Conformité CMMC pour les MSPs et professionnels de l’IT

Cybersecurity Maturity Model Certification (CMMC) Compliance blog featured image

La Certification du Modèle de Maturité de la Cybersécurité (CMMC) est là et a le potentiel d’établir un nouveau cadre de sécurité pour d’autres agences publiques. La conformité de la CMMC pour les MSP et les professionnels de l’informatique travaillant avec le Ministère de la Défense Américaine ou ses sous-traitants devrait être une priorité pour 2021 afin de maintenir une activité normale.

 

Ce mois-ci, la Certification du Modèle de Maturité de la Cybersécurité (CMMC) a été officiellement adoptée comme nouvelle norme pour les contrats du Ministère de la Défense Américaine. D’ici octobre 2025, chaque contrat du Ministère de la Défense Américaine exigera que les entreprises soient certifiées par un auditeur tiers sur un système de notation à cinq niveaux. Pour les professionnels de l’informatique travaillant directement avec des sous-traitants de la défense ou avec le Ministère de la Défense Américaine, comprendre les nouvelles règles de la CMMC et comment les respecter est essentiel au succès de l’entreprise. La conformité éventuelle de la CMMC peut également atteindre les fournisseurs de Services Gérés (MSP), car d’autres agences publiques adoptent des normes de sécurité plus élevées.

 

La CMMC se compose de cinq niveaux, le niveau 1 étant le plus facile à atteindre et le niveau 5 étant le plus difficile et le plus coûteux. Au niveau 1, une organisation doit respecter 17 contrôles requis conçus pour maintenir la cyber-hygiène et protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI). Pour atteindre le niveau 5 de la CMMC, une organisation doit respecter les 171 contrôles requis. La bonne nouvelle est que, selon Katie ARRINGTON, Responsable de la sécurité de l’information pour le bureau du Sous-secrétaire à la Défense pour les acquisitions et le maintien américain (en abrégé « OUSD A&S »), la plupart des entreprises n’auront besoin d’atteindre qu’une CMMC de niveau 1 et moins d’un pour cent des contrats nécessiteront une CMMC de niveau 4 ou 5.

 

Les nouvelles règles ont été expressément conçues pour sécuriser la chaîne d’approvisionnement du ministère de la Défense Américaine. À la lumière d’un nombre croissant de brèches et d’attaques de ransomwares qui détournent des outils légitimes utilisés par les secteurs public et privé, suivre les directives énoncées dans le processus de CMMC peut aider à arrêter ces types d’attaques dans leur élan. Ce cadre profite aux professionnels de l’informatique travaillant dans tous les secteurs, car de nombreuses règles d’hygiène de cybersécurité, comme l’exigence d’une authentification multifacteur pour les utilisateurs, sont des principes de base que toute organisation pourrait mettre en œuvre.

 

La volonté du ministère de la Défense Américaine de sécuriser sa chaîne d’approvisionnement pourrait finalement aboutir à une nouvelle norme pour les agences civiles. En effet, FedScoop a rapporté que les responsables de CISA ont noté que les agences civiles bénéficieront naturellement de la mise en œuvre de la CMMC et que l’agence vise à aligner autant que possible leurs approches et directives de cybersécurité sur la CMMC. Avec la possibilité que la CMMC devienne une nouvelle norme fédérale, il peut être un avantage concurrentiel pour les MSP à commencer à se familiariser avec les nouvelles règles et à intégrer les meilleures pratiques fédérales en matière de sécurité dans leurs activités.

 

Que vous débutiez avec les règles de Certification du Modèle de Maturité de la Cybersécurité ou que vous fassiez le point sur votre hygiène de cybersécurité, voici quelques-unes des choses les plus importantes à savoir sur la CMMC.

 

Qu’est-ce que la CMMC ?

 

CMMC est l’acronyme de Certification du Modèle de Maturité de la Cybersécurité, une nouvelle norme qui s’applique à tous les entrepreneurs et sous-traitants du Ministère de la Défense Américaine. La nouvelle certification a été conçue comme un cadre de cybersécurité pour assurer la protection des informations sensibles non classifiées et se prémunir contre les attaques de type chaîne d’approvisionnement par des cybercriminels.

 

La CMMC est un système de notation à cinq niveaux. Le niveau 1 couvre les pratiques d’hygiène de base en matière de cybersécurité, comme l’utilisation du MFA. Le nombre d’exigences augmente en complexité et en coût à des niveaux de certification plus élevés. Selon l’OUSD A&S, moins de 1 % des contrats nécessiteront une certification de niveau 4 ou 5.

 

Quand la CMMC entrera-t-elle en vigueur ?

 

La CMMC est entrée en vigueur en décembre 2020. Les règles seront introduites progressivement dans de nouveaux contrats pour le Ministère de la Défense Américaine au cours des cinq prochaines années, avec une mise en œuvre complète prévue pour octobre 2025.

 

Comment savoir de quel niveau de certification j’ai besoin ?

 

La plupart des contrats ne nécessiteront qu’une certification de niveau 1, il s’agit donc d’une première étape importante, que toutes les entreprises et sous-traitants du Ministère de la Défense Américaine devraient franchir. Au-delà, les nouveaux contrats indiqueront le niveau de CMMC requis.

 

Combien coûte la CMMC ?

 

Katie ARRINGTON, responsable de la sécurité de l’information pour l’OUSD A&S, estime que le respect du niveau 1 de la CMMC, la norme la plus basse, coûtera 3 000 dollars tous les trois ans. On s’attend à ce que des niveaux plus élevés de CMMC deviennent plus coûteux à atteindre et à maintenir.

 

Quelles sont les exigences de niveau du CMMC ?

 

La CMMC de Niveau 1 comprend 17 pratiques de cybersécurité, qui abordent toutes les pratiques décrites dans la Réglementation Fédérale sur les Acquisitions (FAR) 48 CFR 52.204-21. Ces pratiques incluent des capacités de gestion des actifs, de gestion de la configuration, d’identification et d’authentification et de reprise après sinistre, pour n’en nommer que quelques-unes.

 

La CMMC de Niveau 3 comprend 130 pratiques de cybersécurité et comprend toutes celles du NIST SP 800-171r1. Aux niveaux 4 et 5 de la CMMC, les exigences auxquelles les sous-traitants du ministère de la Défense Américaine doivent adhérer comprennent un sous-ensemble des pratiques du projet NIST SP 800-171B et des pratiques avancées de cybersécurité supplémentaires.

 

Pour devenir certifiées, les entreprises doivent utiliser un organisme de certification tiers (C3PAO) autorisé et accrédité pour la CMMC, qui effectue des audits de la CMMC et délivre des certificats CMMC. L’OUSD A&S prévoit de faire certifier environ 1 500 entreprises en 2021, car les nouveaux contrats du ministère de la Défense américaine incluent ces exigences.

 

Que signifie la CMMC pour les MSP ?

 

La conformité CMMC pour les MSP travaillant avec des clients en rapport avec le ministère de la Défense américain peut devenir une exigence et ils doivent développer un plan pour répondre aux conditions énoncées dans la CMMC de Niveau 1. Cela permettra à l’activité des clients de continuer à être menée correctement et d’améliorer la sécurité globale des clients, même sans liens, avec le Ministère de la Défense Américaine. De nombreuses exigences de la CMMC de Niveau 1, telles que la capacité de fournir des évaluations de sécurité et une formation de sensibilisation, peuvent être des services précieux à inclure dans votre.contrat de Services Gérés (MSA) (nous publierons bientôt une version française dans notre Centre de Ressources).

 

Pour les MSP engagés avec d’autres parties du gouvernement fédéral et local, un certain niveau de conformité CMMC peut également devenir la nouvelle norme pour les agences publiques. Avec le taux croissant de violations d’entreprises et la demande de services de cybersécurité, la CMMC peut servir de guide utile pour identifier une voie pour la croissance des entreprises. La CMMC a également été développée en partenariat avec des pays européens comme la Suisse et le Royaume-Uni, suggérant la possibilité d’une norme internationale de cybersécurité et de nouvelles opportunités de croissance.

Comment les professionnels de l’informatique peuvent-ils prendre une longueur d’avance sur la CMMC ?

 

Commencez par vous assurer que les services peuvent être fournis via le Cloud afin d’accélérer les efforts de conformité CMMC et de réduire les coûts. En tirant parti des outils Cloud, les professionnels de l’informatique peuvent fournir de nombreuses pratiques CMMC qui améliorent la cybersécurité pour l’ensemble de l’organisation et atténuent les risques.

 

Les outils de surveillance et de gestion à distance basés sur le Cloud peuvent jouer un rôle important dans la chaîne d’outils de cybersécurité. Non seulement ils peuvent accélérer la détection des vulnérabilités et la gestion de la sécurité, mais les outils peuvent être mis à profit pour coordonner et organiser de nombreuses fonctions de sécurité de base comme la gestion des correctifs et l’antivirus.

**Pour une FAQ complète, visitez la page OUSD A&S sur la CMMC (en anglais).

Pour aller plus loin

Les principes fondamentaux de la sécurité des appareils sont essentiels à votre posture de sécurité globale. NinjaOne facilite l’application de correctifs, le durcissement, la sécurisation et la sauvegarde des données de tous les appareils de façon centralisée, à distance et à grande échelle.
Pour en savoir plus sur NinjaOne Backup, participez à une visite guidée en direct ou commencez votre essai gratuit de la plateforme NinjaOne.

Vous pourriez aussi aimer

Prêt à devenir un Ninja de l’informatique ?

Découvrez comment NinjaOne peut vous aider à simplifier les opérations informatiques.
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton “J’accepte” ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni “tel quel” et “tel que disponible”, sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).