Accélérez votre parcours de conformité CMMC 2.0
Les entrepreneurs et sous-traitants du DIB doivent démontrer leur conformité au CMMC s’ils souhaitent continuer à travailler avec le département de la Défense des États-Unis. Bien que la conformité au CMMC soit plus facile à dire qu’à faire, il y a de bonnes nouvelles. Si le coût de la conformité au CMMC peut sembler décourageant, les répercussions de la non-conformité sont encore plus coûteuses.
Kiteworks est particulièrement qualifié pour vous aider à atteindre la conformité au CMMC. En tant que solution autorisée FedRAMP Moderate pour le partage sécurisé de fichiers, la messagerie électronique sécurisée, SFTP, et le transfert de fichiers sécurisé géré (MFT), le réseau de contenu privé Kiteworks offre une sécurité avancée et prend en charge les exigences directement. Explorez ci-dessous nos nombreuses ressources sur la conformité au CMMC.
À quoi s’attendre
pour votre audit CMMC
2.0 niveau 2
Si vous tentez de naviguer dans les complexités de votre audit et des processus de certification CMMC 2.0, ce webinaire est pour vous. Découvrez comment trouver et évaluer efficacement un C3PAO et apprenez ce qui est requis de votre part pour un audit réussi. Parmi d’autres recommandations, des experts démystifient les POA&Ms, proposent des stratégies de résolution et offrent des recommandations expérimentées et des meilleures pratiques pour compléter avec succès votre audit CMMC 2.0.
Communications de contenu sensible et conformité CMMC 2.0
En tant que sous-traitant de la base industrielle de défense (DIB), il est crucial de garantir la sécurité et la gestion appropriée des informations sensibles pour maintenir la conformité avec le cadre de la Certification de maturité en cybersécurité (CMMC) 2.0. Voici certains des plus grands défis rencontrés par les sous-traitants de la DIB en matière de conformité CMMC 2.0 et de leurs communications de contenu sensible.
Communications Email Sécurisées
L’un des principaux défis dans la communication de contenu sensible est d’assurer la sécurité des échanges d’emails. L’email est une méthode de communication courante, mais elle est également vulnérable à l’interception et à l’accès non autorisé. Pour atténuer ce risque, les sous-traitants de la DIB doivent mettre en œuvre des protocoles d’email sécurisés, tels que le chiffrement et les signatures numériques, pour protéger et vérifier l’intégrité des informations sensibles transmises par email. De plus, les sous-traitants devraient envisager d’utiliser des solutions d’email qui ont obtenu l’autorisation FedRAMP Moderate, ce qui garantit que le fournisseur de services a satisfait aux exigences de sécurité rigoureuses fixées par le gouvernement américain.
Identification et Étiquetage du CUI
Identifier et étiqueter précisément les informations non classifiées contrôlées (CUI) représente un autre défi important pour les sous-traitants de la DIB. Le CUI englobe une large gamme d’informations sensibles qui nécessitent des mesures de protection ou de diffusion conformément aux lois, règlements et politiques gouvernementales applicables. Les sous-traitants doivent développer et mettre en œuvre des processus pour identifier et étiqueter correctement le CUI dans divers formats, y compris les documents numériques et physiques, les emails et les actifs numériques. Une identification et un étiquetage appropriés garantissent que les informations sensibles reçoivent le niveau de protection adéquat et ne sont partagées qu’avec des individus autorisés.
Contrôle d’Accès et Gestion des Permissions
Gérer le contrôle d’accès et les permissions pour le contenu sensible est une tâche complexe qui nécessite une vigilance constante. Les sous-traitants de la DIB doivent établir des politiques et des procédures de contrôle d’accès strictes pour s’assurer que seul le personnel autorisé peut accéder aux informations sensibles. Cela implique la mise en œuvre de systèmes de contrôle d’accès basés sur les rôles (RBAC), la révision régulière et la mise à jour des permissions des utilisateurs, et la révocation rapide de l’accès lorsqu’un employé change de rôle ou quitte l’organisation. Les sous-traitants doivent également maintenir des journaux d’audit détaillés pour suivre l’accès au contenu sensible et détecter toute tentative d’accès non autorisé.
Partage de Fichiers Sécurisé et Collaboration
Collaborer sur du contenu sensible présente des défis uniques, car cela implique souvent de partager des fichiers et des documents avec des partenaires externes, des sous-traitants et des agences gouvernementales. Les sous-traitants de la DIB doivent adopter des solutions de partage de fichiers sécurisées offrant un chiffrement de bout en bout, des contrôles d’accès et des capacités d’audit. Ces solutions doivent également être conformes aux exigences du CMMC 2.0 pour la protection du CUI et d’autres informations sensibles. Lors de la sélection d’une plateforme de partage de fichiers, les sous-traitants doivent privilégier les solutions ayant obtenu l’autorisation FedRAMP Moderate, car cela garantit un haut niveau de sécurité et de conformité avec les normes gouvernementales.
Transfert de Fichiers Géré Sécurisé
Les sous-traitants de la DIB doivent envisager l’utilisation de solutions de transfert de fichiers géré sécurisé pour la transmission de fichiers volumineux ou sensibles. Les solutions de transfert de fichiers géré offrent une méthode sécurisée, fiable et auditable pour transférer des fichiers entre organisations, garantissant que les données sensibles sont protégées pendant le transit. Lors de la sélection d’une solution de transfert de fichiers géré sécurisé, les sous-traitants doivent rechercher des fonctionnalités telles que le chiffrement, les contrôles d’accès et des journaux d’audit détaillés. De plus, les solutions de transfert de fichiers géré doivent être autorisées FedRAMP Moderate pour garantir la conformité avec les exigences de sécurité du gouvernement.
Démontrer la Conformité Rapidement et Facilement
Démontrer la conformité avec les exigences du CMMC 2.0 peut représenter un défi significatif pour les sous-traitants de la DIB, en particulier en ce qui concerne les communications de contenu sensible. La plupart des outils de communication, tels que les emails, le SFTP et les plateformes de partage de fichiers, résident dans des silos et génèrent des ensembles distincts de journaux d’audit. Agréger et concilier ces journaux pour démontrer la conformité peut être une tâche chronophage et pratiquement impossible.
Utiliser Kiteworks pour accélérer votre parcours de conformité au CMMC 2.0
Contrôlez, protégez et suivez vos communications sensibles du DoD pour la conformité CMMC
Protégez les informations FCI et CUI lorsque vous les envoyez, les partagez, les recevez ou les stockez. Les contrôles d’accès granulaires, l’authentification multifactorielle, le chiffrement de bout en bout et les liens sécurisés garantissent que seuls les utilisateurs autorisés ont accès au contenu sensible, essentiel pour la conformité CMMC. Consolidez la messagerie sécurisée, le partage de fichiers, le transfert sécurisé de fichiers, les formulaires Web et les APIs sur une seule plateforme pour unifier les métadonnées et standardiser les politiques et contrôles de sécurité. Enfin, un seul point d’intégration pour les investissements de sécurité tels que ATP, DLP, CDR, LDAP/AD et SIEM permet aux entrepreneurs de la défense et aux sous-traitants de protéger le contenu sensible selon les pratiques du CMMC 2.0.
En savoir plus sur les capacités de sécurité de Kiteworks pour la protection des FCI et CUI
Facilitez le déploiement avec l’autorisation FedRAMP modérée
Évitez le temps et les coûts pour prouver que votre plateforme cloud répond aux 325 contrôles de sécurité NIST 800-53—cruciaux pour la conformité CMMC—en adoptant une solution déjà approuvée par le gouvernement fédéral américain : Autorisation FedRAMP modérée. Contrairement aux fournisseurs “équivalents à FedRAMP”, Kiteworks subit régulièrement des tests d’intrusion et des vérifications des employés, et est soutenu par un chiffrement fort, une sécurité physique, des plans de réponse aux incidents et plus encore. En fin de compte, les entrepreneurs qui utilisent une solution de partage de fichiers autorisée par FedRAMP comme Kiteworks ont un chemin plus court pour répondre aux exigences du CMMC et démontrer la conformité au CMMC.
Protégez les informations CUI du DoD avec des contrôles d’accès complets pour la conformité CMMC
Administrez de manière centralisée un ensemble unique de rôles et de politiques d’utilisateurs pour protéger les informations CUI qui transitent par tous les canaux de communication que la plateforme Kiteworks consolide. Atténuez le risque d’exposition accidentelle ou malveillante des informations CUI avec des contrôles d’accès par défaut basés sur le principe du moindre privilège pour les dossiers, les emails, le SFTP, les flux de transfert de fichiers géré (MFT) et les formulaires Web, ainsi que pour les clients, les fonctions, les dépôts et les domaines. Et quel que soit l’option de déploiement que vous choisissez, les employés de Kiteworks n’ont jamais accès au contenu de votre système Kiteworks.
Protégez les informations CUI avec un chiffrement des e-mails de bout en bout et sans interruption
Protégez les informations CUI que vous partagez par e-mail avec vos parties prenantes du DoD grâce à des algorithmes de chiffrement robustes. Appliquez vos politiques de sécurité à votre chiffrement des e-mails pour automatiser la décision de chiffrer ou non chaque e-mail. L’échange automatique de clés assure la simplicité d’utilisation pour que vos employés travaillent avec leurs clients de messagerie standards habituels sans avoir besoin de plugins ou de formation. Le chiffrement de bout en bout garantit que le contenu et les pièces jointes des e-mails sont chiffrés du client émetteur au client récepteur tandis que la clé de déchiffrement privée reste chez le client récepteur, de sorte que ni les fournisseurs côté serveur ni les attaquants ne peuvent déchiffrer. Enfin, appliquez votre DLP au trafic sortant et votre anti-malware et anti-phishing au trafic entrant. Vous ferez bonne impression devant votre C3PAO et franchirez une étape supplémentaire vers la conformité au CMMC.
En savoir plus sur la passerelle de protection des e-mails de Kiteworks
Suivez toute l’activité des fichiers CUI et simplifiez les audits avec une journalisation et un reporting unifiés
Voyez qui a envoyé quoi, à qui, quand et comment afin de pouvoir suivre les informations FCI et CUI entrant et sortant de votre organisation, détecter les activités suspectes et agir sur les anomalies. Comptez sur les pistes d’audit immuables et complètes de Kiteworks pour toutes les activités des utilisateurs, automatisées et administratives, y compris toutes les actions sur le contenu, les autorisations et la configuration. Analysez, alertez et rapportez les événements à l’aide des outils intégrés, ou transférez-les à votre SIEM via syslog ou le Splunk Forwarder pour une analyse plus approfondie.
Gérez rigoureusement les configurations pour maintenir une sécurité maximale en conformité avec le CMMC
L’appliance virtuelle durcie de Kiteworks suit le principe de la fonctionnalité minimale requise pour la conformité au CMMC en exposant seulement quelques ports essentiels, avec tous les services non essentiels désactivés. De plus, le serveur empêche les utilisateurs et les administrateurs d’accéder au système d’exploitation ou d’installer des logiciels, impose une stricte séparation des tâches et consigne chaque changement de configuration. Et lorsque vous vous préparez pour les audits, il fournit les rapports nécessaires pour valider les configurations et les contrôles documentés.
En savoir plus sur l’appliance virtuelle durcie de Kiteworks
Kiteworks SafeEDIT facilite la conformité au CMMC 2.0
Kiteworks SafeEDIT aide à faciliter la conformité au CMMC 2.0 pour les organisations et protège les informations CUI partagées dans la DIB en permettant une collaboration externe sécurisée sur des fichiers sensibles sans renoncer au contrôle sur les documents sources originaux, qui restent toujours stockés en toute sécurité dans l’environnement du propriétaire. En diffusant une version vidéo éditable des fichiers plutôt qu’en transférant la possession, SafeEDIT garantit que les données CUI ne quittent jamais le périmètre de sécurité de l’organisation, offrant le plus haut niveau de contrôle et de suivi de la sécurité. La solution offre une expérience d’application native pour l’édition et la collaboration sur les versions de fichiers diffusées, facilitant les flux de travail à distance sans interruption tout en maintenant une protection stricte des données. SafeEDIT prend en charge la collaboration sécurisée universellement sur les types de fichiers sans enveloppes propriétaires, permettant la productivité sans compromettre la garde des données, une exigence critique lors de la manipulation des informations CUI dans la chaîne d’approvisionnement de la DIB.
Questions Fréquentes
Le CMMC 2.0 est une mise à jour du Cybersecurity Maturity Model Certification (CMMC) initialement publié en janvier 2021. C’est la méthode utilisée par le Département de la Défense (DoD) pour exiger des organisations de la chaîne d’approvisionnement du DoD qu’elles protègent les informations des contrats fédéraux (FCI) et les informations non classifiées contrôlées (CUI) au niveau approprié déterminé (il y a trois niveaux dans le CMMC 2.0). Le CMMC 2.0 restructure les niveaux de maturité du CMMC en éliminant deux des cinq notations originales, améliore les protocoles d’évaluation pour réduire les coûts pour les entrepreneurs et introduit un chemin plus flexible vers la certification grâce aux Plans d’Action & Jalons (POA&M).
La conformité aux normes NIST est imposée comme exigence contractuelle par l’inclusion de clauses telles que FAR 52.204-21 et DFARS 252.204-7012. Les exigences du CMMC aboutissent à une auto-évaluation de l’entrepreneur, ou à une évaluation par un tiers via une Organisation d’Évaluation Tierce Partie CMMC (C3PAO), pour déterminer si la norme NIST applicable (telle qu’identifiée par la clause DFARS) a été respectée. Sous CMMC 2.0, une évaluation de niveau 2 sera menée contre la norme NIST SP 800-171 et une évaluation de niveau 3 sera basée sur un sous-ensemble des exigences NIST SP 800-172.
Un CMMC C3PAO est une Organisation d’Évaluation Tierce Partie CMMC (C3PAO) autorisée et certifiée par le Corps d’Accréditation CMMC (CMMC-AB) pour effectuer des évaluations des entrepreneurs et sous-traitants cherchant à obtenir la certification pour démontrer la conformité avec la norme CMMC. Les C3PAOs sont chargés d’évaluer et de certifier que les entreprises de la base industrielle de la défense (DIB) ont satisfait aux exigences de cybersécurité de la norme CMMC. Leurs responsabilités incluent l’évaluation et la délivrance de certificats d’adhésion à la norme CMMC. Le C3PAO doit également examiner et certifier les rapports d’audit et d’auto-évaluation de l’entrepreneur ou du sous-traitant basés sur le modèle de maturité en cybersécurité du DoD. Le C3PAO doit aussi être capable de recommander et de mettre en œuvre des actions correctives si nécessaire.
Le CMMC 2.0 s’applique à tous les tiers au sein de la chaîne d’approvisionnement de la défense, y compris les entrepreneurs, les fournisseurs et tout autre tiers contracté en relation avec le soutien du département de la défense (DoD). Toutes les organisations civiles qui font affaire avec le DoD doivent se conformer au CMMC 2.0, en fonction du type de CUI et de FCI qu’elles traitent et échangent. La liste des entités comprend :
- Entrepreneurs principaux du DoD
- Sous-traitants du DoD
- Fournisseurs à tous les niveaux dans la DIB
- Petits fournisseurs d’affaires du DoD
- Fournisseurs commerciaux qui traitent, gèrent ou stockent des CUI
- Fournisseurs étrangers
- Membres d’équipe des entrepreneurs du DoD qui gèrent des CUI tels que les prestataires de services informatiques gérés
Selon Kiteworks, travailler avec une Organisation d’Évaluation Tierce Partie CMMC (C3PAO) offre plusieurs avantages pour les organisations cherchant à obtenir la certification selon les normes CMMC 2.0 :
- Expertise : Un évaluateur tiers certifié a une vaste expérience dans l’évaluation des programmes de cybersécurité dans de multiples industries et peut fournir un aperçu précieux des meilleures pratiques pour atteindre la conformité CMMC.
- Objectivité : Un évaluateur tiers indépendant fournit un retour impartial sur la posture de sécurité d’une organisation qui peut aider à identifier les domaines où des améliorations sont nécessaires pour répondre à des contrôles CMMC spécifiques, réussir un audit de conformité CMMC et atteindre la conformité CMMC.
- Économies de coûts : Travailler avec un évaluateur tiers certifié peut permettre de gagner du temps et de l’argent par rapport à l’embauche de personnel interne ou de consultants qui peuvent ne pas avoir d’expertise dans l’évaluation des programmes de cybersécurité, la réalisation d’audits de conformité CMMC ou même la démonstration de la conformité CMMC.
- Efficacité : Un évaluateur tiers certifié peut rapidement identifier les lacunes dans la posture de sécurité d’une organisation, aidant ainsi à réduire le temps de préparation pour la conformité CMMC.
- Tranquillité d’esprit : Avoir un évaluateur tiers indépendant qui examine le programme de cybersécurité d’un fournisseur du DoD procure une tranquillité d’esprit, en s’assurant que les organisations ont pris toutes les mesures nécessaires pour atteindre la conformité CMMC.