Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS

Guide des exigences de conformité CMMC Niveau 2

Accueil Glossaire Guide des exigences de conformité CMMC Niveau 2

La Cybersecurity Maturity Model Certification (CMMC) représente une étape clé et progressive pour les sous-traitants de la défense. Le CMMC Niveau 2 met l’accent sur une hygiène cyber avancée, constituant une progression logique et nécessaire pour passer du Niveau 1 au Niveau 3. En plus de la protection des informations contractuelles fédérales (FCI), le Niveau 2 inclut la protection des informations non classifiées contrôlées (CUI). Par rapport au Niveau 1, les pratiques supplémentaires du Niveau 2 permettent aux fournisseurs du DoD de mieux se défendre contre des cybermenaces plus sophistiquées.

CMMC Level 2 Compliance

Le CMMC Niveau 2 introduit également la notion de maturité des processus. À ce niveau, une organisation doit exécuter et documenter les fonctions clés de cybersécurité. Mettre en place une feuille de route détaillée pour la conformité CMMC Niveau 2 est essentiel pour tout fournisseur du DoD qui échange des CUI au sein de la supply chain du DoD.

Qui doit se conformer au CMMC Niveau 2 ?

Les contractants et sous-traitants qui travaillent ou souhaitent travailler avec le Département de la Défense doivent prouver leur conformité. Si ces entreprises traitent, manipulent ou gèrent des informations critiques pour la sécurité nationale, la conformité CMMC Niveau 2 est requise. Pour l’obtenir, les contractants devront passer une évaluation approfondie de niveau 2 par un tiers indépendant.

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire maintenant

Le CMMC Niveau 2 comprend 110 contrôles issus directement du NIST 800-171. La certification est nécessaire pour ceux qui souhaitent répondre à des appels d’offres du DoD impliquant :

  • Des informations non classifiées contrôlées (CUI)
  • Des informations techniques contrôlées (CTI)
  • Des données soumises à l’ITAR ou à des restrictions à l’export

Introduction au CMMC 2.0 : évolution et objectif

Le CMMC 2.0 marque une évolution majeure de la norme cybersécurité du Département de la Défense pour la base industrielle de défense (DIB). Son objectif principal est de protéger les informations sensibles, en particulier les Federal Contract Information (FCI) et les Controlled Unclassified Information (CUI), contre les cybermenaces.

Les principaux changements par rapport au cadre initial incluent la simplification du modèle de cinq à trois niveaux, l’alignement direct des exigences sur les normes NIST établies (notamment NIST 800-171 pour le Niveau 2), et la possibilité d’auto-évaluation pour certains contrats de Niveau 1 et quelques-uns de Niveau 2.

Ces évolutions font suite aux retours du DIB afin de réduire la complexité et les coûts de conformité, rendant le dispositif plus accessible aux PME tout en renforçant la posture de cybersécurité globale.

Le CMMC 2.0 vise une approche plus collaborative et moins punitive, axée sur la mise en œuvre de bonnes pratiques plutôt que sur l’obtention d’un score de certification, renforçant ainsi la résilience de toute la supply chain de défense.

Comment savoir si je possède des CUI ?

Le terme CUI désigne une grande variété de données sensibles mais non classifiées. Cela peut inclure des informations personnelles identifiables (PII), des informations commerciales confidentielles, des informations médicales protégées (PHI), des données sur les infrastructures critiques et la cybersécurité, ainsi que des informations protégées (CJIS) liées aux forces de l’ordre. L’objectif du CUI est de garantir que, même si les données ne sont pas classifiées, elles restent protégées et doivent suivre un processus spécifique pour assurer leur sécurité et limiter l’accès aux seules personnes habilitées. Le CUI englobe les données nécessitant un haut niveau de sécurité. Il est crucial que toutes les personnes manipulant ces données soient bien formées et sensibilisées à leur protection, afin d’éviter tout accès non autorisé.

Exigences de sécurité CMMC pour les e-mails

La conformité CMMC Niveau 2 implique la mise en place de pratiques d’hygiène cyber intermédiaires, notamment la sécurisation des e-mails pour protéger les CUI. Une passerelle de protection des e-mails (EPG) joue un rôle clé pour sécuriser les communications e-mail contenant des CUI, en rendant le chiffrement transparent pour les utilisateurs. Déployer une solution EPG aide à répondre aux exigences du Niveau 2 grâce à des fonctions avancées telles que le filtrage anti-spam, la protection contre le phishing, la prévention des pertes de données et le chiffrement sécurisé des e-mails. En respectant ces exigences, les organisations protègent leurs informations sensibles, réduisent les cybermenaces et maintiennent leur conformité dans un environnement cyber en constante évolution.

Quel niveau CMMC votre organisation doit-elle atteindre ?

Le niveau CMMC requis dépend principalement du type d’informations traitées dans le cadre de vos contrats DoD. Si vos contrats ne concernent que des Federal Contract Information (FCI), le Niveau 1 suffit généralement.

En revanche, si votre organisation traite, stocke ou transmet des informations non classifiées contrôlées (CUI), vous devrez très probablement satisfaire aux exigences du Niveau 2. Analysez attentivement vos contrats actuels et futurs : la mention de la protection des CUI ou la référence à DFARS 252.204-7012 ou NIST SP 800-171 indique fortement un besoin de Niveau 2. En cas de doute, consultez votre responsable de contrat.

Un schéma décisionnel simple consiste à se demander : 1) Gérons-nous des FCI ? (Si oui, le Niveau 1 est requis). 2) Gérons-nous des CUI ? (Si oui, le Niveau 2 s’impose). Bien identifier le niveau nécessaire est crucial : viser trop haut engendre des coûts inutiles, viser trop bas expose à la non-conformité et à la perte de contrats. Comprendre précisément les exigences du CMMC Niveau 2 liées à la gestion des CUI est fondamental.

Comment atteindre la conformité CMMC Niveau 2 ?

Obtenir la conformité CMMC Niveau 2 nécessite une approche globale de la cybersécurité. Cela implique la mise en place de règles et procédures, l’utilisation de contrôles techniques et la création d’un programme solide de formation et de sensibilisation. Pour les politiques et procédures, le Niveau 2 exige un plan de sécurité du système, une politique de protection des supports, un plan de continuité, une gestion des incidents, la gestion des correctifs et des procédures de gestion des comptes.

Sur le plan technique, les organisations doivent mettre en œuvre des contrôles pour l’authentification, l’étiquetage des supports, la surveillance des systèmes, l’intégrité des systèmes, la protection antivirus et l’audit. Elles doivent également proposer un programme de formation approuvé pour le personnel habilité afin qu’il comprenne parfaitement son rôle dans la protection de l’environnement. Atteindre la conformité Niveau 2 requiert donc une approche équilibrée entre mesures techniques proactives, processus clairs et programme de formation adapté.

Se préparer au CMMC Niveau 2 : la checklist

La préparation à la conformité CMMC Niveau 2 passe par un renforcement méthodique de la posture cybersécurité de votre organisation. Cette checklist peut vous guider :

  1. Se familiariser avec les exigences du CMMC Niveau 2, couvrant les 110 exigences réparties sur 14 domaines.
  2. Réaliser une analyse d’écart pour identifier les points à améliorer.
  3. Élaborer un plan de remédiation pour combler les écarts et mettre en place les contrôles nécessaires.
  4. Allouer les ressources (budget, personnel) pour soutenir vos efforts de conformité.
  5. Former vos équipes sur les exigences CMMC et les bonnes pratiques cybersécurité.
  6. Déployer des politiques, procédures et documentations pour soutenir la démarche de conformité.
  7. Réviser et mettre à jour régulièrement vos pratiques cybersécurité pour maintenir la conformité.
  8. Faire appel à des consultants CMMC ou C3PAO pour bénéficier de conseils et d’un accompagnement à l’évaluation.
  9. Effectuer une auto-évaluation pour mesurer votre niveau de préparation avant l’évaluation officielle.
  10. Planifier votre évaluation CMMC avec un C3PAO accrédité pour valider la conformité.

Exigences de conformité CMMC 2.0 Niveau 2

Les exigences du Niveau 2 du CMMC regroupent 110 contrôles répartis en 15 domaines :

Domaine Nombre de contrôles
1. Contrôle d’accès (AC) 22 contrôles
2. Audit et responsabilité (AU) 9 contrôles
3. Sensibilisation et formation (AT) 3 contrôles
4. Gestion de la configuration (CM) 9 contrôles
5. Identification et authentification (IA) 11 contrôles
6. Réponse aux incidents (IR) 3 contrôles
7. Maintenance (MA) 6 contrôles
8. Protection des supports (MP) 9 contrôles
9. Sécurité du personnel (PS) 2 contrôles
10. Protection physique (PE) 6 contrôles
11. Récupération (RE) 2 contrôles
12. Gestion des risques (RM) 3 contrôles
13. Évaluation de la sécurité (CA) 4 contrôles
14. Protection des systèmes et des communications (SC) 16 contrôles
15. Intégrité des systèmes et des informations (SI) 7 contrôles

Voici la répartition des contrôles dans chacun des 15 domaines :

Contrôle d’accès

Ce domaine est le plus vaste avec 22 contrôles. Les organisations doivent surveiller tous les accès dans l’environnement IT et limiter l’accès aux systèmes et aux données. Les exigences incluent notamment :

  • Appliquer le principe du moindre privilège
  • Autoriser et sécuriser l’accès sans fil via le chiffrement et l’authentification
  • Séparer les fonctions pour éviter les activités irrégulières
  • Surveiller et contrôler l’accès à distance
  • Contrôler et restreindre l’utilisation des appareils mobiles
  • Contrôler la circulation des CUI dans l’organisation et les chiffrer sur les appareils mobiles

Audit et responsabilité

Ce domaine comprend neuf contrôles. Les organisations doivent conserver les journaux d’audit pour les enquêtes de sécurité et garantir la traçabilité des actions des utilisateurs. Elles doivent collecter et analyser les journaux d’audit afin de détecter toute activité non autorisée et réagir rapidement. Pour mettre en œuvre ces contrôles, il convient de :

  • Protéger les systèmes d’audit contre les accès non autorisés
  • Revoir et mettre à jour les événements audités
  • Signaler les défaillances du processus d’audit
  • Générer des rapports pour l’analyse à la demande et fournir des preuves de conformité

Sensibilisation et formation

Ce domaine impose aux entreprises de s’assurer que les managers, administrateurs systèmes et autres utilisateurs connaissent les risques liés à leurs activités. Ils doivent maîtriser les règles de sécurité de l’organisation et les bonnes pratiques pour reconnaître et réagir aux menaces internes et externes.

Gestion de la configuration

Les exigences de gestion de la configuration imposent d’établir et de maintenir des configurations de référence, de contrôler et surveiller les logiciels installés par les utilisateurs et toute modification des systèmes. Les exigences incluent :

  • Mettre sur liste noire les logiciels non autorisés
  • Documenter tous les événements où l’accès a été restreint suite à des modifications des systèmes IT
  • Restreindre, désactiver ou empêcher l’utilisation de programmes, fonctions, protocoles et services non essentiels
  • Appliquer le principe de moindre fonctionnalité en configurant les systèmes pour n’offrir que les fonctions essentielles

Identification et authentification

Ce domaine garantit que seuls les utilisateurs authentifiés accèdent au réseau ou aux systèmes de l’organisation. Il comprend 11 exigences couvrant les procédures et politiques de mots de passe et d’authentification, ainsi que l’identification fiable des utilisateurs. Il s’agit aussi de distinguer clairement les comptes privilégiés et non privilégiés lors de l’accès au réseau.

Réponse aux incidents

Les organisations doivent disposer d’une stratégie de réponse aux incidents permettant de réagir rapidement à tout événement susceptible d’entraîner une violation de données. Elles doivent détecter, analyser et traiter les incidents de sécurité, les signaler aux responsables concernés et tester régulièrement leur plan de réponse aux incidents.

Maintenance

Une maintenance inadéquate peut entraîner la divulgation de CUI et compromettre la confidentialité des informations. Les entreprises doivent effectuer une maintenance régulière en respectant les exigences suivantes :

  • Surveiller de près les personnes et équipes chargées de la maintenance
  • S’assurer que les supports contenant des programmes de diagnostic et de test sont exempts de code malveillant
  • Veiller à ce que les équipements envoyés en maintenance externe ne contiennent pas de données sensibles

Protection des supports

Ce domaine impose de garantir la sécurité des supports système contenant des CUI, qu’ils soient papier ou numériques.

Sécurité du personnel

Ce domaine restreint impose de surveiller les activités des utilisateurs et de garantir la protection de tous les systèmes contenant des CUI lors de mouvements de personnel (départs, mutations).

Protection physique

Ce domaine vise à protéger le matériel, les logiciels, les réseaux et les données contre les dommages ou pertes dus à des événements physiques. Les organisations doivent notamment :

  • Contrôler les dispositifs d’accès physique
  • Limiter l’accès physique aux systèmes et équipements aux seuls utilisateurs autorisés
  • Tenir des journaux d’audit des accès physiques

Récupération

Dans ce domaine, les organisations doivent effectuer et tester régulièrement des sauvegardes de données, et protéger la confidentialité des CUI sauvegardées sur les sites de stockage.

Gestion des risques

Deux exigences portent sur la réalisation et l’analyse régulière des évaluations des risques. Les organisations doivent scanner régulièrement leurs systèmes pour détecter les vulnérabilités, maintenir à jour les équipements et logiciels réseau. Mettre en lumière et renforcer les points faibles améliore la sécurité globale du système.

Évaluation de la sécurité

L’organisation doit surveiller et évaluer ses contrôles de sécurité pour vérifier leur efficacité à protéger les données. Elle doit disposer d’un plan décrivant les limites du système, les relations entre systèmes et les procédures de mise en œuvre et d’actualisation des exigences de sécurité.

Protection des systèmes et des communications

Ce domaine important regroupe 16 contrôles visant à surveiller, contrôler et protéger les informations transmises ou reçues par les systèmes IT. Il inclut notamment :

  • Empêcher le transfert non autorisé d’informations
  • Mettre en œuvre des mécanismes cryptographiques pour éviter toute divulgation non autorisée de CUI
  • Créer des sous-réseaux pour les composants accessibles au public, séparés des réseaux internes
  • Refuser par défaut le trafic réseau

Intégrité des systèmes et des informations

Ce domaine impose d’identifier et de corriger rapidement les failles systèmes et de protéger les actifs critiques contre les codes malveillants. Cela inclut :

  • Surveiller et agir rapidement sur les alertes de sécurité signalant une utilisation non autorisée des systèmes IT
  • Effectuer des analyses périodiques des systèmes IT et scanner les fichiers provenant de sources externes lors de leur téléchargement ou utilisation
  • Mettre à jour les mécanismes de protection contre les codes malveillants dès qu’une nouvelle version est disponible

Coût de la conformité CMMC

Le coût de la conformité CMMC varie selon la taille, la complexité et le niveau de certification visé par l’organisation.

Pour les PME, ce coût peut être conséquent. Les investissements initiaux incluent la mise en place de contrôles de sécurité, le recrutement ou la formation d’équipes cybersécurité, et l’acquisition d’outils adaptés. Il faut aussi prévoir des ressources pour maintenir la conformité : audits réguliers, mises à jour logicielles, formation continue des collaborateurs.

La conformité CMMC Niveau 1, axée sur les pratiques de base, requiert généralement un investissement moindre. Plus l’organisation vise un niveau élevé (Niveau 2 ou 3), plus les coûts augmentent en raison de contrôles avancés, de la documentation et de la surveillance continue.

Il est essentiel de réaliser une analyse de risques et des écarts pour identifier les mesures à mettre en œuvre et estimer les coûts associés. Faire appel à une organisation d’évaluation tierce CMMC (C3PAO) ou à un Registered Provider Organization (RPO) peut faciliter la démarche et garantir une transition plus fluide vers la conformité.

Quand les exigences CMMC 2.0 seront-elles appliquées ?

Le Département de la Défense déploie le CMMC 2.0 progressivement, une fois la procédure réglementaire officielle finalisée.

La version proposée du CMMC 2.0 a été publiée fin 2023, suivie d’une période de consultation publique. La version finale, intégrant les exigences dans le Code of Federal Regulations (CFR), est attendue fin 2024 ou début 2025.

Une fois la règle finalisée, le DoD prévoit d’intégrer progressivement les exigences CMMC dans les appels d’offres sur trois ans. La première phase débutera peu après la publication, exigeant la conformité Niveau 1 ou 2 pour certains contrats traitant des données sensibles. L’application à l’ensemble des contrats concernés est prévue pour le 1er octobre 2026.

Les organisations manipulant des CUI doivent dès à présent se préparer à satisfaire aux exigences du CMMC Niveau 2, car les échéances approchent et la conformité nécessite du temps.

Pour en savoir plus sur le calendrier de la conformité CMMC, consultez notre feuille de route CMMC pour les contractants DoD.

Comment préparer mon organisation à une évaluation CMMC Niveau 2 ?

Le CMMC Niveau 2 (Avancé) impose des évaluations triennales par un tiers pour les contractants DoD qui envoient, partagent, reçoivent et stockent des informations critiques pour la sécurité nationale. Ces évaluations sont réalisées par une organisation d’évaluation tierce CMMC (C3PAO) accréditée par le CMMC Accreditation Body (CMMC-AB) pour évaluer les contractants et sous-traitants souhaitant prouver leur conformité au standard CMMC.

Pour garantir le succès du processus, il est essentiel d’être bien préparé. Voici les étapes à suivre :

  • Comprendre le cadre et les exigences de l’évaluation, y compris les normes, critères et objectifs
  • Avoir à disposition des documents et preuves de conformité à jour
  • Planifier l’évaluation en prévoyant le temps et les ressources nécessaires
  • Mobiliser le personnel pour faciliter l’évaluation, organiser la session dans un lieu adapté et disposer du matériel requis
  • Former tous les acteurs concernés grâce à des sessions de formation approfondies

Atteindre la conformité CMMC Niveau 2

Obtenir la conformité CMMC Niveau 2 implique la mise en œuvre de pratiques d’hygiène cyber intermédiaires pour protéger les informations non classifiées contrôlées (CUI) et les informations contractuelles fédérales (FCI). Les organisations doivent satisfaire aux 110 exigences réparties sur 14 domaines. Les étapes clés incluent une analyse d’écart approfondie, l’élaboration d’un plan de remédiation, la mise en œuvre des contrôles de sécurité requis et la formation du personnel. Faire appel à des consultants CMMC ou à des C3PAO facilite la démarche, garantit une bonne application et permet de valider la conformité, renforçant ainsi la posture cybersécurité de l’organisation.

Qui est responsable des évaluations CMMC complètes ?

Les organisations d’évaluation tierces CMMC (C3PAO) sont responsables de la réalisation des évaluations complètes. Accréditées par le CMMC Accreditation Body (CMMC-AB), elles regroupent des évaluateurs certifiés qui analysent les pratiques et contrôles de cybersécurité d’une organisation selon le référentiel CMMC. Les C3PAO vérifient de manière impartiale la conformité de l’organisation au niveau requis, garantissant la protection des informations sensibles et le maintien des contrats au sein de la supply chain du DoD.

Critères d’auto-évaluation et systèmes de notation CMMC 2.0

Le CMMC 2.0, version actualisée du référentiel, simplifie la conformité en autorisant l’auto-évaluation. Les critères évaluent l’application des pratiques et contrôles essentiels de cybersécurité. Selon le degré de mise en œuvre, les systèmes de notation fournissent une mesure quantitative de la maturité cybersécurité. Un score élevé reflète une meilleure posture. Grâce à des modèles et outils d’auto-évaluation, les organisations identifient les axes d’amélioration, élaborent un plan de remédiation et suivent leur progression vers le niveau de conformité CMMC 2.0 souhaité.

Quel est le rôle d’un C3PAO dans la conformité CMMC 2.0 Niveau 2 ?

Le C3PAO est essentiel pour atteindre la conformité CMMC 2.0 Niveau 2. Les évaluateurs C3PAO analysent les politiques, processus et contrôles de l’organisation au regard des exigences CMMC. Ils examinent la documentation de sécurité, mènent des entretiens et effectuent des inspections sur site des systèmes et de la sécurité physique. Après évaluation, le C3PAO remet un rapport à l’organe d’accréditation CMMC pour examen, évaluation et certification.

Auto-évaluation vs évaluation tierce : exigences et différences

Dans le cadre du CMMC 2.0, le type d’évaluation requis pour le Niveau 2 dépend de la sensibilité des CUI concernées par le contrat DoD. Certains programmes de Niveau 2, sans informations critiques pour la sécurité nationale, peuvent autoriser une auto-évaluation annuelle accompagnée d’une attestation de la direction soumise au Supplier Performance Risk System (SPRS) du DoD.

Pour les auto-évaluations, les organisations utilisent la méthodologie d’évaluation DoD NIST 800-171, documentant leur niveau de mise en œuvre pour chacun des 110 contrôles. Toutefois, la majorité des contrats nécessitant la conformité CMMC Niveau 2, notamment ceux traitant des CUI sensibles, exigent une évaluation triennale par un C3PAO accrédité (C3PAO).

L’évaluation C3PAO est un processus de vérification plus rigoureux, débouchant sur une certification formelle CMMC Niveau 2 en cas de succès. Les deux approches requièrent un System Security Plan (SSP). Les organisations en auto-évaluation peuvent utiliser un Plan of Action and Milestones (POA&M) pour les contrôles non mis en œuvre (avec restrictions de score), tandis que les évaluations C3PAO exigent généralement la mise en œuvre complète de tous les contrôles lors de l’évaluation, avec une utilisation limitée du POA&M dans des cas spécifiques précisés par la règle finale. Dans tous les cas, une documentation et une collecte de preuves approfondies sont nécessaires.

Si vous visez la conformité CMMC Niveau 2, consultez notre Guide d’évaluation CMMC Niveau 2.

Kiteworks accélère la conformité CMMC 2.0 pour les fournisseurs DoD

Le Réseau de données privé Kiteworks est FedRAMP Authorized pour le niveau d’impact modéré. Grâce à cette certification, Kiteworks répond à près de 90 % des exigences CMMC 2.0 Niveau 2 dès l’installation. Les fournisseurs technologiques non certifiés FedRAMP ne peuvent atteindre ce niveau de conformité. Kiteworks accélère ainsi la mise en conformité des fournisseurs DoD au CMMC Niveau 2. En adoptant une approche zero-trust définie par le contenu, Kiteworks protège les communications sensibles de CUI et FCI sur de nombreux canaux : e-mail, partage sécurisé de fichiers, transfert sécurisé de fichiers, formulaires web et API.

Planifiez une démonstration personnalisée pour découvrir comment le Réseau de données privé Kiteworks permet aux contractants et sous-traitants DoD de simplifier et d’accélérer leur processus de certification CMMC.

Retour au glossaire Risques & Conformité

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO
Partagez
Tweetez
Partagez
Explore Kiteworks