Comprendre les contrôles CMMC est crucial pour toute entreprise souhaitant travailler avec le DoD. Que vous soyez un grand contractant ou une petite entreprise, l'adoption de ces mesures de sécurité peut faire une différence significative dans vos efforts de cybersécurité.

Explorons les trois niveaux du CMMC 2.0 et des conseils pour mettre en œuvre les exigences. Nous couvrirons également un sous-ensemble de contrôles de chaque niveau pour une meilleure compréhension des exigences clés et des pratiques de sécurité.

La structure du CMMC 2.0

Le CMMC se compose de trois niveaux de maturité en cybersécurité, chacun représentant un degré différent de pratiques et de protections en matière de cybersécurité.

La dernière révision du CMMC 2.0 a consolidé les niveaux de conformité de cinq à trois. Cela a été fait pour simplifier le cadre, le rendant plus accessible à un plus grand nombre d’organisations à mettre en œuvre. Avec moins de niveaux, les entrepreneurs et sous-traitants de défense peuvent identifier plus clairement les exigences nécessaires, réduisant ainsi la complexité et les coûts associés pour atteindre et maintenir la conformité. De plus, un cadre simplifié permet un processus de certification plus efficace.

Voici un bref aperçu de chaque niveau de certification CMMC :

• Niveau 1 - Fondamental : Se concentre sur l'hygiène cybernétique de base, adapté à tous les contractants manipulant des informations sur les contrats fédéraux (FCI), avec 17 exigences essentielles.
• Niveau 2 - Avancé : S'aligne avec le NIST SP 800-171, destiné à une hygiène cybernétique intermédiaire pour les organisations manipulant des informations non classifiées contrôlées (CUI), intégrant 110 exigences complètes.
• Niveau 3 - Expert : Cible des pratiques de cybersécurité avancées pour les informations hautement sensibles, avec 130 pratiques visant à se protéger contre les menaces persistantes avancées (APT).

Chaque niveau du CMMC 2.0 représente une avancée en matière de maturité en cybersécurité, garantissant que les organisations améliorent progressivement leur capacité à protéger les informations sensibles et à répondre aux cybermenaces.

Domaines et pratiques CMMC 2.0

Le CMMC 2.0 est divisé en 14 domaines, chacun représentant un domaine clé de la cybersécurité.

1. Contrôle d'accès (AC)
2. Sensibilisation et Formation (AT)
3. Audit et Responsabilité (AU)
4. Gestion de la Configuration (CM)
5. Identification et Authentification (IA)
6. Réponse aux Incidents (IR)
7. Maintenance (MA)
8. Protection des Médias (MP)
9. Sécurité du Personnel (PS)
10. Protection Physique (PE)
11. Évaluation des Risques (RA)
12. Évaluation de la Sécurité (CA)
13. Protection des Systèmes et des Communications (SC)
14. Intégrité des Systèmes et des Informations (SI)

Chaque niveau de maturité au sein de ces domaines inclut des exigences spécifiques. Ces exigences sont les étapes exploitables ou les contrôles de sécurité que les organisations doivent mettre en place pour atteindre le niveau correspondant de maturité en cybersécurité. Les exigences sont cumulatives, ce qui signifie que les niveaux supérieurs incluent les exigences des niveaux inférieurs.

Par exemple, le domaine du contrôle d'accès (AC) comprend les exigences suivantes.

Niveau 1 : 

• 3.1.1 : Limiter l'accès au système d'information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux dispositifs (y compris d'autres systèmes d'information).
• 3.1.2 : Limiter l'accès au système d'information aux types de transactions et fonctions que les utilisateurs autorisés sont autorisés à exécuter.
• 3.1.20 : Vérifier et contrôler/limiter les connexions et l'utilisation des systèmes d'information externes.
• 3.1.22 : Contrôler les informations publiées ou traitées sur des systèmes d'information accessibles au public.

Niveau 2 : En plus des contrôles du niveau 1, mettre en œuvre :

• 3.1.10 : Utiliser le verrouillage de session avec des affichages masquant les schémas pour empêcher l'accès et la visualisation des données après une période d'inactivité.
• 3.1.11 : Terminer (automatiquement) les sessions utilisateur après une condition définie.
• 3.1.12 : Surveiller et contrôler les sessions d'accès à distance.
• 3.1.14 : Acheminer l'accès à distance via des points de contrôle d'accès gérés.
• 3.1.15 : Autoriser l'exécution à distance de commandes privilégiées et l'accès à distance à des informations pertinentes pour la sécurité.
• 3.1.16 : Autoriser l'accès sans fil avant d'autoriser de telles connexions.
• 3.1.17 : Protéger l'accès sans fil en utilisant l'authentification et le cryptage.
• 3.1.18 : Contrôler la connexion des appareils mobiles.
• 3.1.19 : Chiffrer le CUI sur les appareils mobiles et les plateformes informatiques mobiles.
• 3.1.21 : Limiter l'utilisation des périphériques de stockage portables sur les systèmes externes.
• 3.1.3 : Contrôler le flux de CUI conformément aux autorisations approuvées.
• 3.1.4 : Séparer les fonctions des individus pour réduire le risque d'activité malveillante sans collusion.
• 3.1.5 : Appliquer le principe du moindre privilège, y compris pour les fonctions de sécurité spécifiques et les comptes privilégiés.
• 3.1.6 : Utiliser des comptes ou des rôles non privilégiés lors de l'accès à des fonctions non sécurisées.
• 3.1.7 : Empêcher les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et capturer l'exécution de ces fonctions dans les journaux d'audit.
• 3.1.8 : Limiter les tentatives de connexion infructueuses.
• 3.1.9 : Fournir des avis de confidentialité et de sécurité conformes aux règles CUI applicables.

Niveau 3 : Ajoute les 24 exigences supplémentaires dans NIST 800-172 : Exigences de sécurité renforcées pour la protection des informations non classifiées contrôlées. Il s'agit d'une publication complémentaire au NIST 800-171 qui détaille les exigences de sécurité renforcées pour protéger les informations critiques contre les menaces persistantes avancées. 

Dans le cadre du NIST 800-172, les exigences de contrôle d'accès comprennent :

• 3.1.1e : Utiliser une double autorisation pour exécuter des opérations critiques ou sensibles au niveau du système et de l'organisation
• 3.1.2e : Restreindre l'accès aux systèmes et aux composants système uniquement aux ressources d'information détenues, fournies ou émises par l'organisation
• 3.1.3e : Utiliser des solutions de transfert d'informations sécurisées définies par l'organisation pour contrôler les flux d'informations entre les domaines de sécurité sur les systèmes connectés.

Cette structure hiérarchisée aide les organisations à améliorer systématiquement leur posture en matière de cybersécurité en mettant en œuvre des pratiques de plus en plus mûres.

Exemples de contrôles CMMC 2.0

Examinons de plus près des exemples spécifiques de pratiques de sécurité pour chaque niveau de conformité CMMC 2.0.

Niveau 1 : Fondamental

Ce niveau comprend des pratiques de protection de base requises pour tous les sous-traitants de la défense traitant des FCI. Ces pratiques sont alignées avec FAR 52.204-21 et comprennent des mesures de sécurité telles que la protection antivirus, les changements réguliers de mot de passe et les mesures de sécurité physique.

Quelques exemples d'exigences de conformité du Niveau 1 :

• Limiter l'accès aux systèmes d'information aux utilisateurs autorisés.
• Limiter l'accès aux systèmes d'information aux types de transactions et fonctions que les utilisateurs autorisés sont autorisés à exécuter.
• Vérifier et contrôler/limiter les connexions et l'utilisation des systèmes d'information externes.
• Contrôler les informations publiées ou traitées sur les systèmes d'information accessibles au public.
• Identifier les utilisateurs des systèmes d'information, les processus agissant au nom des utilisateurs ou les dispositifs.
• Authentifier (ou vérifier) l'identité de ces utilisateurs, processus ou dispositifs, comme préalable à l'accès aux systèmes d'information organisationnels.
• Désinfecter ou détruire les supports des systèmes d'information contenant des informations de contrat fédéral avant leur élimination ou leur réutilisation.
• Limiter l'accès physique aux systèmes d'information organisationnels, aux équipements et aux environnements de fonctionnement respectifs aux individus autorisés.
• Accompagner les visiteurs et surveiller leur activité.
• Maintenir des journaux d'audit des accès physiques.
• Contrôler et gérer les dispositifs d'accès physique.
• Offrir une protection contre les codes malveillants à des emplacements appropriés au sein des systèmes d'information organisationnels.
• Mettre à jour les mécanismes de protection contre les codes malveillants lorsque de nouvelles versions sont disponibles.
• Effectuer des analyses périodiques du système d'information et des analyses en temps réel des fichiers provenant de sources externes lorsque les fichiers sont téléchargés, ouverts ou exécutés.
• Surveiller les contrôles de sécurité de manière continue pour assurer l'efficacité continue des contrôles.
• Identifier, signaler et corriger les défauts des informations et des systèmes d'information en temps opportun.
• Fournir une formation de sensibilisation à la sécurité sur la reconnaissance et la signalisation des indicateurs potentiels de menace interne.

Niveau 2 : Avancé

Ce niveau est aligné avec NIST SP 800-171 et comprend des pratiques de protection des CUI. Il s'appuie sur le Niveau 1 en ajoutant des mesures et politiques de cybersécurité plus exhaustives.

Exemples de principales exigences de conformité du Niveau 2 :

• Établir et maintenir des configurations et des inventaires de base des systèmes d'information organisationnels (y compris le matériel, les logiciels, le micrologiciel et la documentation) tout au long des cycles de vie de développement des systèmes respectifs.
• Mettre en œuvre des sous-réseaux pour les composants du système accessibles au public qui sont séparés physiquement ou logiquement des réseaux internes.
• Utiliser des mécanismes cryptographiques pour protéger la confidentialité des sessions d'accès à distance.
• Assurer la confidentialité des CUI au repos.
• Utiliser une cryptographie validée par FIPS lorsqu'elle est utilisée pour protéger la confidentialité des CUI.
• Mettre en œuvre une capacité à découvrir et identifier les systèmes afin de maintenir un inventaire des actifs à jour.
• Développer, documenter et maintenir sous contrôle de configuration une configuration de base actuelle du système d'information.
• Effectuer des tests de pénétration périodiques sur les systèmes d'information pour identifier les vulnérabilités.
• Utiliser des mécanismes automatisés pour détecter et alerter de tout matériel ou logiciel non autorisé.
• Utiliser des mécanismes de protection contre le spam aux points d'entrée et de sortie des systèmes d'information pour détecter et agir contre les messages non sollicités.

Niveau 3 : Expert

Ce niveau est destiné aux organisations traitant des informations les plus sensibles et est aligné avec un sous-ensemble de NIST SP 800-172. Il comprend des mesures de cybersécurité avancées et adaptatives pour se protéger contre les menaces sophistiquées.

Les contrôles pour ce niveau de conformité incluent une surveillance continue, une détection avancée des menaces et une segmentation des réseaux. Voici quelques exemples de contrôles supplémentaires :

• Établir et maintenir un centre d'opérations de sécurité pour surveiller, analyser et répondre aux incidents de sécurité.
• Mettre en œuvre une segmentation avancée des réseaux pour contenir et limiter l'impact des incidents cyber.
• Utiliser des technologies de déception pour détecter, analyser et répondre aux menaces persistantes avancées.
• Effectuer des exercices de red team pour tester les capacités de réponse de l'organisation contre des tactiques avancées simulées d'adversaire.
• Intégrer le renseignement sur les menaces dans le processus de réponse aux incidents pour améliorer les capacités de détection et de réponse.
• Mettre en œuvre une surveillance continue et une analyse en temps réel des menaces de cybersécurité.
• Utiliser des technologies d'apprentissage automatique et d'intelligence artificielle pour améliorer la détection et la réponse aux menaces.
• Assurer l'utilisation d'outils automatisés pour soutenir la connaissance situationnelle et les évaluations de la posture de cybersécurité.
• Mettre en œuvre et tester régulièrement des plans de sauvegarde et de récupération des données pour garantir la capacité de restaurer les informations critiques en cas d'incident cyber.
• Utiliser des techniques de chiffrement avancées pour protéger l'intégrité et la confidentialité des CUI.

Quels sont les contrôles NFO ?

Les contrôles des organisations non fédérales (NFO) sont des contrôles de sécurité de base qui sont censés faire partie de la posture standard de cybersécurité de toute organisation, quel que soit son niveau CMMC.

Pour comprendre les contrôles NFO, nous devons examiner le NIST 800-171 et sa relation avec NIST 800-53. CMMC 2.0 est construit autour de l'ensemble de contrôles de la Révision 2 du NIST 800-171, qui est elle-même une dérivée du NIST 800-53. NIST 800-171 est conçu pour être plus léger, et dans le processus de réduction des 262 contrôles du NIST 800-53 en un plus petit sous-ensemble pour le NIST 800-171, le NIST a fait des hypothèses sur les contrôles que les organisations auraient déjà mis en œuvre.

Pour le mettre dans un autre contexte, une entreprise de sécurité domestique va vous donner des conseils sur les caméras et les lumières à détecteur de mouvement parce qu'elle suppose que vous avez déjà des serrures sur vos portes. De la même manière, la Révision 2 du NIST 800-171 supposait que vous aviez déjà les bases en place. Les exigences NFO couvrent généralement des domaines tels que le contrôle d'accès, la réponse aux incidents, l'intégrité des systèmes et des informations, la sensibilisation et la formation, et l'évaluation de la sécurité.

Les contrôles NFO ont été supprimés dans la Rév. 3 du NIST 800-171. Cependant, comme le CMMC 2.0 est toujours basé sur la Rév. 2 du NIST 800-171, les contrôles NFO restent pertinents pour la posture de préparation d'un OSC.

Chevauchement des contrôles CMMC 2.0

Les contrôles CMMC se chevauchent considérablement avec d'autres cadres fédéraux comme le NIST SP 800-171, le NIST SP 800-53 et FedRAMP, car ils sont tous conçus pour assurer la sécurité des systèmes et des données d'information fédéraux.

Voici comment les contrôles CMMC se rapportent à chacun de ces cadres :

1. CMMC et NIST SP 800-171

Il existe un chevauchement significatif entre ces deux cadres. Le NIST SP 800-171 fournit un ensemble de directives pour protéger les CUI dans les systèmes et organisations non fédéraux. Les niveaux 2 et 3 du CMMC 2.0 incluent toutes les 110 exigences de sécurité du NIST SP 800-171.

Le niveau 2 du CMMC est conçu pour s'aligner étroitement avec le NIST SP 800-171, ce qui en fait une étape naturelle pour les organisations qui sont déjà conformes au NIST SP 800-171. Le niveau 3 ajoute des pratiques du NIST 800-172 pour assurer une protection plus robuste du CUI, en particulier contre les menaces persistantes avancées.

2. CMMC et NIST SP 800-53

Le NIST SP 800-53 est un ensemble plus large et plus complet de contrôles de sécurité et de confidentialité conçus pour les systèmes d'information fédéraux. Il s'applique aux agences fédérales et aux contractants manipulant des systèmes d'information fédéraux et couvre une large gamme de contrôles de sécurité au-delà de ceux pour les CUI.

Le NIST SP 800-53 est plus complet que le CMMC et couvre une gamme plus large de contrôles qui s'appliquent à divers types d'informations, pas seulement aux CUI. Il inclut des contrôles pour les systèmes à fort impact, ce qui le rend pertinent pour les agences fédérales et les contractants travaillant avec des informations plus sensibles ou critiques.

Le CMMC s'inspire du NIST SP 800-53, et plus spécifiquement de son dérivé NIST 800-171, et est adapté pour répondre aux besoins spécifiques de la chaîne d'approvisionnement du DoD. La plupart des contrôles du CMMC se trouvent dans le NIST 800-53.

3. CMMC et FedRAMP

FedRAMP est spécifiquement axé sur les fournisseurs de services cloud (CSP) et garantit que les systèmes basés sur le cloud utilisés par les agences fédérales répondent à des exigences de sécurité strictes. Il utilise le NIST SP 800-53 comme base, mais avec des exigences et des contrôles supplémentaires adaptés aux environnements cloud.

Le CMMC ne cible pas spécifiquement les environnements cloud comme le fait FedRAMP, mais il existe de nombreux chevauchements dans les contrôles de sécurité requis pour les deux. Par exemple, les deux cadres soulignent l'importance du contrôle d'accès, de la réponse aux incidents, de l'intégrité des systèmes et des informations, et de la surveillance continue.

Les organisations qui sont à la fois conformes au FedRAMP et cherchant à obtenir la certification CMMC peuvent trouver des chevauchements dans les contrôles qu'elles doivent mettre en œuvre, en particulier aux niveaux 2 et 3 du CMMC. Ce chevauchement peut aider à rationaliser les efforts de conformité, mais les organisations doivent veiller à répondre aux exigences spécifiques de chaque cadre.

La principale différence entre le CMMC et ces autres cadres est que le CMMC est spécifiquement conçu pour la chaîne d'approvisionnement du DoD, en se concentrant sur la vérification et la certification que les organisations non fédérales répondent aux normes de sécurité requises pour protéger les FCI et les CUI. D'autres cadres comme le NIST SP 800-171 et FedRAMP sont plus larges dans leur portée, s'appliquant à divers secteurs et types de systèmes d'information au-delà de ceux de la chaîne d'approvisionnement du DoD.

Conseils pour la mise en œuvre de la liste de contrôles CMMC 2.0

La première étape de la mise en œuvre des contrôles est de comprendre votre niveau de conformité et les exigences associées. Une fois que vous avez une liste de contrôles, vous pouvez comparer avec vos pratiques de sécurité actuelles pour identifier les lacunes dans votre posture de conformité. Les outils d'automatisation de la conformité comme Secureframe vont automatiquement associer vos contrôles existants à des cadres spécifiques, y compris le CMMC 2.0, afin que vous puissiez rapidement comprendre votre statut de conformité et vous concentrer sur la mise en œuvre des contrôles manquants. Et comme les contrôles peuvent être mappés à plusieurs cadres, les organisations déjà conformes à des cadres similaires comme le NIST 800-171 peuvent rapidement démontrer leur conformité au CMMC.

Mettez en évidence les zones de non-conformité afin de pouvoir prioriser vos efforts et créer un plan de mise en œuvre. Vous devrez évaluer le budget, le personnel et les outils nécessaires pour mettre en œuvre les contrôles requis. Vous devrez peut-être mettre en œuvre des outils de formation à la sensibilisation à la sécurité, des outils de conformité et/ou d'outils GRC, des enclaves CUI CMMC et d'autres technologies de protection CUI. Du point de vue du personnel, cela peut inclure des membres de l'équipe informatique, des professionnels de la sécurité, des responsables de la conformité, du personnel des ressources humaines et d'autres parties prenantes à travers l'entreprise. Vous devrez également former le personnel pour vous assurer que tout le monde comprend son rôle dans le processus de conformité et dans le maintien de pratiques de cybersécurité solides.

Une fois qu'il est temps de mettre en œuvre des contrôles spécifiques, travaillez à partir de votre liste priorisée. Gardez des enregistrements détaillés de vos efforts, y compris les politiques, les procédures et les preuves des contrôles mis en œuvre. De nombreuses organisations trouvent qu'il est plus facile de commencer par des contrôles fondamentaux comme les politiques de mot de passe et les logiciels antivirus avant de mettre en œuvre des contrôles plus complets comme le cryptage et les systèmes de surveillance continue. La plateforme de conformité de Secureframe comprend des outils pour simplifier ce processus, y compris des modèles de politique, la collecte automatisée de preuves et la surveillance continue des contrôles.

Après avoir comblé toutes les lacunes de conformité, vous pouvez commencer le processus d'évaluation formel du CMMC. Selon votre niveau de conformité, cela peut impliquer une autoévaluation, travailler avec un évaluateur tiers certifié (C3PAO) ou compléter une évaluation du Supplier Performance Risk System (SPRS) avec le DoD.

Après la certification, vous devrez surveiller continuellement votre environnement de contrôle pour vous assurer de son efficacité et identifier les domaines à améliorer. Cela vous permet également de suivre l'évolution des menaces et des nouvelles révisions du CMMC ou des exigences changeantes.