Certification du modèle de maturité de cybersécurité (CMMC)

La Certification du modèle de maturité de la cybersécurité (CMMC) est une toute nouvelle exigence universelle définie par le ministère de la Défense (DoD). La conception a été développée en raison de l’adoption lente de son prédécesseur, le supplément de réglementation fédérale d’acquisition de la défense (DFARS). Il a été largement admis que les prescriptions universelles du DFARS ne fonctionnaient pas et conduisaient les spécialistes du DoD à déclarer faussement la conformité aux prescriptions qui en faisaient partie alors qu’en réalité elles n’étaient pas conformes. Cette reconnaissance a entraîné le développement d’une échelle de maturité de cybersécurité à cinq niveaux, que les spécialistes du DoD peuvent utiliser pour s’examiner et devenir accrédités. C’est ce qu’on appelle la norme CMMC.

Ceux qui font l’objet d’un audit CMMC sont examinés sur l’échelle de notation de maturité basée sur le NIST de 1 à 5, où 1 démontre une santé de base en matière de cybersécurité et 5 une cybersécurité sophistiquée et progressive. programme qui associe les politiques, les processus, la répétabilité et l’efficacité à une protection proactive contre les cybermenaces. Le CMMC se concentre sur vos contrôles NIST 8700-171 traditionnels tout en incluant quelques contrôles « Autres » pour augmenter ce programme spécifique au DoD. Les domaines standard de mesures de contrôle incluent :

1. Contrôle d’accès
2. Sensibilisation et formation des employés
3. Audit et responsabilité
4. Gestion de la configuration
5. Identification et authentification
6. Détection et préparation des réactions aux incidents
7. Maintenance du système et correctifs
8. Media Defense
9. Personnel Sécurité
10. Sécurité physique
11. Évaluations des menaces : reconnaître, examiner et gérer le danger
12. Évaluations de la sécurité
13. Définir les exigences de sécurité pour les systèmes et les communications Défense
14. Stabilité du système et des détails

Qui doit se conformer au CMMC ?

La conformité et l’accréditation du CMMC sont requises par tous les entrepreneurs du DoD, ce se compose de fournisseurs tout au long de la chaîne d’approvisionnement, de petites entreprises, de professionnels des produits commerciaux et de fournisseurs étrangers. L’organisme d’accréditation CMMC (CMMC-AB) collaborera directement avec le DoD pour développer des procédures pour autoriser des organismes d’évaluation tiers indépendants (CP3AO) et des évaluateurs qui évalueront les niveaux CMMC de l’entreprise.

Si votre service doit respecter le CMMC, il est essentiel de comprendre les cinq niveaux d’exigences. Chaque niveau requiert le respect des exigences de niveau inférieur et l’utilisation de processus supplémentaires en mettant en œuvre des méthodes particulières basées sur la cybersécurité.

• Niveau 1 : Une entreprise doit effectuer une « cyber santé de base « , telles que l’utilisation d’un logiciel antivirus ou la garantie que les employés disposent de mots de passe à 14 caractères (enregistrés dans un gestionnaire de mots de passe) pour chaque compte afin de protéger les informations sur l’accord fédéral (FCI). FCI est « des détails, non destinés à être rendus publics, qui sont fournis par ou générés pour le gouvernement dans le cadre d’un contrat visant à établir ou à fournir un service ou un produit au gouvernement fédéral ». Il n’inclut pas d’informations publiques ou de détails transactionnels spécifiques.
• Niveau 2 : Une entreprise doit documenter des pratiques particulières de « cybersanté intermédiaire » pour commencer à sécuriser les détails non classifiés contrôlés (CUI ) par l’application des exigences de sécurité de la publication unique 800-171 Modification 2 (NIST 800-171 r2) du National Institute of Standards and Innovation (NIST). CUI est « toute information que la loi, la politique ou la politique gouvernementale exige pour avoir des contrôles de protection ou de diffusion », mais ne consiste pas en des informations catégorisées en particulier.
• Niveau 3 : Une entreprise doit avoir une stratégie de gestion institutionnalisée pour mettre en œuvre des pratiques « d’excellentes cybersanté » pour sécuriser l’interface utilisateur, y compris toutes les exigences de sécurité NIST 800-171 r2 ainsi que des exigences supplémentaires.
• Niveau 4 : Une entreprise doit avoir exécuté des procédures pour examiner et mesurer l’efficacité des pratiques ainsi que des pratiques reconnues supplémentaires pour détecter et réagir aux méthodes, stratégies et procédures de modification des dangers persistants innovants (APT). Un APT est spécifié comme un ennemi qui possède des niveaux de compétence avancés et des ressources importantes qui lui permettent de produire des opportunités pour atteindre ses objectifs en utilisant de nombreux vecteurs d’attaque.
• Niveau 5 : A l’entreprise devrait avoir des processus standardisés et améliorés dans l’ensemble de l’entreprise et des pratiques améliorées supplémentaires qui offrent des capacités plus sophistiquées pour découvrir et réagir aux APT.Sources : CSO Online »The New CMMC

Norme « CMMC

Toute l’actualité en temps réel, est sur L’Entrepreneur