CMMC 2.0 Compliance
Kiteworks prend en charge près de
90 % des exigences pratiques du niveau 2 de la norme CMMC 2.0
dès la sortie de la boîte
Les entrepreneurs et sous-traitants de la Base industrielle de la Défense doivent démontrer leur conformité à la norme CMMC s’ils souhaitent continuer à travailler avec le Département de la Défense. Point final. Mais la CMMC n’est pas simplement une initiative de « cocher les cases » de conformité. Les entrepreneurs tirent de nombreux avantages de la conformité à la norme CMMC. La conformité à la norme CMMC démontre un engagement envers la sécurité des données, établit la confiance et la crédibilité, protège les informations non classifiées contrôlées (CUI) et réduit les risques de violation de données et de cyberattaques.
Kiteworks est spécialement qualifié pour aider les organisations de la Base industrielle de la Défense à atteindre la conformité à la norme CMMC et à sécuriser leurs activités avec le Département de la Défense. En tant que solution de partage sécurisé de fichiers autorisée selon le modèle FedRAMP Moderate, le Kiteworks Private Content Network offre des capacités et des fonctionnalités de sécurité et de gouvernance avancées qui sont conformes aux pratiques et aux contrôles de la norme CMMC. Cela comprend des contrôles d’accès granulaires, le chiffrement au repos et en transit, ainsi qu’une visibilité sur l’ensemble des activités liées aux fichiers. De plus, Kiteworks propose des capacités avancées de reporting et d’audit, ce qui facilite le suivi et la démonstration de la conformité à la norme CMMC ainsi qu’à d’autres réglementations et normes de confidentialité des données.
Contrôlez, protégez et suivez toutes vos communications sensibles du DoD pour la conformité CMMC
Protégez les FCI et les CUI chaque fois que vous les envoyez, les partagez, les recevez ou les stockez. Des contrôles d’accès granulaires, une authentification à plusieurs facteurs, le chiffrement de bout en bout et des liens sécurisés garantissent que seuls les utilisateurs autorisés ont accès au contenu sensible, essentiel pour la conformité CMMC. Regroupez l’email sécurisé, le partage de fichiers, le transfert de fichiers géré, les formulaires web et les API dans une plateforme unique pour unifier les métadonnées et standardiser les politiques de sécurité et les contrôles. Enfin, un point unique d’intégration pour les investissements en matière de sécurité tels que l’ATP, la DLP, le CDR, le LDAP/AD et le SIEM permettent aux entrepreneurs et sous-traitants de la défense de protéger le contenu sensible conformément aux pratiques de la CMMC 2.0.
En savoir plus sur les capacités de sécurité de Kiteworks pour protéger les FCI et les CUI
Facilitez le déploiement avec l’autorisation FedRAMP de niveau modéré
Évitez le temps et les coûts nécessaires pour prouver que votre plateforme cloud respecte les 325 contrôles de sécurité NIST 800-53, essentiels pour la conformité CMMC, en adoptant une solution déjà approuvée par le gouvernement fédéral américain : l’autorisation FedRAMP de niveau modéré. Contrairement aux fournisseurs « équivalents à FedRAMP », Kiteworks fait régulièrement l’objet de tests de pénétration et de vérifications des antécédents des employés, et bénéficie d’un chiffrement solide, d’une sécurité physique, de plans d’intervention en cas d’incident, et bien plus encore. En fin de compte, les entrepreneurs qui utilisent une solution de partage de fichiers autorisée par FedRAMP, comme Kiteworks, ont un chemin plus court pour satisfaire aux exigences de la CMMC et démontrer la conformité CMMC.
Protégez les informations non classifiées contrôlées du DoD grâce à des contrôles d’accès complets conformes à la CMMC
Administrez de manière centralisée un ensemble unique de rôles d’utilisateurs et de politiques pour protéger les informations non classifiées contrôlées qui circulent à travers tous les canaux de communication regroupés par la plateforme Kiteworks. Atténuez le risque d’exposition accidentelle ou malveillante des informations non classifiées contrôlées grâce à des contrôles d’accès par défaut de moindre privilège sur les dossiers, les e-mails, le protocole SFTP, les flux de transfert de fichiers gérés (MFT), et les formulaires web, ainsi que sur les clients, les fonctions, les référentiels et les domaines. Peu importe l’option de déploiement que vous choisissez, les employés de Kiteworks n’ont jamais accès au contenu de votre système Kiteworks.
Protégez les informations non classifiées contrôlées avec un chiffrement des e-mails transparent de bout en bout
Sécurisez les informations non classifiées contrôlées que vous partagez par e-mail avec vos parties prenantes du DoD grâce à des chiffrements robustes. Appliquez vos politiques de sécurité au chiffrement de vos e-mails pour automatiser la décision de les chiffrer ou non. L’échange automatique de clés garantit la simplicité d’utilisation pour vos employés, qui peuvent travailler avec leurs clients de messagerie habituels sans avoir besoin de plugins ou de formations supplémentaires. Le chiffrement de bout en bout assure que le contenu et les pièces jointes des e-mails sont chiffrés depuis le client émetteur jusqu’au client destinataire, tandis que la clé de déchiffrement privée reste dans le client destinataire, empêchant ainsi les fournisseurs côté serveur ou les attaquants de déchiffrer les données. Enfin, appliquez votre solution de prévention de la perte de données (DLP) au trafic sortant ainsi que vos logiciels anti-malware et anti-phishing au trafic entrant. Vous impressionnerez votre C3PAO et vous rapprocherez encore un peu plus de la conformité CMMC.
En savoir plus sur la passerelle de protection des e-mails Kiteworks
Suivez toutes les activités des fichiers CUI et simplifiez les audits grâce à un journal et un rapport unifiés
Identifiez qui a envoyé quoi à qui, quand et comment afin de suivre les FCI et les CUI entrant et sortant de votre organisation, détecter les activités suspectes et agir en cas d’anomalies. Reposez-vous sur les pistes d’audit complètes et immuables de Kiteworks pour toutes les activités des utilisateurs, des processus automatisés et des administrateurs, y compris toutes les actions sur le contenu, les autorisations et la configuration. Analysez, alertez et générez des rapports sur les événements à l’aide des outils intégrés, ou transmettez-les à votre SIEM via syslog ou le Splunk Forwarder pour une analyse approfondie.
Gérez étroitement les configurations pour maintenir une sécurité maximale en conformité avec le CMMC
L’appliance virtuelle sécurisée de Kiteworks suit le principe de la fonctionnalité minimale requise pour la conformité CMMC en n’exposant que quelques ports essentiels, avec tous les services non essentiels désactivés. De plus, le serveur empêche les utilisateurs et les administrateurs d’accéder au système d’exploitation ou d’installer des logiciels, impose une stricte séparation des tâches et enregistre chaque modification de configuration. Et lorsque vous vous préparez pour les audits, il fournit les rapports dont vous avez besoin pour valider les configurations et les contrôles documentés.
En savoir plus sur l’appliance virtuelle sécurisée de Kiteworks
Questions fréquemment posées
La norme CMMC 2.0 est une mise à jour du modèle de certification de maturité en matière de cybersécurité (CMMC) qui a été initialement publié en janvier 2021. Il s’agit de la méthode du Département de la Défense (DoD) pour exiger des organisations de la chaîne d’approvisionnement du DoD qu’elles protègent les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI) au niveau approprié déterminé (il y a trois niveaux dans le CMMC 2.0). Le CMMC 2.0 restructure les niveaux de maturité du CMMC en éliminant deux des cinq notations d’origine, en améliorant les protocoles d’évaluation qui réduisent les coûts pour les entrepreneurs, et en introduisant un chemin vers la certification plus flexible grâce aux Plans d’Action et aux Jalons (POA&Ms).
La conformité aux normes du NIST est imposée en tant qu’exigences contractuelles grâce à l’inclusion de clauses telles que FAR 52.204-21 et DFARS 252.204-7012. Les exigences du CMMC entraînent une auto-évaluation de l’entrepreneur ou une évaluation par un tiers par une organisation d’évaluation tierce du CMMC (C3PAO) afin de déterminer si la norme NIST applicable (telle qu’identifiée par la clause DFARS) a été respectée. Dans le cadre du CMMC 2.0, une évaluation de niveau 2 sera réalisée conformément à la norme NIST SP 800-171 et une évaluation de niveau 3 sera basée sur un sous-ensemble des exigences de la norme NIST SP 800-172.
Un C3PAO du CMMC (CMMC Third Party Assessor Organization) est une organisation d’évaluation tierce du CMMC autorisée et certifiée par l’organisme d’accréditation du CMMC (CMMC-AB) pour réaliser des évaluations des entrepreneurs et sous-traitants cherchant à obtenir la certification démontrant leur conformité à la norme CMMC. Les C3PAO sont chargés d’évaluer et de certifier que les entreprises de la chaîne d’approvisionnement de la base industrielle de la défense (DIB) ont respecté les exigences de cybersécurité de la norme CMMC. Leur responsabilité inclut l’évaluation et la délivrance de
certificats de conformité à la norme CMMC. Le C3PAO doit examiner et certifier les rapports d’audit et d’auto-évaluation de l’entrepreneur ou du sous-traitant, en se basant sur le modèle de maturité en matière de cybersécurité du DoD. Le C3PAO doit également être en mesure de recommander et de mettre en œuvre des actions correctives si nécessaire.
La norme CMMC 2.0 s’applique à tous les tiers de la chaîne d’approvisionnement de la défense, y compris les entrepreneurs, les fournisseurs et tous les autres tiers contractés liés au soutien du département de la défense (DoD). Toutes les organisations civiles qui font affaire avec le DoD doivent se conformer à la norme CMMC 2.0, en fonction du type d’informations non classifiées contrôlées (CUI) et d’informations contractuelles fédérales (FCI) qu’elles manipulent et échangent. La liste des entités comprend :
- Les entrepreneurs principaux du DoD
- Les sous-traitants du DoD
- Les fournisseurs à tous les niveaux dans la DIB
- Les fournisseurs de petites entreprises du DoD
- Les fournisseurs commerciaux qui traitent, manipulent ou stockent des CUI
- Les fournisseurs étrangers
- Les membres de l’équipe des entrepreneurs du DoD qui manipulent des CUI, tels que les fournisseurs de services gérés informatiques (IT)
Selon Kiteworks, travailler avec une organisation d’évaluation tierce du CMMC (C3PAO) présente plusieurs avantages pour les organisations souhaitant obtenir la certification selon la norme CMMC 2.0 :
- Expertise : Un évaluateur tiers certifié possède une vaste expérience dans l’évaluation des programmes de cybersécurité dans plusieurs industries et peut fournir des informations précieuses sur les meilleures pratiques pour atteindre la conformité aux normes CMMC 2.0.
- Objectivité : Un évaluateur tiers indépendant fournit des commentaires impartiaux sur la posture de sécurité d’une organisation, ce qui peut aider à identifier les domaines nécessitant des améliorations.
- Économies de coûts : Travailler avec un évaluateur tiers certifié peut permettre de gagner du temps et de l’argent par rapport à l’embauche de personnel interne ou de consultants qui n’ont peut-être
pas l’expertise nécessaire dans l’évaluation des programmes de cybersécurité.
- Efficacité : Un évaluateur tiers certifié peut rapidement identifier les lacunes dans la posture de sécurité d’une organisation, ce qui permet de réduire le temps consacré à la préparation de la certification.
- Sérénité d’esprit : Le fait de faire examiner le programme de cybersécurité d’un fournisseur du DoD par un évaluateur tiers indépendant procure une tranquillité d’esprit, en garantissant que toutes les mesures nécessaires ont été prises pour atteindre la conformité aux normes CMMC 2.0.
Government contractors, subcontractors, and systems integrators trust Kiteworks to unify, control, track, and secure sensitive documents in compliance with CMMC 2.0