Qu’est-ce que la certification du modèle de maturité de cybersécurité (CMMC) ?

NRZ.Digital
0 0

Qu’est-ce que CMMC? CMMC signifie Cybersecurity Maturity Model Certification, une méthode de détermination des normes de cybersécurité des sous-traitants du DoD. L’année dernière, le ministère de la Défense a annoncé que les entreprises qui soumissionnent pour des contrats de défense doivent atteindre le niveau approprié de certification CMMC afin de travailler avec le DoD sur de nouveaux contrats.

Qu’est-ce que CMMC?

La conformité à la cybersécurité est plus courante aujourd’hui que jamais, et les agences gouvernementales reconnaissent désormais l’importance de mettre en place des politiques de conformité strictes pour elles-mêmes et leurs sous-traitants.

La certification du modèle de maturité en matière de cybersécurité, bien qu’annoncée en janvier 2020, a été longuement préparée.

Depuis aussi loin qu’en 2010, les représentants du gouvernement et les dirigeants de l’industrie ont exprimé publiquement leurs préoccupations au sujet de la tolérance du gouvernement à l’égard des entrepreneurs qui livraient systématiquement « compromis » capacités au DoD et à la communauté du renseignement.

La Mitre Corporation, un organisme à but non lucratif qui est approuvé par et mène des recherches au nom du gouvernement, a conclu qu’« il n’y a pas de consensus sur les rôles, les responsabilités, les autorités et la reddition de comptes… d’actions de la part du Département [of Defense] et les entreprises avec lesquelles elle fait affaire.

En d’autres termes, les normes de cybersécurité du DoD et des sous-traitants avec lesquels il travaillait faisaient cruellement défaut.

En conséquence, Mitre a recommandé que le DoD développe son processus d’acquisition en ajoutant un « pilier » supplémentaire (sécurité) à ses piliers existants de coût, de calendrier et de performance.

C’est la raison pour laquelle nous avons maintenant CMMC.

Le DoD dit que d’ici l’exercice 2026, tous les nouveaux contrats auront des exigences CMMC et les entreprises qui ne sont pas conformes ne seront pas éligibles pour remporter des contrats.

Qu’est-ce que la conformité CMMC ?

Le modèle CMMC est divisé en cinq « niveaux » distincts, commençant par 1 et le niveau le plus élevé étant 5.

Le niveau 1 est le niveau le plus élémentaire ; à chaque niveau ascendant, les exigences deviennent plus strictes et plus sûres.

Les demandes de propositions indiqueront quel niveau de conformité CMMC est requis par l’entrepreneur.

La conformité CMMC s’applique à l’ensemble de la chaîne d’approvisionnement, bien que les exigences de segmentation pour les entrepreneurs et les sous-traitants signifient que tous les entrepreneurs ne doivent pas respecter exactement les mêmes normes, même s’ils travaillent ensemble sur le même contrat.

Pratiques CMMC par niveau |  Certification du modèle de maturité de cybersécurité

Quels sont les niveaux ?

Niveau 1 : Cyber-hygiène de base

Le niveau 1 est axé sur les cyberprotections de base. C’est la base sur laquelle tous les autres niveaux sont construits et comprend le moins de pratiques avec 17.

Le niveau 1 n’a pas d’exigences de maturité d’institutionnalisation des processus – les organisations sont plutôt censées exécuter ses pratiques associées.

Les domaines qui concernent le niveau 1 sont le contrôle d’accès (AC), l’identification et l’authentification (IA), la protection des médias (MP), la protection physique (PE), la protection du système et des communications (SC) et l’intégrité du système et de l’information (SI).

Niveau 2 : Cyber-hygiène intermédiaire

Le niveau 2 représente le deuxième plus grand saut de complexité, ajoutant 55 pratiques supplémentaires pour un nouveau total de 72.

Contrairement au niveau 1, le niveau 2 exige que les processus de conformité soient documentés, mais pas gérés, révisés ou optimisés.

De nombreux domaines sont introduits ici par rapport au premier niveau, avec de nouveaux domaines à considérer, notamment l’audit et la responsabilité (AU), la sensibilisation et la formation (AT), la gestion de la configuration (CM), la réponse aux incidents (IR), la maintenance (MA ), la sécurité du personnel (PS), la récupération (RE), la gestion des risques (RM) et l’évaluation de la sécurité (CA).

Niveau 3 : Bonne Cyber ​​Hygiène

Le niveau 3 est le plus grand saut en termes de pratiques de sécurité à suivre, avec 58 autres ajoutés pour un total de 130.

Le niveau 3 exige également que les procédures soient planifiées, gérées et maintenues.

Il introduit deux domaines supplémentaires : la gestion des actifs (AM) et la connaissance de la situation (SA).

Niveau 4 : Proactif

Le niveau 4 consiste à affiner les processus de cybersécurité qui devraient maintenant être en place. Ce niveau exige que les politiques et les activités de cybersécurité soient examinées et mesurées pour déterminer leur efficacité.

Il y a 26 pratiques supplémentaires qui doivent être suivies, principalement dans la protection des systèmes et des communications (SC) et la gestion des risques (RM).

Niveau 5 : Avancé/Progressif

Comme le niveau 4, le niveau 5 consiste à aplanir les problèmes pour obtenir la meilleure protection qu’une organisation puisse se permettre. Il est attendu que les organisations normalisent et optimisent une approche documentée dans tous les domaines dans toutes les unités organisationnelles applicables.

Il y a 15 pratiques finales qui doivent être suivies, plus particulièrement dans la réponse aux incidents (IR).

Quel niveau est requis ?

La conformité CMMC est délibérément conçue avec les cinq niveaux afin que les sous-traitants au bas de la chaîne d’approvisionnement n’aient pas besoin d’investir dans une conformité inutile pour les données qu’ils traitent.

Comme nous l’avons noté, les maîtres d’œuvre au sommet de la chaîne d’approvisionnement seront les plus susceptibles de devoir respecter les niveaux les plus élevés, 4 et 5.

Les entreprises situées plus bas dans la chaîne d’approvisionnement devront plus souvent se conformer aux niveaux inférieurs de 1, 2 et 3.

La plupart des entreprises peuvent raisonnablement s’attendre à devoir se conformer aux exigences de niveau 3, mais cela dépendra du contrat spécifique du DoD.

Tous les entrepreneurs et sous-traitants du DoD devront avoir réussi un audit CMMC d’un tiers certifié et prouver leur conformité aux normes appropriées à l’avenir.

Cette certification est valable trois ans. Les seules exemptions concernent les entrepreneurs produisant des articles commerciaux sur étagère (COTS) et les contrats de moins de 35 000 $.

Les entreprises qui soumissionnent pour de nouveaux contrats devront avoir le bon niveau de conformité CMMC, mais pour les contrats existants, les entreprises auront jusqu’à Septembre 2025—la dernière année du déploiement progressif de quatre ans—pour se conformer.

Je suis conforme NIST 800-171, dois-je faire quelque chose ?

Oui, mais ce sera beaucoup plus facile pour vous.

La conformité CMMC s’appuie sur ce que NIST 800-171 fait déjà, en ajoutant des contrôles supplémentaires.

D’une manière générale, NIST 800-171 est à peu près équivalent au niveau 3, donc les entreprises qui ont déjà ce niveau de conformité auront plus de facilité à franchir cette étape.

Pour référence, CMMC Level 3 comprend 100 % des contrôles NIST 800-171 et ajoute 20 autres contrôles pour un total de 130.

En bref, si vous êtes conforme au NIST 800-171, votre organisation devra toujours s’assurer que les contrôles supplémentaires sont mis en œuvre afin de respecter la conformité CMMC.

L’auto-certification n’est pas autorisée

L’autocertification n’est pas autorisée pour déterminer la conformité au CMMC. Les entreprises doivent avoir un audit tiers et certifier qu’elles sont conformes au bon niveau CMMC.

De plus, CMMC n’autorise aucun POA&M ouvert (plan d’action et jalons) – chaque contrôle doit être passé afin d’obtenir la certification au moment de la passer.

Cependant, les entreprises sont encouragées à effectuer une auto-évaluation en vue de planifier une évaluation, pour laquelle des guides peuvent être trouvé par le DoD.

Que devez-vous faire maintenant?

Le guide d’évaluation du DoD fait 430 pages, et il est compréhensible que les organisations n’aient pas le temps ou la patience de le parcourir page par page.

Par conséquent, il est recommandé de faire appel aux services d’un MSSP spécialisé dans la conformité pour mettre votre entreprise aux normes.

Lors de l’utilisation d’un tiers pour la conformité, ils effectueront un audit des risques et une analyse des écarts pour obtenir une compréhension complète de vos contrôles actuels des données et de ce qui doit être fait pour être conforme à la CMMC.

Après cela, un MSSP peut être conservé à long terme et vous assurer de rester conforme tout en fournissant une assistance continue en matière de cybersécurité pour éviter les violations pendant que vous continuez à gérer votre entreprise.

Pour en savoir plus sur la façon dont Impact peut vous aider dans votre conformité CMMC, visitez notre page Services de conformité et découvrez notre approche, notre équipe et ce que vous pouvez attendre d’un partenariat avec nous.


Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleepy
Sleepy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

Microstratégie Vendre jusqu'à 1 milliard de dollars d'actions MSTR pour acheter du Bitcoin – Marchés et prix Bitcoin News

Microstrategy Inc. vend jusqu’à 1 milliard de dollars de ses actions ordinaires, MSTR, dans le but d’utiliser une partie du produit net pour acheter du bitcoin. La société cotée au Nasdaq a également récemment conclu une offre de billets garantis de 500 millions de dollars et utilisera le produit pour […]

Abonnez-vous maintenant