Comprendre les étapes clés de la conformité CMMC 2.0 peut rendre le processus beaucoup moins stressant et garantir que votre organisation est pleinement préparée à répondre aux exigences. Explorons les étapes cruciales pour atteindre la conformité CMMC, y compris comment déterminer votre niveau de conformité, mettre en œuvre les mesures de sécurité nécessaires et se préparer aux évaluations de certification.

Étape 1 : Déterminez votre niveau de conformité CMMC

Les exigences pour la conformité et l'évaluation CMMC 2.0 diffèrent selon l'implication de votre organisation avec le DoD et le type d'informations que vous gérez. La première étape consiste donc à identifier le niveau CMMC approprié pour votre organisation.

Décomposons les trois niveaux de conformité CMMC 2.0 pour vous aider à déterminer lequel s'applique à vous.

Niveau CMMC 1 : Fondamental

Le niveau CMMC 1 est conçu pour garantir que les entreprises mettent en œuvre des pratiques de cybersécurité fondamentales pour protéger les informations des contrats fédéraux (FCI). Il comprend 17 pratiques de base dérivées de FAR 52.204-21, se concentrant sur des domaines tels que le contrôle d'accès, l'authentification, la protection des médias, la sécurité physique, la protection des communications et l'intégrité du système. La conformité à ce niveau implique une auto-évaluation annuelle et une certification exécutive.

Niveau CMMC 2 : Avancé

Le niveau CMMC 2 est destiné aux organisations qui traitent des informations contrôlées non classifiées (CUI) et nécessite des mesures de cybersécurité plus complètes que le niveau 1. Il est aligné avec le cadre NIST SP 800-171 révision 2 et comprend 110 pratiques de sécurité. Les informations critiques pour la sécurité nationale nécessitent des évaluations tierces tous les trois ans, tandis que les informations non critiques nécessitent des auto-évaluations annuelles.

Niveau CMMC 3 : Expert

Le niveau CMMC 3 est le plus élevé, destiné aux organisations gérant des CUI hautement sensibles. Il met l'accent sur des pratiques avancées de cybersécurité pour se défendre contre les menaces persistantes avancées (APT). Ce niveau s'appuie sur les pratiques des niveaux 1 et 2, incorporant des contrôles supplémentaires d'un sous-ensemble de NIST SP 800-172 (tel que spécifié par le DoD). Avant de poursuivre le niveau 3, les organisations doivent d'abord répondre aux exigences des niveaux 1 puis 2. Une évaluation menée par le gouvernement par le DoD est effectuée tous les trois ans.

Pour déterminer votre niveau CMMC, considérez les questions suivantes :

• Quelles sont vos obligations contractuelles ? Examinez vos contrats actuels ou potentiels avec le DoD pour identifier les exigences spécifiques du CMMC. Recherchez des références aux niveaux CMMC dans les demandes de propositions (RFP) et les contrats.
• Quel type d'informations gérez-vous ? Si votre organisation traite des FCI, vous devrez au minimum répondre à la conformité du niveau 1. Si vous traitez des CUI, la conformité au niveau 2 ou plus sera nécessaire, en fonction de la sensibilité des informations.
• Quelle est l'importance de votre rôle dans la chaîne d'approvisionnement du DoD ? Si votre organisation a un rôle non critique et gère des informations moins sensibles, le niveau CMMC 2 (non critique) pourrait suffire. Si votre rôle est essentiel pour la sécurité nationale ou implique la gestion d'informations hautement sensibles, la conformité au niveau CMMC 2 (critique) ou 3 sera probablement nécessaire.
• Vos exigences s'alignent-elles avec celles des entrepreneurs principaux ? Si vous êtes un sous-traitant, engagez-vous avec vos entrepreneurs principaux pour comprendre les exigences CMMC découlant du contrat principal. Les entrepreneurs principaux devraient guider le niveau CMMC nécessaire pour leurs sous-traitants.

Pour obtenir des directives officielles et des ressources supplémentaires sur les exigences et niveaux CMMC, consultez le site Web du CMMC Accreditation Body (CMMC-AB) et la page CMMC du Département de la Défense.

Étape 2 : Réaliser une analyse des écarts par rapport aux exigences CMMC

L'étape suivante consiste à réaliser une évaluation des écarts interne pour comparer vos pratiques de cybersécurité actuelles aux exigences de votre niveau CMMC désigné.

Utilisez les listes de contrôle de conformité CMMC fournies ci-dessous pour mapper vos mesures de sécurité actuelles aux contrôles CMMC 2.0 applicables. Documentez si chaque contrôle requis est pleinement, partiellement ou non mis en œuvre. Assurez-vous que votre organisation est conforme aux exigences DFARS. Cela vous aide à évaluer de manière systématique comment vos pratiques actuelles s'alignent sur les normes requises et ce que vous devez faire pour vous conformer.

Pour chaque exigence qui n'est pas pleinement mise en œuvre, identifiez les écarts spécifiques de votre posture de sécurité actuelle. Cela pourrait inclure des contrôles manquants, des processus ou configurations techniques inadéquats, ou une documentation insuffisante.

Ensuite, créez un document de Plan d'Actions et de Jalons (POA&M) qui décrit les étapes que votre organisation prendra pour prioriser et traiter chaque écart identifié. Incluez des délais, les parties responsables et des actions spécifiques nécessaires pour atteindre la conformité.

Une fois que vous avez comblé les lacunes, effectuez une révision interne finale pour vous assurer que toutes les exigences CMMC 2.0 sont pleinement respectées. Préparez la documentation et les preuves nécessaires pour soutenir votre conformité lors d'une évaluation formelle par une C3PAO.

Étape 3 : Effectuer l'évaluation CMMC requise

Une fois que vous êtes sûr que vos protocoles de sécurité sont alignés sur les exigences CMMC, vous pouvez procéder à l'évaluation de la conformité. Le processus d'évaluation CMMC varie en fonction du niveau de conformité requis. Les évaluations pour le niveau CMMC 1 et le niveau 2 non critique sont moins rigoureuses que celles pour le niveau 2 critique et le niveau 3.

Voici un aperçu du processus d'évaluation pour chaque niveau CMMC :

Niveau 1 CMMC et Niveau 2 non critique : Auto-évaluation annuelle

Les organisations à ces niveaux doivent effectuer une auto-évaluation annuelle pour confirmer la conformité aux pratiques de cybersécurité requises. Un cadre supérieur doit également approuver formellement les résultats, certifiant que l'organisation répond aux exigences nécessaires.

Pour se préparer, rassemblez la documentation et les preuves de conformité nécessaires, et sélectionnez une équipe d'auto-évaluation connaissant bien les exigences du Niveau 1 CMMC et la posture de sécurité de votre organisation. Le Directeur des systèmes d'information du DoD fournit des outils et des conseils pour définir le domaine d'application et mener l'auto-évaluation. Documentez si chaque exigence est pleinement, partiellement ou non mise en œuvre. Les exigences critiques doivent être corrigées immédiatement, tandis que les autres lacunes devraient être adressées par votre document POA&M, détaillant les étapes spécifiques, les responsables et les délais pour la remédiation.

Un autre document essentiel est le Plan de sécurité du système (SSP), qui sert de plan détaillé pour la protection des actifs numériques de votre organisation. Le SSP doit décrire tous les contrôles et pratiques de sécurité spécifiques en place pour protéger vos informations et votre infrastructure informatique.

Après avoir terminé l'auto-évaluation, obtenez l'approbation des cadres pour affirmer formellement que l'organisation répond aux exigences du Niveau 1 CMMC.

Pour les organisations traitant des CUI de Niveau 2 non critique, une auto-évaluation annuelle contre les contrôles NIST SP 800-171 pertinents est également nécessaire. Comme pour le Niveau 1, un cadre supérieur doit approuver les résultats avec une lettre d'attestation.

Niveau 2 critique CMMC : Faire appel à un C3PAO (Certified Third-Party Assessment Organization)

Les organisations traitant des CUI critiques doivent se soumettre à une évaluation par un tiers réalisée par un C3PAO tous les trois ans. Une fois prêtes, les organisations peuvent sélectionner un C3PAO dans la liste des organisations d'évaluation autorisées fournie par le CMMC-AB.

Le C3PAO effectuera une revue approfondie de la mise en œuvre par votre organisation des contrôles NIST 800-171 applicables. Ils examineront les documents clés, notamment :

• Plan de sécurité du système (SSP) : Détaille la mise en œuvre par l'organisation des pratiques et processus de cybersécurité requis, couvrant des domaines tels que les limites du système, l'évaluation des risques, la réponse aux incidents et la surveillance continue.
• Plan d'action et jalons (POA&M) : Décrit les étapes que l'organisation entreprendra pour remédier à toute déficience constatée lors d'une évaluation.
• Évaluation du système de risque de performance des fournisseurs (SPRS) : Évalue les pratiques de cybersécurité et la gestion des risques d'un contractant pour garantir la conformité aux exigences du DoD.

D'autres documents clés peuvent inclure un plan d'atténuation des risques, un plan de réponse aux incidents, un plan de surveillance continue, une politique de contrôle d'accès et un plan de gestion de la configuration. Les évaluateurs intervieweront également les parties prenantes, observeront les pratiques de cybersécurité et réaliseront des tests techniques pour valider l'efficacité des contrôles mis en œuvre.

Après la revue, le C3PAO peut fournir des retours préliminaires sur les problèmes identifiés. Si l'organisation est conforme, elle reçoit la certification CMMC pour le niveau évalué, valable trois ans. Les organisations doivent maintenir et améliorer leurs pratiques de cybersécurité pendant cette période en adhérant à leur POA&M.

Niveau 3 CMMC : Évaluation menée par le gouvernement

Les organisations cherchant la certification de niveau 3 doivent coordonner avec le DoD pour planifier une évaluation dirigée par le gouvernement. Les évaluateurs gouvernementaux peuvent tenir une réunion pré-évaluation pour discuter de la portée, du calendrier et du processus d'évaluation. Ils examineront les documents clés, tels que le SSP et le POA&M, et réaliseront des évaluations sur site, notamment des entretiens, des observations de pratiques de cybersécurité et des tests techniques.

Les évaluateurs gouvernementaux peuvent fournir un rapport préliminaire mettant en évidence les lacunes ou les domaines à améliorer. Le rapport final est soumis au CMMC-AB pour examen et, si conforme, l'organisation reçoit une certification valable trois ans. Pour maintenir la conformité, les organisations de Niveau 3 doivent surveiller continuellement les systèmes et les contrôles, tenir leur POA&M à jour, et s'assurer que les politiques reflètent tout changement dans la posture de sécurité ou les pratiques organisationnelles.

Étape 4 : Maintenir la certification CMMC

Après avoir obtenu la certification, il y a des activités continues que vous devrez gérer pour maintenir une certification active. Celles-ci comprennent :

• Surveiller en permanence vos contrôles pour garantir leur efficacité opérationnelle et identifier toute opportunité d'amélioration.
• Mettre à jour votre SSP pour refléter tout changement dans votre posture de sécurité, votre infrastructure informatique ou vos contrôles de sécurité. Ce document doit être un enregistrement vivant qui évolue avec l'environnement de votre organisation.
• Gérer activement le POA&M en traitant toute lacune ou déficience identifiée dans les contrôles de sécurité. Assurez-vous que les efforts de remédiation sont suivis, complétés et documentés selon les délais fixés dans le POA&M.
• Tester et mettre à jour régulièrement votre plan de réponse aux incidents. En cas d'incident de cybersécurité, vous devrez également signaler l'incident conformément aux directives du DoD et du CMMC.
• Réaliser des auto-évaluations périodiques pour garantir une conformité continue avec le niveau CMMC pertinent. Ces auto-évaluations permettent d'identifier et de résoudre les problèmes avant le prochain audit formel.
• Revoir et mettre à jour régulièrement vos politiques et procédures de cybersécurité pour refléter les changements dans les exigences réglementaires, les changements organisationnels ou les nouvelles menaces.
• Compléter la formation à la sensibilisation à la sécurité et à la menace interne pour tout le personnel au moins une fois par an.
• Documenter tout changement dans la structure organisationnelle, la technologie ou les processus pouvant affecter votre posture en matière de cybersécurité, ainsi que maintenir les journaux d'audit pour garantir qu'ils soient correctement gérés et disponibles pour examen lors des audits.

Si le type de CUI ou de FCI que vous gérez change, vous devrez également réévaluer le niveau de conformité dont vous avez besoin, effectuer une évaluation des écarts et mettre en œuvre tous les contrôles supplémentaires nécessaires pour satisfaire aux nouvelles exigences.

Secureframe peut surveiller en continu votre statut de contrôle, collecter automatiquement les preuves pour votre audit, déployer des formations de sensibilisation à la sécurité et des examens de politique, et simplifier la gestion documentaire.

Comment accélérer le processus de certification CMMC avec l'automatisation

L'automatisation transforme le paysage de la sécurité, de la confidentialité et de la conformité, en particulier dans les secteurs gouvernementaux et publics. Avec la plateforme de conformité automatisée de Secureframe, les entrepreneurs gouvernementaux et les fournisseurs de logiciels autorisés peuvent naviguer efficacement dans les exigences complexes des cadres, mettre en œuvre et surveiller les contrôles nécessaires, et maintenir une conformité continue avec de nombreux cadres et normes de conformité.

• Expertise en conformité fédérale : Notre équipe d'experts en conformité, y compris d'anciens auditeurs et consultants FISMA, FedRAMP et CMMC, est là pour vous aider à naviguer dans les questions relatives au CMMC et à votre préparation. Notre plateforme est continuellement mise à jour pour refléter les dernières exigences de conformité fédérale, simplifiant la gestion des changements réglementaires.
• Intégrations transparentes pour une automatisation améliorée : Secureframe s'intègre parfaitement à votre pile technologique existante, y compris AWS GovCloud, pour collecter automatiquement les preuves, surveiller en permanence votre posture de sécurité et de conformité, et simplifier la maintenance de votre POA&M.
• Conformité simplifiée multi-cadres : Notre fonctionnalité intelligente de cross-mapping permet une conformité rapide avec plusieurs normes fédérales, telles que NIST 800-53, NIST 800-171, NIST CSF et CJIS, ainsi que des cadres commerciaux SOC 2, ISO 27001, et bien d'autres. En tirant parti des contrôles que vous avez déjà mis en place pour le CMMC, Secureframe accélère le processus de conformité et réduit les efforts redondants à travers plus de 40 cadres.
• Gestion simplifiée des documents et des politiques : Notre plateforme offre des politiques, des procédures et des SSP modélisés par d'anciens auditeurs fédéraux, entièrement personnalisables pour répondre à vos besoins. Avec nos capacités de gestion des politiques d'entreprise, vous pouvez facilement gérer les documents POA&M, les évaluations d'impact et les rapports de préparation.

Planifiez une démo pour en savoir plus sur la manière dont Secureframe aide les organisations et les sous-traitants gouvernementaux à atteindre et maintenir la conformité CMMC.