple, un petit fabricant fournissant des pièces à un contractant principal et ne traitant que des informations contractuelles de base (FCI) devra obtenir le Niveau 1, tandis qu’un éditeur de logiciels dont le produit traite des spécifications techniques sensibles (CUI) pour un système de défense devra probablement obtenir le Niveau 2, voire le Niveau 3 selon la criticité du programme. Comprendre la relation entre les exigences CUI et CMMC est essentiel pour rester éligible aux contrats.

Types d’informations non classifiées contrôlées (CUI)

Il existe différents types de CUI, répartis en deux catégories :

  • CUI de base : Ce type de CUI requiert des mesures de protection de base pour éviter toute divulgation non autorisée. Exemples : informations sur des contrats gouvernementaux, informations sensibles mais non classifiées, ou informations soumises à la conformité réglementaire (y compris les lois et normes sur la protection des données personnelles : RGPD, HIPAA, PCI DSS, NIST CSF, CCPA, etc.) ou à des décrets exécutifs.
  • CUI spécifié : Ce type de CUI exige des mesures de protection supplémentaires pour éviter toute divulgation non autorisée. Il peut s’agir d’informations liées à la sécurité nationale, à l’application de la loi ou à toute autre information nécessitant une protection en vertu de lois ou réglementations spécifiques.

Quelques exemples concrets de CUI :

  • Informations personnelles identifiables et informations médicales protégées : Les informations telles que noms, adresses, numéros de sécurité sociale, ainsi que les données de santé (résultats de laboratoire, antécédents médicaux, notes de médecins) constituent des informations personnelles identifiables (PII)/informations médicales protégées (PHI) et sont régulées par le RGPD, PCI DSS et bien d’autres pour les PII, ainsi que par HIPAA et HITECH pour les PHI.
  • Données soumises au contrôle des exportations ou au commerce international : Données relatives aux exportations, importations et échanges internationaux.
  • Propriété intellectuelle : Brevets, droits d’auteur et marques déposées.
  • Informations sensibles liées aux contractants : Informations relatives aux contrats, sous-traitances et appels d’offres.
  • Informations commerciales propriétaires (PBI), également appelées informations commerciales confidentielles (CBI).
  • Informations techniques contrôlées non classifiées (UCTI) : Informations contenant des données militaires sensibles non classifiées mais nécessitant une protection. Exemples : plans opérationnels, technologies en développement, équipements essentiels à la mission, méthodes de surveillance et autres informations sensibles.
  • Sensibles mais non classifiées (SBU) : Informations non classifiées mais considérées comme sensibles et nécessitant un traitement particulier. Cela peut inclure des données personnelles protégées, des informations commerciales et des données gouvernementales nécessitant une sécurité et une protection contre tout accès non autorisé.

Quand la conformité CMMC est-elle obligatoire ?

Le Department of Defense (DoD) met en œuvre le CMMC 2.0 selon une approche progressive. La règle finale du programme CMMC (32 CFR Part 170) a été publiée le 15 octobre 2024 et est entrée en vigueur le 16 décembre 2024.

Cependant, l’intégration des exigences CMMC dans les contrats DoD dépend de la finalisation de la règle DFARS associée (48 CFR, DFARS Case 2019-D041), qui intègre le CMMC dans la réglementation des acquisitions. Cette règle devrait être finalisée vers le deuxième ou le troisième trimestre 2025. Une fois la règle 48 CFR finalisée, le DoD commencera à intégrer les exigences CMMC dans les nouveaux appels d’offres et contrats selon le calendrier progressif suivant :

  1. Phase 1 (Dès ~T2/T3 2025) : Le DoD commencera à inclure les exigences d’auto-évaluation CMMC Niveau 1 et Niveau 2 dans les appels d’offres concernés.
  2. Phase 2 (Dès ~T2/T3 2026) : Le DoD commencera à exiger l’évaluation de certification CMMC Niveau 2 (réalisée par un C3PAO) dans les appels d’offres concernés.
  3. Phase 3 (Dès ~T2/T3 2027) : Les exigences de certification CMMC Niveau 2 deviendront une condition pour l’exercice des options sur les contrats concernés. Les évaluations CMMC Niveau 3 (réalisées par le DIBCAC) devraient également apparaître à ce stade ou ultérieurement.
  4. Phase 4 (Déploiement complet, prévu entre le 1er octobre 2026 et 2028) : Tous les nouveaux appels d’offres et contrats DoD impliquant des FCI ou des CUI devraient inclure les exigences CMMC appropriées.

Bien que l’intégration officielle dans les contrats débute avec la finalisation de la proposition de règle 48 CFR CMMC, un « déploiement sur le marché » a déjà commencé, avec des évaluations CMMC disponibles dès le premier trimestre 2025.

Les contractants principaux exigent de plus en plus que leurs sous-traitants prouvent leur conformité dès maintenant pour anticiper. Les organisations traitant des CUI doivent déjà être conformes au NIST 800-171 via la clause DFARS 252.204-7012 et déclarer leurs scores d’auto-évaluation dans le SPRS conformément aux clauses DFARS 252.204-7019/7020.

Étant donné que l’obtention de la conformité peut prendre de 6 à 18 mois, il est conseillé de ne pas attendre pour se préparer. Les étapes préparatoires incluent une analyse des écarts par rapport au niveau CMMC requis, l’élaboration d’un System Security Plan (SSP), la création de Plans of Action & Milestones (POA&M) pour les écarts identifiés, et la soumission précise des scores SPRS. Comprendre le calendrier CUI CMMC est crucial pour garantir la continuité des activités avec le DoD.

Exigences de gestion des informations non classifiées contrôlées (CUI)

Le traitement du CUI impose des mesures spécifiques pour garantir sa protection, notamment :

  • Contrôles d’accès : L’accès au CUI doit être protégé par des contrôles d’accès robustes, limitant l’accès aux personnes disposant de l’habilitation appropriée et d’un besoin d’en connaître.
  • Stockage : Le CUI doit être stocké dans un lieu sécurisé et protégé par des mesures de sécurité physiques ou électroniques.
  • Diffusion : Le CUI ne doit être diffusé qu’aux personnes disposant de l’habilitation appropriée et d’un besoin d’en connaître.
  • Destruction : Le CUI doit être détruit lorsqu’il n’est plus nécessaire ou lorsque la loi ou la réglementation l’exige.

Pourquoi est-il important de protéger les informations non classifiées contrôlées (CUI) ?

La protection du CUI est essentielle pour plusieurs raisons :

  • Sécurité nationale : Une divulgation non autorisée du CUI peut porter gravement atteinte à la sécurité nationale.
  • Vie privée : Une divulgation non autorisée de données personnelles peut porter atteinte à la vie privée des individus et entraîner des usurpations d’identité.
  • Intérêts économiques : Une divulgation non autorisée d’informations commerciales propriétaires peut nuire de façon significative aux intérêts économiques d’une entreprise.

Protection du CMMC CUI : CMMC 2.0 Niveaux 1, 2 et 3

Le CMMC définit des standards et bonnes pratiques pour la protection du CUI. Il est utilisé par le Department of Defense (DoD) des États-Unis et d’autres agences gouvernementales pour s’assurer que les contractants prennent la protection du CUI au sérieux. Le CMMC 2.0 comporte trois niveaux d’évaluation pour les organisations souhaitant être certifiées pour la gestion du CUI :

  • CMMC Niveau 1 : Fondamentaux. Ce niveau exige la mise en place de mesures de cybersécurité de base, telles que la gestion des identités, le contrôle d’accès et la protection des données.
  • CMMC Niveau 2 : Avancé. Ce niveau inclut des mesures de sécurité plus avancées, comme l’authentification des systèmes et le chiffrement.
  • CMMC Niveau 3 : Expert. Ce niveau comprend les mesures de sécurité les plus avancées, telles que la surveillance continue et des plans de réponse aux incidents de sécurité.

CMMC Niveau 1 : Mesures fondamentales pour les FCI

  1. Périmètre : S’applique aux contractants qui traitent, stockent ou transmettent des Federal Contract Information (FCI), mais pas de CUI.
  2. Exigences : Implique la mise en œuvre des 15 exigences de protection de base définies dans le FAR 52.204-21 (parfois appelées 17 pratiques dans la documentation CMMC, mais alignées sur les 15 contrôles FAR). Ces exigences correspondent à une hygiène cyber de base.
  3. Exemples de pratiques (alignées sur le FAR 52.204-21) : Limitation de l’accès aux systèmes d’information aux utilisateurs autorisés, authentification des utilisateurs avant l’accès, protection contre les codes malveillants (ex : antivirus), mises à jour régulières des systèmes, contrôle de l’accès physique aux systèmes, et nettoyage des supports avant leur élimination ou réutilisation.
  4. Type d’évaluation : Nécessite une auto-évaluation annuelle réalisée par le contractant.
  5. Attestation : Un cadre dirigeant de l’entreprise doit attester annuellement la conformité via le Supplier Performance Risk System (SPRS).
  6. Parties concernées : Organisations du DIB, y compris les petites entreprises, sous-traitants et fournisseurs, qui ne gèrent que des FCI dans le cadre de leurs contrats DoD. Ce niveau s’applique à la quasi-totalité des contrats DoD hors COTS.

CMMC Niveau 2 : Sécurité avancée pour le CUI

CMMC Niveau 2 s’adresse aux organisations qui traitent des Controlled Unclassified Information (CUI) et élève considérablement les exigences en matière de cybersécurité par rapport au Niveau 1.

Ce niveau impose la mise en œuvre de l’ensemble des 110 contrôles de sécurité spécifiés dans le NIST 800-171 Révision 2, exigés depuis 2017 pour les contractants traitant des CUI selon la clause DFARS 252.204-7012.

L’objectif principal du Niveau 2 est d’assurer une protection robuste du CUI contre des cybermenaces plus sophistiquées. Selon les exigences du contrat et la sensibilité du CUI, les organisations visant la conformité Niveau 2 devront passer soit une évaluation triennale par un organisme tiers accrédité (C3PAO), soit, pour certains contrats impliquant des CUI moins sensibles, une évaluation triennale COPPA. Quel que soit le type d’évaluation, une attestation annuelle de conformité par un cadre dirigeant via le SPRS est requise.

La protection efficace du CUI s’appuie sur les étapes prévues par les 110 contrôles du NIST SP 800-171. Les étapes clés incluent la mise en place de contrôles d’accès stricts (limitation des accès au CUI), la mise en œuvre de l’authentification multifactorielle (MFA), le chiffrement du CUI au repos et en transit, l’élaboration de plans de réponse aux incidents, la formation régulière à la sécurité, la surveillance continue et la gestion des vulnérabilités, ainsi que le maintien de configurations systèmes sécurisées.

Obtenir le Niveau 2 démontre un engagement fort pour la protection des informations sensibles de défense dans le cadre du CUI CMMC.

CMMC Niveau 3 : Contrôles experts pour une protection maximale

CMMC Niveau 3 représente le niveau le plus élevé de maturité en cybersécurité dans le cadre CMMC 2.0, destiné aux organisations traitant des CUI associées aux programmes et technologies les plus critiques du DoD.

Ce niveau s’appuie sur les 110 contrôles du Niveau 2 (NIST SP 800-171) et intègre un sous-ensemble d’exigences de sécurité renforcées du NIST 800-172. Ces contrôles supplémentaires visent à renforcer la protection contre les menaces persistantes avancées (APT) et les acteurs étatiques sophistiqués grâce à des capacités de cyberdéfense proactives.

Les axes clés incluent une réponse aux incidents renforcée (pouvant nécessiter un Security Operations Center ou SOC), la chasse avancée aux menaces, la gestion des risques supply chain et la conception de systèmes résilients face aux cyberattaques.

Contrairement aux Niveaux 1 et 2, les évaluations du Niveau 3 ne sont pas réalisées par des C3PAO ni par auto-évaluation ; elles sont menées par le personnel gouvernemental du Defense Contract Management Agency (DCMA), via le Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), tous les trois ans.

Obtenir le Niveau 3 nécessite des investissements conséquents en ressources, technologies et personnel. Les organisations visant ce niveau doivent planifier soigneusement leurs ressources et intégrer ces contrôles avancés à leurs cadres de sécurité existants, tels que ISO 27001 ou d’autres référentiels NIST. On estime qu’une faible proportion des contractants du DIB (moins de 1 %) auront besoin de la certification Niveau 3, en particulier ceux impliqués dans des programmes critiques ou manipulant des données CUI CMMC particulièrement sensibles.

Comment savoir si j’ai du CUI dans mon environnement ?

Le CUI peut se trouver dans de nombreux endroits : bases de données, réseaux, sites web, documents. Pour l’identifier, il est essentiel de savoir où les données sont stockées et qui y a accès. Les sources courantes de CUI incluent les listes de clients, les dossiers financiers et les plans d’affaires. Le CUI peut également être présent dans les e-mails, SMS et autres communications.

Quel type de CUI ai-je ?

Une fois le CUI identifié dans votre environnement, il est important de déterminer son type. Le CUI se divise en plusieurs catégories : informations personnelles identifiables, informations médicales protégées, données soumises au contrôle des exportations, propriété intellectuelle, informations sensibles liées aux contractants et informations sensibles de sécurité nationale non classifiées. Chaque catégorie de CUI requiert des protections spécifiques.

 

Comment protéger le CUI et répondre aux exigences de conformité ?

Le CUI peut contenir des informations confidentielles, sensibles et/ou propriétaires—des données à protéger à tout prix. Comme indiqué plus haut, il est crucial de protéger le CUI et de respecter les exigences de conformité, sous peine de pertes financières et, pire encore, de perte de confiance de la part des clients, fournisseurs et collaborateurs.

La première étape pour protéger le CUI et répondre aux exigences de conformité consiste à identifier les lois et réglementations applicables aux données de votre organisation. Il est important de bien comprendre ces normes, ainsi que les risques et vulnérabilités propres à votre secteur. Une fois les normes applicables identifiées, les organisations doivent mettre en place des mesures appropriées pour protéger le CUI. Ce processus doit inclure des mesures de sécurité techniques, physiques et administratives, telles que le chiffrement, la protection contre les logiciels malveillants, la sauvegarde sécurisée et la protection par mot de passe. Des règles d’accès doivent également être définies pour contrôler qui peut accéder et modifier le CUI, ainsi que pour mettre en place des processus de traçabilité, d’enregistrement et de reporting sur le CUI.

Les organisations doivent également disposer d’un système de gestion des incidents et des vulnérabilités pour traiter rapidement tout problème de sécurité ou exposition du CUI. Les plans de réponse aux incidents doivent inclure des procédures de réaction, de collecte et d’analyse des preuves, et de limitation des impacts. Des audits et tests de sécurité réguliers doivent aussi être réalisés pour valider l’efficacité des mesures en place et identifier les axes d’amélioration.

En prenant les mesures nécessaires pour protéger le CUI et respecter la conformité, les organisations garantissent la sécurité de leurs données et la continuité de leurs opérations dans le respect des lois applicables. Cela est fondamental pour la réputation de l’organisation et la sécurité de ses informations.

Parmi les mesures supplémentaires à mettre en œuvre pour garantir la protection du CUI :

  • Mise en place de mesures de cybersécurité robustes, telles que la gestion des identités et des accès (IAM), le chiffrement des e-mails et l’authentification multifactorielle (MFA).
  • Élaboration de protocoles de gestion du CUI, notamment la limitation de l’accès aux personnes autorisées et la surveillance des accès via l’analyse des journaux d’audit.
  • Formation de tout le personnel ayant accès au CUI aux procédures de protection du CUI, grâce à une sensibilisation à la sécurité adaptée.

Le Réseau de données privé Kiteworks, clé de la protection du CUI

Chaque jour, les organisations doivent relever des défis croissants pour protéger des données sensibles telles que le CUI contre les tiers malveillants, les cyberattaques et les violations de données. Pour garantir la sécurité de ces données sensibles, Kiteworks propose un Réseau de données privé (PDN) qui unifie, trace, contrôle et sécurise les communications de contenu sensible avec une gouvernance de sécurité et de conformité optimale. Grâce à Kiteworks, les organisations protègent des informations sensibles comme le CUI sur tous les canaux de communication via des contrôles centralisés, une application automatisée et une visibilité totale—sans sacrifier l’efficacité opérationnelle.

Kiteworks utilise une appliance virtuelle durcie pour protéger les communications de contenu sensible contre les cybercriminels et les États malveillants. L’utilisation de couches de sécurité intégrant un double chiffrement AES 256 au niveau des fichiers et des volumes rend l’accès à tout contenu extrêmement difficile lors d’une cyberattaque. Grâce à ce niveau de sécurité, la vulnérabilité et la gravité des impacts sont fortement réduites.

Kiteworks unifie les échanges de fichiers et d’e-mails dans une plateforme unique offrant une traçabilité et des contrôles consolidés pour gérer l’envoi, le partage, la réception, la collaboration et le stockage des contenus. Avec la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, les formulaires web sécurisés et le SFTP réunis sur une même plateforme, les organisations améliorent considérablement leur conformité opérationnelle, leur efficacité et leur sécurité.

Le chiffrement des données est un élément clé du PDN Kiteworks. Il protège les données sensibles en les codant afin que seules les personnes autorisées puissent y accéder. De plus, ni Kiteworks ni les fournisseurs cloud n’ont accès à la gestion de vos clés et au chiffrement. Les clients Kiteworks conservent la pleine propriété et l’accès à leurs clés de chiffrement. Les agences gouvernementales, avocats et tribunaux ne peuvent pas accéder à vos contenus sensibles dans Kiteworks par voie légale.

Planifiez une démonstration personnalisée pour découvrir comment protéger le CUI selon le CMMC Niveau 2 avec Kiteworks—qui répond à près de 90 % des exigences du CMMC Niveau 2 dès l’installation

Retour au glossaire Risques & Conformité

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO
Partagez
Tweetez
Partagez
Explore Kiteworks