Naviguer dans les complexités de la conformité au CMMC est une tâche ardue, surtout avec les récentes mises à jour du cadre. Que vous travailliez pour obtenir la certification pour la première fois ou que vous souhaitiez comprendre comment les modifications apportées au CMMC 2.0 affectent votre statut de conformité actuel, vous êtes au bon endroit.

Ci-dessous, nous expliquons le Cybersecurity Maturity Model Certification 2.0 pour expliquer quelles organisations doivent se conformer, comment déterminer quel niveau de conformité vous avez besoin et les différents processus d'évaluation. Nous partageons également des listes de contrôle de conformité pour chaque niveau de CMMC afin de vous aider à comprendre et à mettre en œuvre les exigences spécifiques.

Qu'est-ce que le Cybersecurity Maturity Model Certification?

Le Cybersecurity Maturity Model Certification (CMMC) est un cadre complet établi par le Département de la Défense des États-Unis (DoD) pour améliorer la cybersécurité des entrepreneurs au sein de la Defense Industrial Base (DIB).

Le CMMC a été créé en réponse à plusieurs problèmes de cybersécurité:

• Augmentation des menaces cybernétiques : Le DIB a été une cible privilégiée pour les cyberattaques, les adversaires cherchant à exploiter les vulnérabilités pour voler des informations sensibles et de la propriété intellectuelle. Ces menaces ont augmenté en fréquence et en sophistication.
• Pratiques de cybersécurité incohérentes : Avant le CMMC, les pratiques de sécurité de l'information dans le DIB variaient largement. De nombreux entrepreneurs n'avaient pas mis en place des mesures adéquates pour protéger les informations sensibles, ce qui a conduit à des violations et des compromis de données.
• Menaces croissantes à la sécurité nationale : Assurer la sécurité des informations sensibles de la défense est crucial pour la sécurité nationale. Les données compromises peuvent avoir des implications graves, y compris de saper les opérations militaires et les avantages technologiques.
• Standardisation et responsabilité médiocres : Le CMMC vise à standardiser les pratiques de cybersécurité de tous les entrepreneurs de défense. En exigeant des auto-évaluations annuelles ou une certification tierce partie, le DoD s'assure que tous les entrepreneurs respectent un niveau de sécurité de base.
• Sécurité de la chaîne d'approvisionnement : La chaîne d'approvisionnement de la défense comprend un vaste réseau de sociétés, allant des grands entrepreneurs principaux aux petits sous-traitants. Le CMMC veille à ce que toutes les entités de cette chaîne d'approvisionnement adhèrent à des normes de cybersécurité robustes, réduisant ainsi les risques globaux.
• S'aligner sur le paysage réglementaire plus large : Le CMMC s'aligne sur les efforts réglementaires plus larges pour améliorer la cybersécurité, y compris d'autres initiatives fédérales et politiques visant à protéger les infrastructures critiques et les informations sensibles.

Qui doit se conformer au CMMC ?

Si votre organisation travaille avec le DoD, soit directement, soit en tant que sous-traitant, et manipule des Informations sur les Contrats Fédéraux (FCI) ou des Informations Non Classifiées Contrôlées (CUI), vous devrez vous conformer au CMMC. Le niveau spécifique de CMMC requis dépendra du type d'informations que vous manipulez et des exigences décrites dans les contrats DoD auxquels vous participez.

Considérez les points suivants pour déterminer si vous devez vous conformer au CMMC :

• Examinez les exigences contractuelles : Si votre organisation détient actuellement ou prévoit de soumissionner sur des contrats DoD, vous devrez vous conformer au CMMC. Si vous êtes sous-traitant pour un entrepreneur principal ayant un contrat DoD, vous devrez peut-être également vous conformer au CMMC en fonction des exigences de transmission des informations de l'entrepreneur principal.
• Considérez le type d'informations manipulées : Si votre organisation manipule des FCI ou des CUI, vous êtes tenu de vous conformer au CMMC. Les FCI sont des données qui ne sont pas classées mais qui doivent quand même être protégées pour garantir l'intégrité et la confidentialité des opérations fédérales, telles que la documentation de conception, les énoncés de travail ou les dossiers financiers liés aux contrats fédéraux. Les CUI sont des informations désignées par le gouvernement fédéral comme étant suffisamment sensibles pour nécessiter une protection, telles que les informations personnellement identifiables, les données protégées par HIPAA, les dossiers des forces de l'ordre, les informations sur les infrastructures critiques et la défense, et les informations sur le contrôle des exportations.
• Révisez les orientations et les RFP du DoD : Examinez attentivement les demandes de propositions et autres sollicitations du DoD. Ces documents préciseront le niveau de CMMC requis pour ce contrat particulier. Il est également important d'examiner les clauses contractuelles spécifiques qui décrivent les exigences du CMMC, telles que les clauses DFARS (Defense Federal Acquisition Regulation Supplement) liées à la cybersécurité.
• Collaborez avec les entrepreneurs principaux : Si vous êtes un sous-traitant, les exigences en matière de conformité peuvent être moins claires. Communiquez avec votre entrepreneur principal pour comprendre les exigences et niveaux de CMMC qui s'appliquent à votre rôle. Les entrepreneurs principaux sont responsables de s'assurer que leurs sous-traitants respectent les exigences nécessaires du CMMC, ils devraient donc fournir des conseils et définir des attentes.

CMMC 2.0 : Comprendre les principaux changements

Annoncé en novembre 2021, CMMC 2.0 a introduit des changements significatifs pour simplifier le processus de certification, s'aligner plus étroitement sur les normes de cybersécurité existantes et réduire le fardeau de la conformité pour les petites entreprises. Ces changements rendent le cadre plus pratique et accessible tout en maintenant des pratiques robustes de cybersécurité pour protéger les informations sensibles.

Passons en revue les mises à jour principales du cadre :

Réduction du nombre de niveaux

CMMC 2.0 a réduit le nombre de niveaux de certification de cinq à trois :

• Niveau 1 (Fondamental): Pratiques de base d'hygiène cyber.
• Niveau 2 (Avancé): S'aligne sur les pratiques du NIST SP 800-171.
• Niveau 3 (Expert): S'aligne sur un sous-ensemble des contrôles NIST SP 800-172, axés sur des pratiques de cybersécurité avancées/progressives.

Alignement plus étroit avec les normes du National Institute of Standards and Technology (NIST)

Les pratiques requises pour la conformité aux niveaux 2 et 3 s'alignent maintenant plus étroitement avec les normes existantes NIST SP 800-171 et NIST SP 800-172, rendant la conformité au CMMC plus facile pour les organisations qui suivent déjà ces cadres.

Auto-évaluations pour certains niveaux et types de contrats

Les organisations peuvent désormais effectuer des auto-évaluations annuelles pour la conformité de Niveau 1 au lieu de nécessiter des évaluations par des tiers.

Les évaluations de niveau 2 sont maintenant réparties en deux catégories. Les contrats critiques nécessitent toujours des évaluations tierces par une organisation d'évaluation tierce certifiée (C3PAO) tous les trois ans. Pour certains contrats non critiques, la conformité de Niveau 2 peut être atteinte par des auto-évaluations annuelles plutôt que par des évaluations tierces, avec une affirmation par un responsable principal de l'entreprise.

En permettant des auto-évaluations pour les contrats de niveau 1 et certains contrats de niveau 2, le CMMC 2.0 vise à réduire la charge de conformité et les coûts associés, en particulier pour les petites et moyennes entreprises.

Des exigences plus ciblées

Le CMMC 2.0 a supprimé certaines exigences uniques du CMMC qui n'étaient pas alignées avec les normes existantes. Les niveaux et les pratiques rationalisés se concentrent également plus précisément sur la protection des CUI, qui est une préoccupation majeure pour le DoD.

Responsabilité et transparence renforcées

Les organisations effectuant des auto-évaluations doivent avoir un responsable principal de l'entreprise pour affirmer les résultats de l'évaluation, renforçant ainsi la responsabilité. Des directives et des exigences plus claires visent également à augmenter la transparence et la compréhension de ce qui est nécessaire pour la conformité.

Avec la mise en œuvre progressive qui a débuté en mai 2023, le CMMC 2.0 devrait être inclus dans tous les contrats du DoD d'ici 2028. Cependant, il est important de noter que même si le CMMC n'est pas dans le contrat du DoD de votre organisation à une certaine date, dès que la règle finale du CMMC sera publiée, elle sera déployée sur le marché et applicable pour les audits. Pour être compétitives sur le marché du DoD, les organisations devront prioriser la conformité avec le CMMC 2.0. Les contractants principaux préféreront également probablement les sous-traitants qui sont mieux préparés à protéger leur chaîne d'approvisionnement.

Comment obtenir la conformité CMMC

Comprendre les étapes clés de la conformité CMMC 2.0 peut simplifier le processus et garantir que votre organisation est bien préparée pour répondre aux exigences. Plongeons-nous dans les étapes essentielles pour obtenir la conformité CMMC, y compris comment déterminer votre niveau de conformité, mettre en œuvre les exigences et se préparer aux évaluations.

Étape 1 : Déterminer votre niveau CMMC

Les exigences et les évaluations de conformité CMMC 2.0 varient en fonction de la relation de votre organisation avec le DoD et du type d'information que vous traitez, donc la première étape consiste à déterminer votre niveau CMMC. Regardons de plus près les trois niveaux de conformité CMMC 2.0.

CMMC Niveau 1 : Fondamental

Le niveau 1 du CMMC garantit que les entreprises mettent en œuvre des pratiques de cybersécurité de base pour protéger le FCI. Il comprend 17 pratiques fondamentales basées sur FAR 52.204-21 axées sur la protection de l'accès, de l'authentification, des médias, la sécurité physique, la protection des communications et l'intégrité du système. La conformité au niveau 1 implique une auto-évaluation annuelle et une affirmation exécutive.

CMMC Niveau 2 : Avancé

La conformité au niveau 2 du CMMC 2.0 est plus étendue que le niveau 1 et est destinée aux organisations traitant des CUI. Elle s'aligne avec la norme NIST SP 800-171 rev 2 et comprend 110 pratiques de sécurité. Des évaluations tierces pour les informations critiques pour la sécurité nationale sont effectuées tous les trois ans, et des auto-évaluations annuelles sont menées pour les informations non critiques.

CMMC Niveau 3 : Expert

Le niveau 3 du CMMC 2.0 est le plus élevé, destiné aux organisations traitant des CUI. Il se concentre sur des pratiques de cybersécurité avancées pour se protéger contre les menaces persistantes avancées (APT). Il s'appuie sur les pratiques des niveaux 1 et 2 et incorpore des pratiques supplémentaires d'un sous-ensemble de contrôles NIST SP 800-172 (les pratiques spécifiques sont définies par le DoD). Avant de poursuivre le niveau 3, les organisations doivent satisfaire aux exigences de conformité pour le niveau 2 du CMMC. Une évaluation menée par le gouvernement est effectuée tous les trois ans par le DoD.

Posez-vous ces questions pour vous aider à déterminer votre niveau CMMC :

• Quels sont vos obligations contractuelles? Examinez vos contrats actuels ou prospectifs avec le DoD pour identifier les exigences spécifiques du CMMC. Recherchez des clauses ou des références aux niveaux du CMMC dans les RFP et les contrats.
• Quel type d'information traitez-vous? Si votre organisation traite des FCI, vous devrez vous conformer à au moins le niveau 1. Si vous traitez des CUI, vous devrez vous conformer au niveau 2 ou plus, en fonction de la sensibilité des informations.
• Quel est le rôle critique de votre organisation dans la chaîne d'approvisionnement du DoD? Si votre organisation joue un rôle non critique et traite des informations moins sensibles, le niveau 2 du CMMC (non critique) peut être approprié. Si votre organisation joue un rôle crucial dans la sécurité nationale ou traite des informations hautement sensibles, vous devrez probablement vous conformer au niveau 2 (critique) ou au niveau 3 du CMMC.
• Vos exigences s'alignent-elles avec des entrepreneurs principaux? Si vous êtes un sous-traitant, communiquez avec vos entrepreneurs principaux pour comprendre les exigences applicables du CMMC qui découlent du contrat principal. Les entrepreneurs principaux devraient être en mesure de fournir des conseils sur le niveau requis du CMMC pour leurs sous-traitants.

Vous pouvez également consulter le site Web du CMMC Accreditation Body (CMMC-AB) et la page CMMC du Department of Defense pour des conseils officiels et des ressources sur les exigences et les niveaux du CMMC.

Étape 2 : Comprenez les exigences du CMMC et effectuez une évaluation des écarts

Ensuite, effectuez une évaluation interne pour évaluer vos pratiques actuelles en matière de cybersécurité par rapport aux exigences du niveau CMMC pertinent.

Vous pouvez utiliser les listes de contrôle de conformité CMMC ci-dessous pour comprendre les exigences spécifiques à votre niveau CMMC et vous assurer que vous disposez des protocoles de sécurité appropriés. Ces listes de contrôle vous aideront également à identifier les lacunes afin de pouvoir résoudre toute déficience avant de compléter une évaluation formelle.

Étape 3 : Compléter l'évaluation CMMC applicable

Une fois que vous êtes certain que vos protocoles de sécurité satisfont aux exigences CMMC, vous pouvez procéder à l'évaluation de conformité.

Le processus d'évaluation CMMC varie en fonction du niveau de conformité requis. Les évaluations CMMC Niveau 1 et Niveau 2 non critique sont moins rigoureuses que celles de Niveau 2 critique et Niveau 3.

Voici un aperçu du processus d'évaluation pour chaque niveau CMMC.

CMMC Niveau 1 et CMMC Niveau 2 non critique : Auto-évaluation annuelle

Les organisations sont tenues d'effectuer une auto-évaluation annuelle pour s'assurer qu'elles respectent les pratiques de cybersécurité requises pour le Niveau 1. Un cadre supérieur de l'organisation doit également affirmer les résultats de l'auto-évaluation, attestant que l'organisation répond aux exigences du Niveau 1.

Une fois que vous avez préparé la documentation et les preuves de conformité nécessaires, sélectionnez une équipe d'auto-évaluation qui possède les connaissances et l'expertise requises sur les exigences du Niveau 1 CMMC et la posture de sécurité de votre organisation.

Le CIO du DoD fournit des outils d'auto-évaluation, y compris des conseils sur la portée et l'auto-évaluation, pour informer votre évaluation. Évaluez les exigences du Niveau 1, documentant si chacune est entièrement, partiellement ou non mise en œuvre. Les exigences critiques devront être corrigées immédiatement avant de continuer. Pour toutes autres pratiques non entièrement mises en œuvre, documentez les lacunes et créez un plan de remédiation. Ce document de Plan d'Action et de Jalons (POA&M) définira les étapes spécifiques, les propriétaires et les délais pour compléter les actions de remédiation.

L'autre document requis pour la conformité au Niveau 1 est le Plan de Sécurité du Système (PSS), qui agit comme un plan détaillé de la manière dont l'organisation protège ses actifs numériques. Le PSS décrit les contrôles de sécurité spécifiques et les pratiques que l'organisation a mis en œuvre pour protéger ses actifs d'information et son infrastructure informatique.

Une fois l'auto-évaluation terminée, obtenez la validation de la direction. Cette affirmation formelle certifie que l'auto-évaluation a été minutieuse et que l'organisation satisfait aux exigences du Niveau 1 CMMC.

Les organisations traitant des informations non classifiées contrôlées (CUI) non critiques de Niveau 2 peuvent également effectuer une auto-évaluation annuelle des contrôles applicables de la norme NIST SP 800-171. Comme pour le Niveau 1, un cadre supérieur doit affirmer les résultats de l'auto-évaluation avec une lettre d'attestation.

CMMC Niveau 2 critique : Faire appel à un C3PAO (Organisation d'Évaluation Tierce Certifiée)

Les organisations manipulant des CUI critiques doivent subir une évaluation tierce réalisée par un C3PAO tous les trois ans. Une fois qu'elles sont prêtes pour une évaluation, les organisations choisissent un C3PAO parmi la liste des organisations d'évaluation autorisées fournie par le CMMC-AB.

Le C3PAO effectuera un examen complet de la mise en œuvre des contrôles NIST 800-171 applicables par l'organisation. Ils examineront les politiques, procédures, preuves de contrôles mis en œuvre et la documentation clé, y compris :

• Plan de sécurité du système (SSP) : Décrit comment l'organisation a mis en œuvre les pratiques et processus de cybersécurité requis pour le CMMC. Il fournit des informations détaillées sur la posture de cybersécurité de l'organisation, y compris une description et des limites du système, des processus d'évaluation des risques, des contrôles de sécurité spécifiques, des politiques et procédures, la réponse aux incidents et la surveillance continue, ainsi qu'un aperçu des rôles et responsabilités organisationnels.
• Plan d'action et étapes (POA&M) : Décrit les étapes spécifiques qu'une organisation suivra pour remédier à toute déficience identifiée lors d'une évaluation interne ou tierce. Lors des évaluations CMMC, les évaluateurs tiers examinent le POA&M pour vérifier que l'organisation a une approche structurée pour combler les lacunes et maintenir la conformité.
• Évaluation du Système de Risque de Performance des Fournisseurs (SPRS) : Une évaluation SPRS pour le CMMC implique l'évaluation des pratiques en matière de cybersécurité et de la performance en gestion des risques d'un entrepreneur. Cette évaluation est essentielle pour assurer la conformité avec les exigences du Département de la Défense (DoD), améliorer la sécurité globale de la chaîne d'approvisionnement et protéger les informations sensibles contre les cybermenaces.

D'autres documents clés incluent un plan d'atténuation des risques, un plan de réponse aux incidents et de notification, un plan de surveillance continue, une politique de contrôle d'accès, un plan de gestion de la configuration, une matrice de séparation des tâches et un plan de gestion des journaux d'audit. Les évaluateurs intervieweront également les parties prenantes de l'entreprise pour discuter et observer les pratiques de cybersécurité, et peuvent effectuer des tests techniques et systémiques pour valider l'efficacité des contrôles mis en place.

Après cet examen, le C3PAO peut fournir des commentaires préliminaires pour souligner tout problème ou domaine de préoccupation mis en évidence par l'évaluation. Si des déficiences sont trouvées, le rapport inclura des actions correctives recommandées. Un rapport final est ensuite soumis au CMMC-AB pour examen et décision finale de certification.

Si conforme, l'organisation reçoit la certification CMMC pour le niveau évalué, valable pour trois ans. Pendant ces trois années, les organisations doivent continuer à surveiller et à améliorer leurs pratiques de cybersécurité en maintenant leur POA&M.

CMMC Niveau 3 : Évaluation dirigée par le gouvernement

Les organisations cherchant la certification de Niveau 3 doivent coordonner avec le Département de la Défense pour programmer une évaluation dirigée par le gouvernement.

Les évaluateurs gouvernementaux peuvent tenir une réunion préliminaire pour discuter de la portée, du calendrier et du processus d'évaluation. De la même manière que les évaluateurs du C3PAO, les évaluateurs gouvernementaux examineront la documentation soumise, y compris le SSP, le POA&M et d'autres politiques. Les évaluations sur site incluent généralement des entretiens avec le personnel clé et des observations des pratiques de cybersécurité en action, ainsi que des tests techniques et systèmes pour vérifier l'efficacité des contrôles mis en place. Les évaluateurs gouvernementaux examineront également des preuves telles que des captures d'écran, des journaux d'accès, des configurations et de la documentation de procédure pour valider que les contrôles sont correctement mis en œuvre.

Les évaluateurs gouvernementaux peuvent fournir un rapport préliminaire pour signaler toute déficience ou domaine d'amélioration, donnant aux organisations la possibilité de traiter les problèmes immédiats identifiés lors de l'évaluation.

Le rapport final est soumis au CMMC-AB pour examen et décision finale de certification. La certification est valable pour trois ans. Pour maintenir la conformité entre les évaluations, les organisations de Niveau 3 doivent surveiller en permanence leurs systèmes et contrôles et maintenir leur POA&M. Les politiques et procédures doivent également être mises à jour pour refléter tout changement apporté à la posture de sécurité de l'organisation ou aux pratiques organisationnelles.

Comment rationaliser la conformité CMMC avec l'automatisation

L'automatisation change fondamentalement le paysage de la sécurité, de la confidentialité et de la conformité, en particulier dans les secteurs gouvernementaux et publics. Avec la plateforme de conformité automatisée de Secureframe, les contractants gouvernementaux et les fournisseurs de logiciels autorisés peuvent naviguer dans les exigences complexes des cadres, mettre en œuvre et surveiller les contrôles requis, et atteindre une conformité continue avec des normes telles que le CMMC, NIST 800-171, NIST 800-53, et bien d'autres.

• Expertise en conformité fédérale : Notre équipe d'experts en conformité comprend d'anciens auditeurs et consultants FISMA, FedRAMP, et CMMC pour vous soutenir à chaque étape. Notre plateforme est toujours à jour sur les derniers changements des exigences de conformité fédérale, simplifiant la gestion des changements réglementaires.
• Intégrations profondes pour une automatisation puissante : Secureframe s'intègre à votre pile technologique existante, y compris AWS GovCloud, pour collecter automatiquement des preuves, surveiller en continu votre posture de sécurité et de conformité, et simplifier la maintenance du plan de mesures correctives (POA&M).
• Conformité multi-cadre : La cartographie croisée intelligente facilite la conformité rapide avec plusieurs normes fédérales, telles que NIST 800-53, NIST 800-171, FedRAMP et CJIS. Plutôt que de repartir de zéro, Secureframe applique les contrôles que vous avez déjà mis en place pour le CMMC à plusieurs cadres, accélérant ainsi le temps de conformité et éliminant le travail en double.
• Gestion plus facile des documents et des politiques : Les politiques, procédures et SSP modélisés par d'anciens auditeurs fédéraux peuvent être entièrement personnalisés pour répondre à vos besoins. Nos capacités de gestion des politiques d'entreprise incluent des documents POA&M, des évaluations d'impact et des rapports de préparation.

Planifiez une démonstration pour en savoir plus sur la manière dont Secureframe aide les contractants gouvernementaux à atteindre et maintenir la conformité au niveau 1 de CMMC.