Kiteworks répond à près de
90 % des exigences du CMMC 2.0 niveau 2
sans rien avoir à faire de plus

Les fournisseurs et sous-traitants de la Défense doivent prouver qu’ils respectent les exigences du CMMC pour continuer à travailler avec le ministère de la Défense américain (DoD). Tout est dit. Mais la CMMC n’est pas juste une initiative de conformité « à cocher ». Les entreprises en tirent une multitude d’avantages. La conformité CMMC est un gage de sécurité des données, de confiance et de crédibilité, qui protège les Informations sensibles non classées et contrôlées (CUI) et réduit les risques de violation des données et de cyberattaques.

Kiteworks est particulièrement bien placé pour aider les organisations de la Base industrielle de Défense (DIB) à se conformer à la CMMC et à sécuriser leurs activités avec le DoD. En tant que solution de partage sécurisé de fichiers certifiée FedRAMP Moderate, le réseau de contenu privé de Kiteworks intègre des mesures de sécurité et de gouvernance alignées sur les pratiques et les contrôles de la CMMC. Cela comprend des contrôles d’accès granulaires, le chiffrement des données au repos et en transit, et la visibilité de toute l’activité des fichiers. Mais aussi des outils de reporting et d’audit qui permettent aux professionnels de suivre et démontrer plus facilement qu’elles respectent la CMMC et autres réglementations liées à la confidentialité des données.


Questions fréquemment posées

Le CMMC 2.0 est une mise à jour de la certification du modèle de maturité de la cybersécurité (CMMC) initialement publiée en janvier 2021. Il émane du ministère de la Défense américain (DoD) et concerne ses prestataires logistiques. Il vise à protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI) au niveau approprié déterminé (le CMMC 2.0 comporte trois niveaux). Le CMMC 2.0 est une restructuration des niveaux de maturité du CMMC, avec l’élimination de deux des cinq cotes initiales. Les protocoles d’évaluation ont été améliorés, réduisant ainsi les coûts pour les entreprises concernées, et l’approche assouplie par la mise en place de plans d’action et de jalons (POA&Ms).

Le respect des normes NIST est imposé contractuellement par l’inclusion de clauses telles que FAR 52.204-21 et DFARS 252.204-7012. Les exigences du CMMC se traduisent par une auto-évaluation du fournisseur ou une évaluation par un organisme tiers d’évaluation du CMMC (C3PAO), en vue de déterminer si la norme NIST applicable (telle qu’identifiée par la clause du DFARS) a été respectée. Dans le cadre du CMMC 2.0, une évaluation de niveau 2 sera réalisée par rapport à la norme NIST SP 800-171 et une évaluation de niveau 3 sera basée sur un sous-ensemble d’exigences de la norme NIST SP 800-172.

Un C3PAO est un organisme tiers d’évaluation du CMMC (C3PAO) autorisé et certifié par l’organisme d’accréditation du CMMC (CMMC-AB) pour évaluer les entreprises et les sous-traitants qui souhaitent prouver leur conformité CMMC. Les C3PAO sont chargés d’évaluer et de certifier que les prestataires logistiques de la base industrielle de défense (BID) satisfont aux exigences de cybersécurité de la norme CMMC. Ils sont notamment chargés d’évaluer et de délivrer des certificats d’adhésion à la norme CMMC. Le C3PAO doit examiner et certifier les rapports d’audit et d’auto-évaluation de l’entreprise ou du sous-traitant sur la base du modèle de maturité de la cybersécurité du DoD. Le C3PAO doit également émettre des recommandations et déployer des actions correctives si nécessaire.

La CMMC 2.0 s’applique à tous les acteurs de la supply chain de la défense, y compris les prestataires, fournisseurs et autres tiers sous contrat liés au service du ministère de la Défense (DoD). Toutes les organisations civiles traitant avec le DoD doivent se conformer à la CMMC 2.0, en fonction du type de CUI et de FCI qu’elles traitent et échangent. La liste des entités concernées comprend :

  • Les principaux fournisseurs du DoD
  • Les sous-traitants du DoD
  • Les fournisseurs directs et indirects de la DIB
  • Les TPE prestataires du DoD
  • Les fournisseurs commerciaux qui traitent, manipulent ou stockent des CUI
  • Les fournisseurs étrangers
  • Les sous-traitants du DoD qui traitent les CUI, tels que les fournisseurs de services gérés IT.

Selon Kiteworks, travailler avec un organisme tiers d’évaluation du CMMC (C3PAO) présente plusieurs intérêts :

  • L’expertise : un évaluateur tiers certifié possède une vaste expérience de l’évaluation des programmes de cybersécurité dans de nombreux secteurs d’activité et peut fournir des informations précieuses sur les bonnes pratiques à adopter pour se conformer aux normes du CMMC 2.0.
  • L’objectivité : un évaluateur indépendant apporte un avis objectif sur le niveau de sécurité d’une organisation, ce qui permet d’identifier les domaines dans lesquels des améliorations sont nécessaires.
  • La réduction des coûts : travailler avec un évaluateur externe et agréé permet d’éviter d’embaucher du personnel qualifié ou de faire appel à des consultants pas forcément spécialisés dans l’évaluation des programmes de cybersécurité.
  • L’efficacité : un évaluateur indépendant certifié est capable d’identifier rapidement les lacunes dans la sécurité d’une organisation, ce qui permet de réduire le temps consacré à la préparation de la certification.
  • La tranquillité d’esprit : l’examen du programme de cybersécurité d’une entreprise par un évaluateur indépendant est un gage de tranquillité d’esprit, car il garantit que l’entreprise a pris toutes les mesures nécessaires pour se mettre en conformité avec les normes CMMC 2.0.

 

 

Les entrepreneurs gouvernementaux, sous-traitants et intégrateurs de systèmes font confiance à Kiteworks pour unifier, contrôler, suivre et sécuriser les documents sensibles conformément au CMMC 2.0

 

Prenez le contrôle de vos informations sensibles

console.log ('hstc cookie not exist') "; } else { //echo ""; echo ""; } ?>