Kiteworks prend en charge près de
90 % des exigences pratiques du niveau 2 de la norme CMMC 2.0
dès la sortie de la boîte

Les entrepreneurs et sous-traitants de la Base industrielle de la Défense doivent démontrer leur conformité à la norme CMMC s’ils souhaitent continuer à travailler avec le Département de la Défense. Point final. Mais la CMMC n’est pas simplement une initiative de « cocher les cases » de conformité. Les entrepreneurs tirent de nombreux avantages de la conformité à la norme CMMC. La conformité à la norme CMMC démontre un engagement envers la sécurité des données, établit la confiance et la crédibilité, protège les informations non classifiées contrôlées (CUI) et réduit les risques de violation de données et de cyberattaques.

Kiteworks est spécialement qualifié pour aider les organisations de la Base industrielle de la Défense à atteindre la conformité à la norme CMMC et à sécuriser leurs activités avec le Département de la Défense. En tant que solution de partage sécurisé de fichiers autorisée selon le modèle FedRAMP Moderate, le Kiteworks Private Content Network offre des capacités et des fonctionnalités de sécurité et de gouvernance avancées qui sont conformes aux pratiques et aux contrôles de la norme CMMC. Cela comprend des contrôles d’accès granulaires, le chiffrement au repos et en transit, ainsi qu’une visibilité sur l’ensemble des activités liées aux fichiers. De plus, Kiteworks propose des capacités avancées de reporting et d’audit, ce qui facilite le suivi et la démonstration de la conformité à la norme CMMC ainsi qu’à d’autres réglementations et normes de confidentialité des données.


Questions fréquemment posées

La norme CMMC 2.0 est une mise à jour du modèle de certification de maturité en matière de cybersécurité (CMMC) qui a été initialement publié en janvier 2021. Il s’agit de la méthode du Département de la Défense (DoD) pour exiger des organisations de la chaîne d’approvisionnement du DoD qu’elles protègent les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI) au niveau approprié déterminé (il y a trois niveaux dans le CMMC 2.0). Le CMMC 2.0 restructure les niveaux de maturité du CMMC en éliminant deux des cinq notations d’origine, en améliorant les protocoles d’évaluation qui réduisent les coûts pour les entrepreneurs, et en introduisant un chemin vers la certification plus flexible grâce aux Plans d’Action et aux Jalons (POA&Ms).

La conformité aux normes du NIST est imposée en tant qu’exigences contractuelles grâce à l’inclusion de clauses telles que FAR 52.204-21 et DFARS 252.204-7012. Les exigences du CMMC entraînent une auto-évaluation de l’entrepreneur ou une évaluation par un tiers par une organisation d’évaluation tierce du CMMC (C3PAO) afin de déterminer si la norme NIST applicable (telle qu’identifiée par la clause DFARS) a été respectée. Dans le cadre du CMMC 2.0, une évaluation de niveau 2 sera réalisée conformément à la norme NIST SP 800-171 et une évaluation de niveau 3 sera basée sur un sous-ensemble des exigences de la norme NIST SP 800-172.

Un C3PAO du CMMC (CMMC Third Party Assessor Organization) est une organisation d’évaluation tierce du CMMC autorisée et certifiée par l’organisme d’accréditation du CMMC (CMMC-AB) pour réaliser des évaluations des entrepreneurs et sous-traitants cherchant à obtenir la certification démontrant leur conformité à la norme CMMC. Les C3PAO sont chargés d’évaluer et de certifier que les entreprises de la chaîne d’approvisionnement de la base industrielle de la défense (DIB) ont respecté les exigences de cybersécurité de la norme CMMC. Leur responsabilité inclut l’évaluation et la délivrance de

certificats de conformité à la norme CMMC. Le C3PAO doit examiner et certifier les rapports d’audit et d’auto-évaluation de l’entrepreneur ou du sous-traitant, en se basant sur le modèle de maturité en matière de cybersécurité du DoD. Le C3PAO doit également être en mesure de recommander et de mettre en œuvre des actions correctives si nécessaire.

La norme CMMC 2.0 s’applique à tous les tiers de la chaîne d’approvisionnement de la défense, y compris les entrepreneurs, les fournisseurs et tous les autres tiers contractés liés au soutien du département de la défense (DoD). Toutes les organisations civiles qui font affaire avec le DoD doivent se conformer à la norme CMMC 2.0, en fonction du type d’informations non classifiées contrôlées (CUI) et d’informations contractuelles fédérales (FCI) qu’elles manipulent et échangent. La liste des entités comprend :

  • Les entrepreneurs principaux du DoD
  • Les sous-traitants du DoD
  • Les fournisseurs à tous les niveaux dans la DIB
  • Les fournisseurs de petites entreprises du DoD
  • Les fournisseurs commerciaux qui traitent, manipulent ou stockent des CUI
  • Les fournisseurs étrangers
  • Les membres de l’équipe des entrepreneurs du DoD qui manipulent des CUI, tels que les fournisseurs de services gérés informatiques (IT)

Selon Kiteworks, travailler avec une organisation d’évaluation tierce du CMMC (C3PAO) présente plusieurs avantages pour les organisations souhaitant obtenir la certification selon la norme CMMC 2.0 :

  • Expertise : Un évaluateur tiers certifié possède une vaste expérience dans l’évaluation des programmes de cybersécurité dans plusieurs industries et peut fournir des informations précieuses sur les meilleures pratiques pour atteindre la conformité aux normes CMMC 2.0.
  • Objectivité : Un évaluateur tiers indépendant fournit des commentaires impartiaux sur la posture de sécurité d’une organisation, ce qui peut aider à identifier les domaines nécessitant des améliorations.
  • Économies de coûts : Travailler avec un évaluateur tiers certifié peut permettre de gagner du temps et de l’argent par rapport à l’embauche de personnel interne ou de consultants qui n’ont peut-être

    pas l’expertise nécessaire dans l’évaluation des programmes de cybersécurité.

  • Efficacité : Un évaluateur tiers certifié peut rapidement identifier les lacunes dans la posture de sécurité d’une organisation, ce qui permet de réduire le temps consacré à la préparation de la certification.
  • Sérénité d’esprit : Le fait de faire examiner le programme de cybersécurité d’un fournisseur du DoD par un évaluateur tiers indépendant procure une tranquillité d’esprit, en garantissant que toutes les mesures nécessaires ont été prises pour atteindre la conformité aux normes CMMC 2.0.

 

 

Government contractors, subcontractors, and systems integrators trust Kiteworks to unify, control, track, and secure sensitive documents in compliance with CMMC 2.0

 

Prenez le contrôle de vos informations sensibles