La conformité CMMC 2.0
Kiteworks répond à près de
90 % des exigences du CMMC 2.0 niveau 2
sans rien avoir à faire de plus
Les fournisseurs et sous-traitants de la Défense doivent prouver qu’ils respectent les exigences du CMMC pour continuer à travailler avec le ministère de la Défense américain (DoD). Tout est dit. Mais la CMMC n’est pas juste une initiative de conformité « à cocher ». Les entreprises en tirent une multitude d’avantages. La conformité CMMC est un gage de sécurité des données, de confiance et de crédibilité, qui protège les Informations sensibles non classées et contrôlées (CUI) et réduit les risques de violation des données et de cyberattaques.
Kiteworks est particulièrement bien placé pour aider les organisations de la Base industrielle de Défense (DIB) à se conformer à la CMMC et à sécuriser leurs activités avec le DoD. En tant que solution de partage sécurisé de fichiers certifiée FedRAMP Moderate, le réseau de contenu privé de Kiteworks intègre des mesures de sécurité et de gouvernance alignées sur les pratiques et les contrôles de la CMMC. Cela comprend des contrôles d’accès granulaires, le chiffrement des données au repos et en transit, et la visibilité de toute l’activité des fichiers. Mais aussi des outils de reporting et d’audit qui permettent aux professionnels de suivre et démontrer plus facilement qu’elles respectent la CMMC et autres réglementations liées à la confidentialité des données.
Contrôlez, protégez et tracez tous les échanges sensibles du DoD conformément à la CMMC
Protégez les renseignements non publics sur les contrats fédéraux (FCI) et les CUI lors de tout envoi, partage, réception ou stockage de ces renseignements. Seuls les utilisateurs autorisés doivent pouvoir accéder au contenu sensible. C’est le cas avec les contrôles d’accès granulaires, l’authentification multifactorielle, le chiffrement de bout en bout et les liens sécurisés. Consolidez la messagerie électronique, le partage de fichiers, le transfert de fichiers géré, les formulaires Web et les API au sein d’une même plateforme afin d’unifier les métadonnées et de standardiser les politiques et les contrôles de sécurité. Enfin, ayez un guichet unique pour les investissements en sécurité tels que ATP, DLP, CDR, LDAP/AD et SIEM.
EN SAVOIR PLUS SUR LES MESURES DE SÉCURITÉ DE KITEWORKS POUR LA PROTECTION DES FCI ET DES CUI
Obtenez facilement votre autorisation modérée FedRAMP
Pas besoin de consacrer des ressources à prouver que votre plateforme cloud répond aux 325 contrôles de sécurité NIST 800-53, essentiels pour la conformité CMMC. Adoptez une plateforme déjà approuvée par le gouvernement fédéral des États-Unis : FedRAMP Moderate Authorized. Contrairement aux fournisseurs « équivalents FedRAMP », Kiteworks est soumis à des tests d’intrusion réguliers et à un examen préalable de ses collaborateurs. La plateforme prévoit un chiffrement strict, des mesures de sécurité matérielle, ou encore des plans d’intervention en cas d’incident. Au bout du compte, en optant pour une solution de partage de fichiers autorisée par FedRAMP comme Kiteworks, vous aurez moins d’efforts à fournir pour répondre aux exigences du CMMC et démontrer votre conformité CMMC.
Protégez les CUI du DoD grâce à des contrôles d’accès stricts conformément à la CMMC
Gérez de manière centralisée les rôles et les politiques utilisateurs pour protéger les données CUI à travers tous les canaux de communication de la plateforme Kiteworks. Atténuez le risque d’exposition involontaire ou malveillante des CUI grâce à des contrôles d’accès basés sur le principe du moindre privilège pour les dossiers, e-mails, SFTP, flux de transfert de fichiers gérés (MFT) et formulaires Web. Appliquez des règles d’accès similaires en fonction des clients, des postes, des référentiels et des domaines. Et quelle que soit l’option de déploiement que vous choisissez, les salariés de Kiteworks n’auront jamais accès au contenu de votre système Kiteworks.
Protégez les CUI en chiffrant les e-mails de bout en bout
Appliquez des algorithmes de chiffrement puissants pour protéger les informations sensibles non classées et contrôlées que vous partagez par e-mail avec vos interlocuteurs du DoD. Appliquez vos règles de sécurité à votre messagerie électronique pour automatiser la décision de chiffrer ou non chaque e-mail. L’échange de clés automatisé garantit la simplicité d’utilisation, de sorte que vos équipes travaillent avec leurs clients de messagerie standard habituels, sans avoir besoin de plugins ou de formation supplémentaire. Le chiffrement de bout en bout garantit que le contenu des e-mails et des pièces jointes est chiffré du client expéditeur au client destinataire, tandis que la clé de déchiffrement privée reste chez le client destinataire. Ainsi, ni les vendeurs côté serveur ni les attaquants ne peuvent déchiffrer. Enfin, appliquez votre DLP au trafic sortant et vos mesures anti-malware et anti-phishing au trafic entrant. Vous ferez sensation devant votre C3PAO et franchirez une nouvelle étape vers la conformité CMMC.
EN SAVOIR PLUS SUR LA PASSERELLE DE PROTECTION DES E-MAILS DE KITEWORKS
Suivez toute l’activité liée aux fichiers CUI et simplifiez les audits grâce aux journaux et au reporting centralisés
Gardez un œil et une trace de qui a envoyé quoi à qui, quand et comment, afin de pouvoir suivre les FCI et CUI qui entrent et sortent de votre entreprise, détecter les activités suspectes et prendre des mesures appropriées en cas de problème. Soyez tranquille avec la traçabilité complète et immuable de Kiteworks pour toutes les activités des utilisateurs, des robots et des administrateurs : actions sur le contenu, autorisations, configuration, etc. Analysez, alertez et créez des reportings sur les événements à l’aide d’outils intégrés, ou transmettez-les à votre SIEM via syslog ou Splunk Forwarder pour une analyse plus approfondie.
Des configurations strictes pour maintenir un niveau de sécurité maximal et respecter les exigences de la CMMC
L’appliance virtuelle durcie de Kiteworks obéit à la logique de la moindre fonctionnalité, exigée par la conformité CMMC, en n’exposant que quelques ports essentiels, tous les services non essentiels ayant été désactivés. De plus, le serveur empêche les utilisateurs et les administrateurs d’accéder au système d’exploitation ou d’installer des logiciels ; il applique une séparation stricte des tâches et enregistre chaque changement de configuration. Enfin, au moment de préparer vos audits, il vous fournit les rapports dont vous avez besoin pour valider les configurations et les contrôles documentés.
EN SAVOIR PLUS SUR L’APPLIANCE VIRTUELLE DURCIE DE KITEWORKS
Questions fréquemment posées
Le CMMC 2.0 est une mise à jour de la certification du modèle de maturité de la cybersécurité (CMMC) initialement publiée en janvier 2021. Il émane du ministère de la Défense américain (DoD) et concerne ses prestataires logistiques. Il vise à protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI) au niveau approprié déterminé (le CMMC 2.0 comporte trois niveaux). Le CMMC 2.0 est une restructuration des niveaux de maturité du CMMC, avec l’élimination de deux des cinq cotes initiales. Les protocoles d’évaluation ont été améliorés, réduisant ainsi les coûts pour les entreprises concernées, et l’approche assouplie par la mise en place de plans d’action et de jalons (POA&Ms).
Le respect des normes NIST est imposé contractuellement par l’inclusion de clauses telles que FAR 52.204-21 et DFARS 252.204-7012. Les exigences du CMMC se traduisent par une auto-évaluation du fournisseur ou une évaluation par un organisme tiers d’évaluation du CMMC (C3PAO), en vue de déterminer si la norme NIST applicable (telle qu’identifiée par la clause du DFARS) a été respectée. Dans le cadre du CMMC 2.0, une évaluation de niveau 2 sera réalisée par rapport à la norme NIST SP 800-171 et une évaluation de niveau 3 sera basée sur un sous-ensemble d’exigences de la norme NIST SP 800-172.
Un C3PAO est un organisme tiers d’évaluation du CMMC (C3PAO) autorisé et certifié par l’organisme d’accréditation du CMMC (CMMC-AB) pour évaluer les entreprises et les sous-traitants qui souhaitent prouver leur conformité CMMC. Les C3PAO sont chargés d’évaluer et de certifier que les prestataires logistiques de la base industrielle de défense (BID) satisfont aux exigences de cybersécurité de la norme CMMC. Ils sont notamment chargés d’évaluer et de délivrer des certificats d’adhésion à la norme CMMC. Le C3PAO doit examiner et certifier les rapports d’audit et d’auto-évaluation de l’entreprise ou du sous-traitant sur la base du modèle de maturité de la cybersécurité du DoD. Le C3PAO doit également émettre des recommandations et déployer des actions correctives si nécessaire.
La CMMC 2.0 s’applique à tous les acteurs de la supply chain de la défense, y compris les prestataires, fournisseurs et autres tiers sous contrat liés au service du ministère de la Défense (DoD). Toutes les organisations civiles traitant avec le DoD doivent se conformer à la CMMC 2.0, en fonction du type de CUI et de FCI qu’elles traitent et échangent. La liste des entités concernées comprend :
- Les principaux fournisseurs du DoD
- Les sous-traitants du DoD
- Les fournisseurs directs et indirects de la DIB
- Les TPE prestataires du DoD
- Les fournisseurs commerciaux qui traitent, manipulent ou stockent des CUI
- Les fournisseurs étrangers
- Les sous-traitants du DoD qui traitent les CUI, tels que les fournisseurs de services gérés IT.
Selon Kiteworks, travailler avec un organisme tiers d’évaluation du CMMC (C3PAO) présente plusieurs intérêts :
- L’expertise : un évaluateur tiers certifié possède une vaste expérience de l’évaluation des programmes de cybersécurité dans de nombreux secteurs d’activité et peut fournir des informations précieuses sur les bonnes pratiques à adopter pour se conformer aux normes du CMMC 2.0.
- L’objectivité : un évaluateur indépendant apporte un avis objectif sur le niveau de sécurité d’une organisation, ce qui permet d’identifier les domaines dans lesquels des améliorations sont nécessaires.
- La réduction des coûts : travailler avec un évaluateur externe et agréé permet d’éviter d’embaucher du personnel qualifié ou de faire appel à des consultants pas forcément spécialisés dans l’évaluation des programmes de cybersécurité.
- L’efficacité : un évaluateur indépendant certifié est capable d’identifier rapidement les lacunes dans la sécurité d’une organisation, ce qui permet de réduire le temps consacré à la préparation de la certification.
- La tranquillité d’esprit : l’examen du programme de cybersécurité d’une entreprise par un évaluateur indépendant est un gage de tranquillité d’esprit, car il garantit que l’entreprise a pris toutes les mesures nécessaires pour se mettre en conformité avec les normes CMMC 2.0.
Les entrepreneurs gouvernementaux, sous-traitants et intégrateurs de systèmes font confiance à Kiteworks pour unifier, contrôler, suivre et sécuriser les documents sensibles conformément au CMMC 2.0