Définition et objectif

L'objectif principal du C2M2 est d'aider les organisations à évaluer et à améliorer leurs capacités en matière de cybersécurité. Il offre un cadre structuré qui aide les organisations à comprendre leur état actuel de maturité en cybersécurité, à établir des objectifs d'amélioration et à prioriser les actions pour renforcer leurs défenses en cybersécurité.

Le C2M2 peut être utilisé comme guide pour développer un nouveau programme de cybersécurité ou associé à l'outil d'auto-évaluation du C2M2 pour mesurer et améliorer un programme existant.

Organe directeur

Le C2M2 est géré par le Département de l'Énergie des États-Unis (DOE). Il a été initialement développé grâce à un effort collaboratif entre des organisations du secteur public et privé, parrainé par le DOE ainsi que le Conseil de Coordination du Sous-secteur Électricité (ESCC) et le Conseil de Coordination du Sous-secteur Pétrole et Gaz Naturel (ONG SCC).

Dernière mise à jour

La version la plus récente du C2M2 — la version 2.1 — a été publiée en juin 2022.

Cette version intègre les conseils des praticiens de la cybersécurité dans le secteur de l'énergie pour aborder de nouveaux vecteurs d'attaque et risques et améliorer l'alignement avec les normes et meilleures pratiques internationales reconnues en matière de cybersécurité, y compris NIST 800-53 et le NIST CSF.

Concerne

Bien que l'industrie énergétique américaine ait dirigé son développement et son adoption, le C2M2 est applicable aux organisations de tous secteurs, types et tailles. Il est particulièrement pertinent pour les organisations qui opèrent dans des secteurs où la protection des actifs et des infrastructures critiques est essentielle à la sécurité nationale et à la sécurité publique, tels que l'énergie, les transports et la santé.

Contrôles et exigences

Le modèle C2M2 a été conçu pour fournir des conseils descriptifs, et non prescriptifs. Plutôt que de fournir une liste de contrôles ou d'exigences, il comprend 356 pratiques de cybersécurité, regroupées en 10 domaines en fonction des objectifs clés.

Les 10 domaines sont listés ci-dessous, avec un contexte et des pratiques présentées :

• Gestion des Actifs, des Changements et des Configurations (ASSET) : Ce domaine évalue les pratiques de l'organisation liées à l'identification, au suivi et à la gestion de ses actifs informationnels, changements et configurations. Une gestion efficace des actifs aide à protéger les données et systèmes critiques.
• Gestion des Menaces et des Vulnérabilités (THREAT) : Ce domaine évalue les plans, procédures et technologies de l'organisation pour détecter, identifier, analyser, gérer et répondre aux menaces et vulnérabilités en cybersécurité, en fonction du risque pour l'infrastructure de l'organisation (critique, IT et opérationnelle) et des objectifs organisationnels.
• Gestion des Risques (RISK) : Ce domaine évalue la capacité de l'organisation à identifier et gérer efficacement les risques de cybersécurité. Il inclut des activités telles que l'évaluation des risques, l'atténuation des risques et la surveillance des risques.
• Gestion de l'identité et des accès (ACCESS) : Ce domaine évalue dans quelle mesure une organisation contrôle l'accès des utilisateurs à ses systèmes et données. Cela inclut les mesures d'authentification, d'autorisation et de contrôle d'accès pour garantir que seules les personnes autorisées peuvent accéder aux informations sensibles.
• Conscience situationnelle (SITUATION) : Ce domaine se concentre sur la capacité d'une organisation à surveiller et à détecter les menaces et incidents de cybersécurité en temps réel. Cela implique la surveillance de la sécurité, le renseignement sur les menaces et les capacités de réponse aux incidents.
• Réponse aux événements et incidents, continuité des opérations (RESPONSE) : Ce domaine se concentre sur la capacité d'une organisation à répondre aux incidents de cybersécurité, à maintenir la continuité des activités et à se remettre des perturbations.
• Gestion des risques des tiers (THIRD-PARTIES) : Ce domaine évalue les contrôles d'une organisation pour gérer les risques cybernétiques provenant des fournisseurs et autres tiers.
• Gestion de la main-d'œuvre (WORKFORCE) : Ce domaine évalue les plans, procédures, technologies et contrôles d'une organisation pour créer une culture de cybersécurité et pour assurer l'aptitude continue et la compétence du personnel.
• Architecture de cybersécurité (ARCHITECTURE) : Ce domaine se concentre sur la structure et le comportement de l'architecture de cybersécurité d'une organisation, y compris les contrôles, processus, technologies et autres éléments.
• Gestion du programme de cybersécurité (PROGRAM) : Ce domaine évalue le programme de cybersécurité d'une organisation qui fournit la gouvernance, la planification stratégique et le parrainage des activités de cybersécurité de l'organisation de manière à aligner les objectifs de cybersécurité avec les objectifs stratégiques de l'organisation et le risque pour les infrastructures critiques.

Veuillez vous référer à la documentation officielle C2M2 pour une liste détaillée des pratiques de cybersécurité qui sont regroupées dans chaque domaine.

Type d'audit, fréquence et durée

Le C2M2 est destiné à être utilisé par une organisation pour évaluer ses capacités en cybersécurité. Cela se fait généralement en effectuant une auto-évaluation à l'aide de l'un des outils d'auto-évaluation C2M2 gratuits disponibles auprès du DOE. Ce type d'auto-évaluation peut être réalisé en une journée. Cependant, le modèle pourrait également être adapté pour un effort d'auto-évaluation plus rigoureux en utilisant un autre outil.

Les réévaluations devraient avoir lieu périodiquement, comme sur une base annuelle, ou plus tôt en réponse à des changements majeurs dans les environnements commercial, technologique, de marché ou de menace.