COMMENT LA CERTIFICATION DU MODÈLE DE MATURITÉ DE LA CYBERSÉCURITÉ (CMMC) AFFECTERA-T-ELLE LES ENTREPRENEURS DE LA DÉFENSE DES ÉTATS-UNIS?

CYBERSÉCURITÉ

COMMENT LA CERTIFICATION DU MODÈLE DE MATURITÉ DE LA CYBERSÉCURITÉ (CMMC) AFFECTERA-T-ELLE LES ENTREPRENEURS DE LA DÉFENSE DES ÉTATS-UNIS?

Des questions concernant la cybersécurité des entrepreneurs américains de l’industrie de la défense ont été soulevées. Les similitudes entre les composantes de l’avion chinois J-31 et du F-35 Joint Strike Fighter américain, entre autres incidents, ont convaincu plusieurs que le cyberespionnage est un problème croissant. En guise de réponse à ce problème, le département de la Défense (DoD) introduit la certification du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification – CMMC) pour sécuriser sa base industrielle de la défense (DIB).

En 2015, le DoD a publié le Defense Federal Acquisition Regulation Supplement (DFARS). Ce supplément fait partie d’une initiative visant à protéger la chaîne d’approvisionnement de la défense américaine contre les cybermenaces nationales et étrangères et à réduire le risque global de sécurité dans le secteur.

DFARS a mandaté les entrepreneurs privés du DoD d’adopter des normes de cybersécurité selon le cadre de cybersécurité du National Institute of Standards and Technology (NIST) NIST SP 800-171. Le contrôle a été effectué principalement sur la base de la confiance, sans vérification des exigences de cybersécurité. Il était courant de trouver des autorités contractantes et des entrepreneurs principaux qui demandaient le System Security Plan (SSP) et le Plan d’action et d’étapes (POA-M) requis, en vertu du DFARS 252.204-7012, seulement après l’attribution du contrat. Plusieurs entreprises ont ainsi donné une version inexacte de leurs efforts en matière de cybersécurité, ce qui leur a valu des sanctions sévères.

QU’EST-CE QUE LA CMMC?

Lors de la Federal Acquisition Conference en 2019, Katie Arrington, adjointe spéciale à la secrétaire adjointe à la Defense for Acquisition for Cyber, Office of the Under Secretary of Acquisition and Sustainment, a indiqué combien d’entrepreneurs n’avaient toujours pas mis en œuvre les exigences de NIST SP 800-171 dans leurs systèmes d’information. Son discours a clairement indiqué que, parallèlement aux critères d’acquisition préexistants – coût, rendement et calendrier – la sécurité doit désormais également être un critère.

Le DoD a mis au point la CMMC pour régler ce problème d’une manière rentable et abordable. Il met à jour les règlements existants et veille à ce que les entrepreneurs disposent des contrôles pertinents pour protéger les données sensibles, notamment les renseignements sur les contrats fédéraux et l’information non classifiée contrôlée (CUI). Pour ce faire, les meilleures pratiques provenant d’une variété de normes de cybersécurité, notamment NIST SP 800-171, NIST SP 800-53, ISO 27001, ISO 27032, et AIA NAS9933, ont été prises pour créer une norme de cybersécurité cohérente et unique.

La norme couvre dix-sept «domaines», dont beaucoup provenaient des 200 zones liées à la sécurité Federal Information Processing Standards (FIPS) et NIST SP 800-171 control families. Il s’agit notamment de :

1. Contrôle d’accès

2. Gestion d’actifs

3. Audit et responsabilité

4. Sensibilisation et formation

5. Gestion de la configuration

6. Identification et authentification

7. Intervention en cas d’incident

8. Entretien

9. Protection des médias

10. Sécurité du personnel

11. Sécurité physique

12. Recouvrement

13. Gestion des risques

14. Évaluation de la sécurité

15. Conscience situationnelle

16. Protection des systèmes et des communications

17. Intégrité du système et de l’information

MISE EN ŒUVRE DE LA CMMC

Contrairement aux exigences de DFARS 252.204-7012, la CMMC exige la mise en place de mesures de cybersécurité avant l’attribution du contrat. En plus de la documentation et des politiques, les entrepreneurs seront évalués en fonction de leur mise en œuvre de contrôles techniques – la maturité de leurs pratiques en matière de cybersécurité.

L’entrepreneur sera ensuite certifié au niveau 1 à 5 – « Basic Cybersecurity Hygiene » à « Advanced ». Plus le niveau de certification de votre entreprise est élevé, plus vous aurez droit de présenter des soumissions. Ce système présente deux avantages pour les entrepreneurs. Tout d’abord, il est plus rentable pour les petites entreprises qui n’ont besoin que de niveaux de base en matière de cybersécurité. Deuxièmement, si un entrepreneur atteint un niveau plus élevé, il est automatiquement en mesure de soumissionner pour une plus grande variété de contrats

Contrairement aux mesures actuelles, la CMMC n’est pas fondée sur l’autocertification. Les organismes tiers indépendants certifiés effectueront plutôt des audits qui informeront l’entrepreneur de son niveau de risque. L’entrepreneur doit coordonner directement avec l’organisme de certification indépendant pour faire la demande et planifier l’évaluation. En outre, il peut préciser le niveau de certification pour lequel il souhaite être évalué, en fonction de ses propres besoins commerciaux.

Une fois l’évaluation terminée et qu’un certificat a été obtenu, le niveau est rendu public, mais les détails concernant des constatations précises ne sont pas rendus publics. Le DoD n’aura accès qu’au niveau de certification.

On s’attend à ce que les entrepreneurs de la DIB constatent que les exigences de la CMMC fassent partie de leurs demandes d’information à partir de juin 2020. La version 1.0 du cadre de la CMMC a été rendue disponible en janvier 2020 pour appuyer les entrepreneurs dans leurs besoins en matière de formation.

L’introduction de la CMMC éliminera l’ambiguïté parmi les entrepreneurs, dont certains ont souvent eu du mal à bien comprendre les questions de conformité et la façon dont le DoD les applique. Depuis longtemps et avec succès, SGS exécute des projets complexes à grande échelle tels que l’adoption de la CMMC. Nos experts peuvent travailler avec vous d’une manière efficace et rentable, vous aidant à recevoir la CMMC requise pour vous permettre de soumissionner pour des contrats pour le DoD des États-Unis.

CYBERSÉCURITÉ