CYBERSÉCURITÉ

OBTENIR LA CERTIFICATION CMMC POUR LES ENTREPRENEURS DE LA DÉFENSE

READ MORE

Alors que le département de la défense (DoD) américain déploie le CMMC, un nouveau programme de certification de la cybersécurité, nous nous penchons sur les différents niveaux de maturité et ce dont vous devrez tenir compte pour sa mise en œuvre.

Après que des questions aient été soulevées par rapport aux mesures de cybersécurité employées par certains entrepreneurs de la défense dans la base industrielle de la défense des États-Unis (DIB), le DoD a introduit la certification du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification – CMMC).

Les entrepreneurs de la DIB ont été mandatés pour adopter des normes de cybersécurité conformément au cadre de cybersécurité NIST SP 800-171 du National Institute of Standards and Technology (NIST). Toutefois, la conformité a été attestée, ce qui a mené à de nombreux entrepreneurs à ne pas mettre en œuvre les protocoles de cybersécurité nécessaires.

La CMMC a été développée par le DoD pour résoudre ce problème de manière rentable. Elle actualise les réglementations existantes et s’assure que les entrepreneurs disposent des mesures de contrôle appropriées pour protéger les données sensibles, y compris les informations sur les contrats fédéraux (FCI) et les informations non classifiées contrôlées (CUI).

Les FCI sont des informations fournies par ou générées pour le gouvernement sous contrat. Ces informations ne sont pas communiquées au grand public. Les CUI diffèrent des FCI, car elles nécessitent un niveau de protection plus élevé en raison de son statut de sécurité nationale. Il s’agit d’informations créées ou conservées par le gouvernement, ou créées ou conservées par un entrepreneur au nom du gouvernement. Ces informations sont couvertes par une loi, un règlement ou une politique gouvernementale qui obligent ou autorisent une agence à les traiter à l’aide d’une protection ou d’un contrôle pour leur diffusion.

NIVEAUX CMMC

La CMMC considère le niveau de sécurité en matière de maturité. Cinq niveaux de maturité reflètent le niveau auquel les procédés de cybersécurité sont atteints :

  1. Cyberhygiène de base – procédés exécutés
  2. Cyberhygiène intermédiaire – procédés documentés
  3. Bonne cyberhygiène – procédés gérés
  4. Proactif – procédés examinés
  5. Avancé/progressif – procédés optimisés

 

Niveau 1 – Cyberhygiène de base – équivalente à l’ensemble des 17 pratiques du Federal Acquisition Regulation (FAR) 48 CFR 52.204-21. Ceci est axé principalement sur la protection des FCI et ne comprend que les pratiques qui correspondent aux exigences de protection de base précisées dans la norme 48 CFR 52.204-21. L’entrepreneur ne peut exécuter les pratiques spécifiées ponctuellement et, par conséquent, la maturité du procédé n’est pas évaluée.

Niveau 2 – Cyberhygiène intermédiaire – couvre 72 pratiques (FAR, 48 pratiques du NIST SP 800-171 R1, plus sept pratiques visant à soutenir la cyberhygiène intermédiaire). Le niveau 2 sert de progression du niveau 1 au niveau 3. L’organisation doit établir et documenter les pratiques et les politiques pour guider ses efforts concernant la CMMC. Cela permet la reproduction des pratiques et développe la maturité.

Niveau 3 – Bonne cyberhygiène – couvre 130 pratiques (FAR, toutes les pratiques dans le NIST SP 800-171 R1, plus 20 pratiques pour soutenir la cyberhygiène intermédiaire). Le niveau 3 porte sur la protection des CUI. L’organisation doit planifier et maintenir chaque pratique au sein de son plan de cybersécurité.

Niveau 4 – Proactif – couvre 156 pratiques (FAR, NIST SP 800-171 R1, 11 pratiques du projet de loi NIST SP 800-172, plus 15 pratiques pour démontrer l’existence d’un programme proactif de cybersécurité). Le niveau 4 porte sur la protection des CUI avec des menaces persistantes avancées (MPA). Elle impose à l’organisation de mesurer et d’examiner l’efficacité de la pratique avant d’entreprendre des mesures correctives.

Niveau 5 – Avancé/progressif – couvre 171 pratiques (FAR, NIST SP 800-171 R1, 4 pratiques de NIST SP 800-172, plus onze pratiques pour démontrer l’existence d’un programme avancé de cybersécurité). Le niveau CMMC le plus élevé se concentre sur la protection des CUI des MPA (menaces persistantes avancées). Il en résulte des capacités de cybersécurité plus approfondies et raffinées.

MISE EN ŒUVRE DE LA CMMC

La CMMC est évaluée par des organisations tierces certifiées indépendantes. L’entrepreneur de la DIB coordonnera directement avec l’organisme de certification indépendant la demande et la planification de l’évaluation. Ils peuvent également préciser le niveau de certification pour lequel ils souhaitent être évalués, en fonction de leurs besoins commerciaux. Les entrepreneurs ayant des niveaux de maturité plus élevés seront en mesure de soumissionner pour les contrats qui exigent des niveaux de cybersécurité plus élevés.

Conformément à la nature sensible des matériaux protégés, il est prévu que les audits CMMC soient rigoureux. Comme pour toutes les nouvelles exigences de certification prescrites, il est également prévu que la demande de services de certification sera élevée pendant le cycle initial pour la CMMC. Il est donc important de veiller à ce que le processus de certification soit amorcé le plus tôt possible.

Things to consider:

  • Quelles sont les limites du programme? Les sites physiques, les systèmes, le stockage des données, les parties prenantes, etc. – font partie du plan de sécurité du système, une pratique de niveau 2, CA. 2.157.
  • À quel niveau devez-vous être certifié? Cela dépendra des exigences et des plans de votre entreprise.
  • Une analyse des lacunes pour évaluer le niveau de préparation de votre entreprise. Les lacunes identifiées doivent ensuite être traitées avant l’audit (notamment des changements physiques, la mise en œuvre de nouveaux systèmes, la formation, etc.).
  • Vos systèmes NIST SP 800-171 en place sont-ils conformes?

Enfin, il est important de se rappeler que la CMMC ne supplante aucune exigence contractuelle dans laquelle une organisation est actuellement engagée. La CMMC est une exigence supplémentaire conçue par le DoD pour s’assurer que les entrepreneurs de la DIB exécutent les protocoles de cybersécurité nécessaires pour protéger la sécurité nationale.

SOLUTIONS DE SGS

SGS offre des services de pré-évaluation pour aider les entrepreneurs à se prévaloir de la certification du modèle de maturité de la cybersécurité (CMMC).

En savoir plus sur les services CMMC de SGS.

La formation sur la CMMC sera également disponible prochainement.

POUR PLUS D’INFORMATIONS, VEUILLEZ NOUS CONTACTER.

Video
Share

Your name

Your e-mail

Name receiver

E-mail address receiver

Your message

Send

Contact

Privacy Policy

Send

Sign up