Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

Mises à jour réglementaires

Le département de la Défense des États-Unis a remplacé le 32 CFR par les règles du 48 CFR régissant la CMMC compliance, établissant un nouveau cadre d'application pour les entrepreneurs de la défense. Ce changement marque le début d'un régime de conformité plus fort et plus contraignant qui exige des organisations de valider les contrôles et de combler les lacunes pour répondre aux normes fédérales.

Cette transition représente un changement fondamental : CMMC n'est plus un objectif lointain. La conformité est désormais une exigence mesurable et exécutoire directement liée à l'éligibilité au contrat.

L'état du CMMC : ce qui a changé et pourquoi c'est important

La CMMC, ou Cybersecurity Maturity Model Certification, n'est pas nouvelle, mais elle est maintenant urgente. Après des années d'incertitude, le Département de la Défense a finalisé ses mises à jour à travers le 48 CFR, transformant l'application de la CMMC en réalité. La publication de la règle a déclenché un court compte à rebours pour la conformité, donnant aux organisations un temps limité pour s'aligner sur les exigences.

Au cœur du CMMC se trouve la preuve que les entreprises respectent les normes définies dans le NIST 800-171 : protéger les informations non classifiées contrôlées (CUI) et les informations des contrats fédéraux (FCI). Pour les organisations gérant des programmes de sensibilité plus élevée, le NIST 800-172 ajoute une couche supplémentaire d'exigences de sécurité renforcées conçues pour protéger les CUI contre les menaces persistantes avancées (APT). Il ne s'agit pas seulement d'avoir des politiques en place ; il s'agit de démontrer le contrôle. Les FCI relèvent du Niveau 1 (auto-évaluation), tandis que les CUI nécessitent une conformité aux Niveaux 2 et 3, vérifiée par des audits de tiers ou gouvernementaux. Il est important de noter que les exigences du Niveau 3 vont au-delà du NIST 800-171 et s'alignent plus étroitement avec les protections renforcées définies dans le NIST 800-172.

Niveaux d'évaluation CMMC

• Niveau 1 : Auto-évaluation (pour FCI)
• Niveau 2 : Évaluation par une tierce partie (C3PAO requis)
• Niveau 3 : Évaluation gouvernementale (réalisée par DIBCAC)

Le niveau d'exigence dépend du contrat spécifique du Département de la Défense (DoD). Pour les entrepreneurs principaux et les sous-traitants, la conformité fait désormais partie des coûts liés à l'activité.

Pourquoi la protection des CUI est plus complexe que vous ne le pensez

Les informations confidentielles non classifiées (CUI) correspondent aux données d'ingénierie, de conception ou de projet qui sous-tendent la fabrication gouvernementale et la défense. Contrairement aux industries typiques, de nombreuses organisations de la Base Industrielle de Défense (DIB) opèrent dans des environnements isolés du réseau pour séparer les systèmes critiques d'Internet. Cela signifie qu'elles dépendent encore fortement des clés USB pour transférer des données entre les postes de travail, les outils de fabrication et les partenaires.

Désactiver simplement les ports USB n'est pas une option. Ces organisations ont besoin de la capacité de transférer des données de manière sécurisée tout en garantissant que les informations confidentielles non classifiées ne quittent jamais l'environnement contrôlé de manière non cryptée ou non autorisée.

Définitions et exigences clés

• CUI (Controlled Unclassified Information) : Données d'ingénierie ou de projet sensibles qui soutiennent les programmes gouvernementaux ou de défense.
• FCI (Federal Contract Information) : Données concernant les contrats gouvernementaux qui doivent être protégées.
• Exigence de chiffrement : Toutes les CUI sur les clés USB doivent utiliser un chiffrement validé par FIPS, typiquement la norme AES-256.
• Audit : Le CMMC repose sur des preuves, et non sur la confiance. Les entreprises doivent démontrer leur conformité par des évaluations et des preuves.

Repenser la gestion des MDM : gérer les clés USB comme des appareils mobiles

L'approche de Netwrix traite les supports amovibles avec la même discipline que celle appliquée aux appareils mobiles. Netwrix Endpoint Protector fonctionne comme un MDM pour les clés USB, en appliquant le chiffrement, en surveillant les mouvements de données et en fournissant une gestion centralisée à distance. Les administrateurs peuvent automatiquement imposer le chiffrement lorsqu'une clé USB est connectée, stocker les clés de déchiffrement séparément de l'appareil et révoquer l'accès instantanément en désactivant la disponibilité de la clé. Cette séparation permet un véritable contrôle à la manière d'un MDM — même si la clé USB physique reste sur le terrain — assurant que les données ne peuvent pas être déchiffrées ou exfiltrées sans autorisation. Ils peuvent également appliquer des politiques granulaires par niveau de confiance de l'utilisateur ou de l'appareil et effacer à distance les clés USB même lorsqu'elles sont hors site.

Cette approche unifiée permet aux organisations de maintenir la productivité tout en assurant la conformité et le contrôle, en particulier dans les environnements isolés où les méthodes traditionnelles de transfert de données sont limitées. Au-delà du chiffrement, elle offre un contrôle complet, une visibilité et une preuve de conformité.

Netwrix Endpoint Protector fournit :

• Traçage et ombrage de fichiers : Visibilité complète sur les données écrites ou extraites de tout lecteur USB.
• Protection consciente du contenu : Des politiques qui détectent et bloquent des types spécifiques de CUI ou des métadonnées.
• Assainissement des supports : Purge à distance et réécriture conformes aux normes NIST 800-88.
• Intégration avec les outils SIEM : Surveillance centralisée de l'activité des appareils à travers les environnements.

Ensemble, ces capacités aident les organisations à combler certaines des lacunes les plus difficiles du CMMC telles que le contrôle d'accès, l'application du chiffrement, l'alignement de l'authentification multifactorielle et la désinfection des données.

La vision globale : sécuriser les données à travers l'identité

La protection des points de terminaison est une pièce du puzzle. Pour un alignement complet avec le CMMC, les organisations ont également besoin de visibilité sur la circulation des données et sur qui y a accès. C’est là que Netwrix Data Security Posture Management (DSPM) complète Netwrix Endpoint Protector, aidant à identifier les risques, surveiller les permissions et détecter les mouvements de données dans des environnements hybrides.

La sécurité des données commence par l'identité, et le CMMC renforce ce principe. Que ce soit pour gérer le chiffrement USB ou appliquer le principe du least privilege, l'objectif est le même : protéger les bonnes données de quitter les bonnes mains.