La Certification du Modèle de Maturité de la Cybersécurité (CMMC) est là et a le potentiel d’établir un nouveau cadre de sécurité pour d’autres agences publiques. La conformité de la CMMC pour les MSP et les professionnels de l’informatique travaillant avec le Ministère de la Défense Américaine ou ses sous-traitants devrait être une priorité pour 2021 afin de maintenir une activité normale.
Ce mois-ci, la Certification du Modèle de Maturité de la Cybersécurité (CMMC) a été officiellement adoptée comme nouvelle norme pour les contrats du Ministère de la Défense Américaine. D’ici octobre 2025, chaque contrat du Ministère de la Défense Américaine exigera que les entreprises soient certifiées par un auditeur tiers sur un système de notation à cinq niveaux. Pour les professionnels de l’informatique travaillant directement avec des sous-traitants de la défense ou avec le Ministère de la Défense Américaine, comprendre les nouvelles règles de la CMMC et comment les respecter est essentiel au succès de l’entreprise. La conformité éventuelle de la CMMC peut également atteindre les fournisseurs de Services Gérés (MSP), car d’autres agences publiques adoptent des normes de sécurité plus élevées.
La CMMC se compose de cinq niveaux, le niveau 1 étant le plus facile à atteindre et le niveau 5 étant le plus difficile et le plus coûteux. Au niveau 1, une organisation doit respecter 17 contrôles requis conçus pour maintenir la cyber-hygiène et protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI). Pour atteindre le niveau 5 de la CMMC, une organisation doit respecter les 171 contrôles requis. La bonne nouvelle est que, selon Katie ARRINGTON, Responsable de la sécurité de l’information pour le bureau du Sous-secrétaire à la Défense pour les acquisitions et le maintien américain (en abrégé « OUSD A&S »), la plupart des entreprises n’auront besoin d’atteindre qu’une CMMC de niveau 1 et moins d’un pour cent des contrats nécessiteront une CMMC de niveau 4 ou 5.
Les nouvelles règles ont été expressément conçues pour sécuriser la chaîne d’approvisionnement du ministère de la Défense Américaine. À la lumière d’un nombre croissant de brèches et d’attaques de ransomwares qui détournent des outils légitimes utilisés par les secteurs public et privé, suivre les directives énoncées dans le processus de CMMC peut aider à arrêter ces types d’attaques dans leur élan. Ce cadre profite aux professionnels de l’informatique travaillant dans tous les secteurs, car de nombreuses règles d’hygiène de cybersécurité, comme l’exigence d’une authentification multifacteur pour les utilisateurs, sont des principes de base que toute organisation pourrait mettre en œuvre.
La volonté du ministère de la Défense Américaine de sécuriser sa chaîne d’approvisionnement pourrait finalement aboutir à une nouvelle norme pour les agences civiles. En effet, FedScoop a rapporté que les responsables de CISA ont noté que les agences civiles bénéficieront naturellement de la mise en œuvre de la CMMC et que l’agence vise à aligner autant que possible leurs approches et directives de cybersécurité sur la CMMC. Avec la possibilité que la CMMC devienne une nouvelle norme fédérale, il peut être un avantage concurrentiel pour les MSP à commencer à se familiariser avec les nouvelles règles et à intégrer les meilleures pratiques fédérales en matière de sécurité dans leurs activités.
Que vous débutiez avec les règles de Certification du Modèle de Maturité de la Cybersécurité ou que vous fassiez le point sur votre hygiène de cybersécurité, voici quelques-unes des choses les plus importantes à savoir sur la CMMC.
Qu’est-ce que la CMMC ?
CMMC est l’acronyme de Certification du Modèle de Maturité de la Cybersécurité, une nouvelle norme qui s’applique à tous les entrepreneurs et sous-traitants du Ministère de la Défense Américaine. La nouvelle certification a été conçue comme un cadre de cybersécurité pour assurer la protection des informations sensibles non classifiées et se prémunir contre les attaques de type chaîne d’approvisionnement par des cybercriminels.
La CMMC est un système de notation à cinq niveaux. Le niveau 1 couvre les pratiques d’hygiène de base en matière de cybersécurité, comme l’utilisation du MFA. Le nombre d’exigences augmente en complexité et en coût à des niveaux de certification plus élevés. Selon l’OUSD A&S, moins de 1 % des contrats nécessiteront une certification de niveau 4 ou 5.
Quand la CMMC entrera-t-elle en vigueur ?
La CMMC est entrée en vigueur en décembre 2020. Les règles seront introduites progressivement dans de nouveaux contrats pour le Ministère de la Défense Américaine au cours des cinq prochaines années, avec une mise en œuvre complète prévue pour octobre 2025.
Comment savoir de quel niveau de certification j’ai besoin ?
La plupart des contrats ne nécessiteront qu’une certification de niveau 1, il s’agit donc d’une première étape importante, que toutes les entreprises et sous-traitants du Ministère de la Défense Américaine devraient franchir. Au-delà, les nouveaux contrats indiqueront le niveau de CMMC requis.
Combien coûte la CMMC ?
Katie ARRINGTON, responsable de la sécurité de l’information pour l’OUSD A&S, estime que le respect du niveau 1 de la CMMC, la norme la plus basse, coûtera 3 000 dollars tous les trois ans. On s’attend à ce que des niveaux plus élevés de CMMC deviennent plus coûteux à atteindre et à maintenir.
Quelles sont les exigences de niveau du CMMC ?
La CMMC de Niveau 1 comprend 17 pratiques de cybersécurité, qui abordent toutes les pratiques décrites dans la Réglementation Fédérale sur les Acquisitions (FAR) 48 CFR 52.204-21. Ces pratiques incluent des capacités de gestion des actifs, de gestion de la configuration, d’identification et d’authentification et de reprise après sinistre, pour n’en nommer que quelques-unes.
La CMMC de Niveau 3 comprend 130 pratiques de cybersécurité et comprend toutes celles du NIST SP 800-171r1. Aux niveaux 4 et 5 de la CMMC, les exigences auxquelles les sous-traitants du ministère de la Défense Américaine doivent adhérer comprennent un sous-ensemble des pratiques du projet NIST SP 800-171B et des pratiques avancées de cybersécurité supplémentaires.
Pour devenir certifiées, les entreprises doivent utiliser un organisme de certification tiers (C3PAO) autorisé et accrédité pour la CMMC, qui effectue des audits de la CMMC et délivre des certificats CMMC. L’OUSD A&S prévoit de faire certifier environ 1 500 entreprises en 2021, car les nouveaux contrats du ministère de la Défense américaine incluent ces exigences.
Que signifie la CMMC pour les MSP ?
La conformité CMMC pour les MSP travaillant avec des clients en rapport avec le ministère de la Défense américain peut devenir une exigence et ils doivent développer un plan pour répondre aux conditions énoncées dans la CMMC de Niveau 1. Cela permettra à l’activité des clients de continuer à être menée correctement et d’améliorer la sécurité globale des clients, même sans liens, avec le Ministère de la Défense Américaine. De nombreuses exigences de la CMMC de Niveau 1, telles que la capacité de fournir des évaluations de sécurité et une formation de sensibilisation, peuvent être des services précieux à inclure dans votre.contrat de Services Gérés (MSA) (nous publierons bientôt une version française dans notre Centre de Ressources).
Pour les MSP engagés avec d’autres parties du gouvernement fédéral et local, un certain niveau de conformité CMMC peut également devenir la nouvelle norme pour les agences publiques. Avec le taux croissant de violations d’entreprises et la demande de services de cybersécurité, la CMMC peut servir de guide utile pour identifier une voie pour la croissance des entreprises. La CMMC a également été développée en partenariat avec des pays européens comme la Suisse et le Royaume-Uni, suggérant la possibilité d’une norme internationale de cybersécurité et de nouvelles opportunités de croissance.
Comment les professionnels de l’informatique peuvent-ils prendre une longueur d’avance sur la CMMC ?
Commencez par vous assurer que les services peuvent être fournis via le Cloud afin d’accélérer les efforts de conformité CMMC et de réduire les coûts. En tirant parti des outils Cloud, les professionnels de l’informatique peuvent fournir de nombreuses pratiques CMMC qui améliorent la cybersécurité pour l’ensemble de l’organisation et atténuent les risques.
Les outils de surveillance et de gestion à distance basés sur le Cloud peuvent jouer un rôle important dans la chaîne d’outils de cybersécurité. Non seulement ils peuvent accélérer la détection des vulnérabilités et la gestion de la sécurité, mais les outils peuvent être mis à profit pour coordonner et organiser de nombreuses fonctions de sécurité de base comme la gestion des correctifs et l’antivirus.
**Pour une FAQ complète, visitez la page OUSD A&S sur la CMMC (en anglais).