Alors que les organisations cherchent à répondre aux exigences rigoureuses du modèle CMMC 2.0, tirer parti des environnements cloud sécurisés peut aider à rendre le processus de conformité plus rapide et plus rentable.

AWS GovCloud, AWS Secret Cloud, Azure Gov Cloud et Google Cloud offrent des environnements cloud sécurisés et conformes qui aident les organisations à répondre aux exigences du CMMC.

Dans cet article de blog, nous vous expliquerons comment accéder à ces environnements cloud spécialisés et comment ils peuvent soutenir vos efforts de conformité au CMMC.

Comment un fournisseur de cloud gouvernemental peut simplifier la conformité CMMC

Si un entrepreneur du DoD utilise un fournisseur de services cloud externe pour traiter, stocker ou transmettre des CUI, ce fournisseur doit répondre à des exigences de sécurité spécialisées. Plus précisément, comme l'exige le DFARS 252.204-7012 et le processus d'évaluation du CMMC, l'entrepreneur du DoD doit s'assurer que le CSP a mis en place des mesures de sécurité équivalentes au FedRAMP Moderate Baseline. Cette exigence est conçue pour garantir que le fournisseur est capable de protéger la confidentialité, l'intégrité et la disponibilité des CUI une fois dans le cloud.

Cela signifie que l'entrepreneur du DoD hérite de nombreuses capacités de sécurité d'un fournisseur de cloud gouvernemental. Par exemple, supposons que le fournisseur ait déjà mis en œuvre le chiffrement. Alors, l'entrepreneur du DoD n'a pas besoin de consacrer du temps ou de l'argent à la mise en œuvre de cette capacité dans le cloud. C'est le concept de responsabilité partagée.

Dans un modèle de responsabilité partagée, certains contrôles de sécurité et exigences doivent être entièrement satisfaits par le CSP, d'autres doivent être entièrement satisfaits par le client, et d'autres ont une responsabilité partagée entre le CSP et le client.

Ainsi, même si vous n'héritez pas de 100 % de la sécurité d'un CSP, il remplira certaines exigences du CMMC pour vous. Par exemple, un CSP offre généralement une large gamme de contrôles et de processus héritables, tels que :

sécurité physique
protection des supports
maintenance des équipements
protection du domaine
gestion des correctifs et des configurations
audit continu
mesures de prévention
automatisation des API
mises à jour logicielles

sauvegarde et stockage des données

Chaque CSP aura une matrice de responsabilité partagée unique et il est important que votre organisation comprenne quels contrôles et exigences sont couverts par le CSP et lesquels sont couverts par votre organisation. Le CMMC recommande d'obtenir cette matrice de responsabilité client par écrit de la part de votre fournisseur.

En tirant parti des services cloud autorisés par FedRAMP (ou en fournissant un ensemble de preuves similaire à ce qui aurait été créé dans le cadre du processus FedRAMP), votre organisation peut bénéficier de solutions préconstruites conçues pour répondre aux exigences du CMMC. Cela est particulièrement avantageux si vous êtes une petite ou moyenne entreprise qui manque de connaissances et d'expérience par rapport à des prestataires disposant de nombreuses ressources comme Amazon et Microsoft.

Comment accéder à AWS GovCloud

AWS GovCloud (US) est une région cloud isolée conçue pour héberger tous types de données CUI et non classifiées pour les agences et entités gouvernementales américaines vérifiées. Elle est conforme à de nombreux cadres réglementaires, y compris FedRAMP, CJIS et les Règlements sur le trafic international d'armes (ITAR).

Vous pouvez suivre les étapes ci-dessous pour obtenir l'accès.

Étape 1 : Vérifiez votre admissibilité

AWS GovCloud est disponible pour les agences gouvernementales américaines et leurs contractants. Pour être éligible, votre organisation doit être une entité basée aux États-Unis avec des personnes américaines gérant l'environnement.

Étape 2 : Demander l'accès

Pour commencer le processus, visitez la page AWS GovCloud (US) et remplissez le formulaire Contactez-nous. Un représentant commercial d'AWS examinera le formulaire et vous contactera.

Les clients qualifiés peuvent également demander l'accès à AWS GovCloud (US) depuis la console de gestion AWS d'un compte AWS standard. AWS examinera votre demande et, si elle est approuvée, vous guidera tout au long du processus d'intégration.

Étape 3 : Signer un contrat

Pour obtenir l'accès, vous devez signer un accord client et un accord spécifique à AWS GovCloud (US).

Étape 4 : Créer un utilisateur IAM

Vous ne pouvez pas accéder à AWS GovCloud (US) avec des identifiants AWS standard. Vous devez disposer d'identifiants d'utilisateur IAM d'AWS GovCloud (US). Seul le propriétaire du compte (également connu sous le nom d'utilisateur root) ou un administrateur IAM au sein du compte AWS GovCloud (US) peut créer des utilisateurs IAM et fournir les identifiants appropriés.

Les étapes de création d'un utilisateur IAM varient en fonction de votre rôle de fournisseur de solutions ou de propriétaire de compte. Ces étapes peuvent être trouvées dans le Guide de l'utilisateur AWS GovCloud (US).

Comment obtenir un accès à AWS Secret Cloud

AWS Secret Cloud est un environnement cloud hautement sécurisé et évolutif pour les charges de travail classifiées secrètes par le gouvernement américain. Il est conçu pour la communauté du renseignement américaine, le département de la Défense, les agences civiles fédérales, la base industrielle de la défense et les organisations de soutien travaillant avec des informations classifiées. Il répond aux exigences du DoD Cloud Computing Security Requirements Guide Impact Level 6 et de la directive de la communauté du renseignement (ICD) 503.

Vous pouvez suivre les étapes ci-dessous pour obtenir l'accès.

Étape 1 : Comprendre les exigences

AWS Secret Cloud n'est disponible que pour les organisations ayant des contrats spécifiques avec le gouvernement américain nécessitant un environnement classifié. L'accès est très restreint et implique généralement de travailler en étroite collaboration avec l'agence gouvernementale avec laquelle vous contractez.

Étape 2 : Demander l'accès

Il y a moins d'informations publiques disponibles sur AWS Secret Cloud que sur AWS GovCloud (US). Vous devrez visiter la page AWS Secret Cloud et remplir le formulaire Contactez-nous pour en savoir plus et demander l'accès.

Étape 3 : Se coordonner avec le gouvernement américain

Si votre projet nécessite l'utilisation d'AWS Secret Cloud, vous devrez travailler directement avec votre agence gouvernementale parrainante. Elle vous guidera à travers les étapes nécessaires, y compris les exigences de sécurité et les procédures d'accès.

Comment obtenir un accès à Azure Government

Azure Government est une plateforme cloud conçue pour répondre aux exigences rigoureuses en matière de sécurité et de conformité des agences gouvernementales américaines. Elle assure la conformité avec diverses réglementations, y compris FedRAMP High, DFARS Clause 252.204-7012, CJIS et ITAR.

Vous pouvez suivre les étapes ci-dessous pour obtenir l'accès.

Étape 1 : Vérifier l'éligibilité

Azure Government est disponible pour les entités gouvernementales américaines et leurs partenaires. Comme AWS GovCloud, il est limité aux entités basées aux États-Unis gérées par des personnes américaines.

Étape 2 : Soumettre une demande d'accès

Pour accéder à Azure Government, visitez la page Azure Government et remplissez le formulaire pour initier le processus. Microsoft examinera votre éligibilité et, si elle est approuvée, procédera au processus d'intégration.

Vous pouvez également demander un essai gratuit pour commencer.

Étape 3 : Se connecter à Azure Government

Il existe plusieurs façons de se connecter à Azure Government, notamment via le portail Azure Government, Azure CLI et Powershell. Microsoft fournit des guides détaillés pour chacune de ces méthodes.

Étape 4 : Utiliser Azure Blueprints

Microsoft propose des Azure Blueprints pour CMMC, qui sont des modèles préconfigurés vous aidant à configurer rapidement un environnement conforme. Ces blueprints simplifient le processus de conformité aux exigences CMMC en expliquant comment les services et fonctionnalités Azure Government peuvent être déployés pour implémenter un sous-ensemble de contrôles de sécurité qui sont sous la responsabilité du client.

À l'instar d'AWS, Microsoft propose également Azure Government Secret pour les données classifiées. Les étapes pour obtenir l'accès sont similaires à celles décrites ci-dessus.

Comment accéder à Google Cloud

Google Cloud est une autre plateforme cloud conçue pour répondre aux normes de sécurité les plus strictes du gouvernement américain. En plus d'être autorisé à FedRAMP High, Google a recherché des évaluations NIST SP 800-171, y compris une évaluation de la préparation au CMMC en octobre 2023, afin de se préparer pour une évaluation officielle du CMMC Niveau 2 une fois le CMMC 2.0 finalisé.

Contrairement à AWS et Azure, Google ne propose pas de “clouds gouvernementaux” isolés. Au lieu de cela, Google Cloud a obtenu l'autorisation Impact Level 5 pour un ensemble croissant de services dans son cloud commercial et s'engage à certifier l'ensemble de son infrastructure cloud américaine au niveau IL 5. L'objectif est de permettre à tous les utilisateurs, y compris ceux du secteur public, de bénéficier de la fiabilité, de l'évolutivité et de l'innovation de Google Cloud.

Cependant, cela signifie que les organisations qui cherchent à se conformer au CMMC doivent utiliser uniquement des régions et des centres de données aux États-Unis. La bonne nouvelle est que Google Cloud propose le portefeuille de services cloud le plus complet du marché pour les clients du secteur public américain, comprenant neuf régions prises en charge et 28 zones.

Accéder à Google Cloud est simple. Il vous suffit de créer un compte Google Cloud, puis vous pouvez commencer la configuration de votre plateforme.

Considérations clés lors de l'utilisation de fournisseurs de services cloud gouvernementaux

Lors de l'utilisation d'un fournisseur de cloud gouvernemental tel que AWS GovCloud, AWS Secret Cloud, Azure Government ou Google Cloud et pour essayer d'atteindre et de maintenir la conformité CMMC, considérez ce qui suit :

Souveraineté des données : Assurez-vous que vos données restent aux États-Unis et sont gérées par des personnes américaines pour répondre aux exigences du CMMC et d'autres réglementations.
Contrôle d'accès : Mettez en place des contrôles d'accès stricts pour limiter qui peut accéder aux informations sensibles, en accord avec les exigences du CMMC.
Surveillance continue : Utilisez les outils de surveillance fournis par AWS et Azure pour évaluer et maintenir en continu la conformité aux normes CMMC.
Documentation : Maintenez une documentation complète de la configuration de votre environnement cloud, des mesures de sécurité et de l'état de la conformité pour rationaliser le processus d'évaluation du CMMC.

FAQs

Un fournisseur de services cloud peut-il répondre à certaines exigences du CMMC pour vous ?

Oui, certaines des exigences du CMMC peuvent être satisfaites par un fournisseur de services cloud (CSP). Dans le modèle de responsabilité partagée, de nombreux contrôles de sécurité de base (tels que la sécurité physique, la sécurité de l'infrastructure réseau et certains contrôles d'accès) sont généralement gérés par le CSP. Par exemple, le CMMC exige certaines mesures de protection pour le stockage et la transmission des données. Si vous utilisez un CSP qui respecte des normes spécifiques comme FedRAMP ou NIST SP 800-171, ces normes peuvent être alignées avec les contrôles CMMC. Le CSP peut déjà répondre à certaines exigences du CMMC en matière de sécurité de l'infrastructure, mais le client est toujours responsable de la configuration et de la gestion de ses systèmes de manière sécurisée pour remplir le reste des obligations du CMMC.

Comment savoir quelles exigences du CMMC ont été satisfaites par votre CSP ?

Chaque CSP aura une matrice de responsabilité partagée unique et il est important que votre organisation comprenne quels contrôles et exigences sont couverts par le CSP et lesquels sont couverts par votre organisation. Le CMMC conseille d'obtenir cette matrice de responsabilité du client par écrit de votre fournisseur.

Produit

Gestion des risques

Évaluations de sécurité des fournisseurs

Cadres Prise en Charge

Solutions

Principaux Cadres

Types de partenaires

Programme de partenariat

Ressources en sécurité et conformité

Ressources sur les cadres

Ressources clients

Entreprise

Comment utiliser les services cloud gouvernementaux pour accélérer la conformité CMMC

Comment un fournisseur de cloud gouvernemental peut simplifier la conformité CMMC

Comment accéder à AWS GovCloud

Étape 1 : Vérifiez votre admissibilité

Étape 2 : Demander l'accès

Étape 3 : Signer un contrat

Étape 4 : Créer un utilisateur IAM

Comment obtenir un accès à AWS Secret Cloud

Étape 1 : Comprendre les exigences

Étape 2 : Demander l'accès

Étape 3 : Se coordonner avec le gouvernement américain

Comment obtenir un accès à Azure Government

Étape 1 : Vérifier l'éligibilité

Étape 2 : Soumettre une demande d'accès

Étape 3 : Se connecter à Azure Government

Étape 4 : Utiliser Azure Blueprints

Comment accéder à Google Cloud

Considérations clés lors de l'utilisation de fournisseurs de services cloud gouvernementaux

FAQs

Aperçu du CMMC

Qu'est-ce que la certification du modèle de maturité en cybersécurité ?

La Règle Finale Proposée du CMMC : Ce Que C'est et Quand Elle Entre en Vigueur

Qui a besoin de la certification CMMC ?

Pourquoi le CMMC est-il important ? Avantages de la certification CMMC

Contrôles CMMC 2.0 et comment les mettre en œuvre dans votre organisation

Comparer le CMMC à d'autres cadres fédéraux

CMMC vs NIST 800-171 : Le CMMC 2.0 remplace-t-il le NIST ?

CMMC 2.0 vs. FedRAMP : Principales différences et comment décider

Comparer CMMC 2.0 et NIST 800-53 : Quel est le bon choix pour votre organisation ?

Naviguer dans la conformité fédérale : Avez-vous besoin de CMMC, FedRAMP ou de l'un des cadres NIST ?

Exigences CMMC

Quelles sont les exigences CMMC?

Comment déterminer votre niveau de certification CMMC

Quel type d'évaluation CMMC vous faut-il ?

Comment utiliser les services cloud gouvernementaux pour accélérer la conformité CMMC

Quels documents CMMC sont nécessaires pour la conformité ?

Processus de certification CMMC

Comment obtenir la certification CMMC : Naviguer dans la conformité du début à la fin

Combien coûte la certification CMMC 2.0 ?

Combien de temps faut-il pour obtenir la certification CMMC 2.0 ?

Organismes d'évaluation tiers certifiés (C3PAO) : comprendre leur rôle et comment en choisir un pour votre certification CMMC

Automatisation de la conformité CMMC

Manuel vs. Automatisé : Rationalisez la Conformité CMMC

Les économies de coûts et de temps de l'automatisation de la conformité CMMC

Pourquoi l'automatisation de la conformité CMMC dévoile de meilleures perspectives de sécurité

Maintenir la conformité CMMC

Outils et Ressources CMMC

Listes de contrôle de conformité CMMC

Modèles de documentation CMMC

Formation CMMC