Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Certification du modèle de maturité en cybersécurité (CMMC) : Conseils pour la conformité

Certification du modèle de maturité en cybersécurité (CMMC) : Conseils pour la conformité

Jun 18, 2021

Suite à une série de 83 violations de données en 2019 seulement, le département de la Défense des États-Unis (DoD) a établi la Cybersecurity Maturity Model Certification (CMMC). Le cadre CMMC est une norme nationale unifiée pour améliorer la cybersécurité. Les entreprises de la base industrielle de la défense (DIB) doivent mettre en œuvre les exigences du CMMC pour remporter des contrats. Continuez à lire pour découvrir comment vous pouvez atteindre la conformité.

Introduction au CMMC

CMMC est une norme de cybersécurité créée par le Bureau du Sous-Secrétaire à la Défense (OUSD) pour l'Acquisition et la Soutenance. Elle vise à répondre aux menaces cybernétiques en standardisant la manière dont les entrepreneurs du DoD sécurisent les informations critiques.

Pour obtenir la certification CMMC, les entreprises du DIB doivent mettre en œuvre des pratiques et des processus de cybersécurité appropriés pour protéger toutes les informations contractuelles fédérales sensibles (FCI) et les informations non classifiées contrôlées (CUI) qu'elles traitent ou stockent. Les organisations reçoivent une note de maturité en cybersécurité sur une échelle de un à cinq. Cette note détermine le niveau de confiance que le DOD accorde à l'organisation et a un impact sur tout, de l'embauche aux contrats.

Contenu connexe sélectionné :

Under previous guidelines (the Defense Federal Acquisition Regulation Supplement [DFARS] 252.204-7012), to demonstrate their cybersecurity resilience, contractors could self-attest to compliance with NIST SP 800-171. However, this model resulted in a number of high profile data breaches such as the Solar Winds affair, as well as violations of the False Claims Act.

Pour améliorer la cybersécurité, le CMMC exige désormais qu'une organisation évaluatrice tierce du CMMC certifie que les entrepreneurs ont satisfait aux exigences de cybersécurité. Le DoD prévoit la mise en œuvre des nouvelles exigences du CMMC à travers un déploiement progressif, les exigences supplémentaires devenant effectives en 2025, comme discuté plus en détail ci-dessous.

Pour atteindre la conformité avec les exigences du CMMC, les organisations ont toujours besoin d'une compréhension approfondie du NIST SP 800-171, étant donné que le processus de certification CMMC utilise ce cadre comme lignes directrices pour aider à mesurer la sécurité du système, évaluer la maturité d'un programme de sécurité et fournir un score.

Qui doit se conformer au CMMC ?

Le modèle de maturité CMMC s'applique à chaque entreprise de la chaîne d'approvisionnement du DoD, y compris non seulement celles de la base industrielle de la défense, mais aussi celles dans les domaines des achats, de la construction ou du développement. Cela inclut les entrepreneurs principaux qui interagissent directement avec le DoD, ainsi que les sous-traitants qui travaillent avec les entrepreneurs pour exécuter les contrats du DoD.

La taille et la relation avec un contrat n'ont pas d'importance. Il n'y a pas d'échappatoire pour les petites entreprises travaillant sur des parties « mineures » d'un contrat. Par conséquent, chaque entrepreneur et sous-traitant traitant une forme quelconque d'informations de défense doit se préparer à un examen de leurs pratiques de cybersécurité. Ne pas se conformer n'entraînera pas de pénalités financières, mais être certifié est une condition préalable pour remporter des contrats.

Quels types de données le CMMC protège-t-il ?

Le CMMC protège deux types de données :

  • Information Contrôlée Non Classifiée (CUI) — Cela inclut toute information non classifiée produite par le gouvernement qui nécessite une protection. Cela comprend les informations privées des employés fédéraux, les informations des contractants, les documents juridiques, les dessins techniques, les fichiers électroniques et plus encore. Pour gérer le CUI, une organisation doit avoir un niveau de maturité de 3 ou supérieur.
  • Informations sur les contrats fédéraux (FCI) — Les FCI comprennent toute information que le gouvernement fournit ou crée dans le cadre d'un contrat afin de fournir un service ou un produit, mais qui n'est pas divulguée au public. La divulgation inappropriée de ces données peut représenter une menace significative pour le fonctionnement interne de la logistique et des activités du DOD.

Gérer le FCI nécessite uniquement des certifications de niveau 1 ou 2.

Chronologie CMMC

Les sous-traitants ont jusqu'en 2025 pour préparer leurs systèmes à gérer les FCI et CUI comme l'exige le CMMC. Cependant, le Pentagone est récemment passé de l'utilisation du CMMC uniquement dans des exercices de simulation à son utilisation sur le terrain à travers l'attribution de 15 contrats « pathfinder ». Ce programme pilote se concentre sur les entreprises de niveau 3 et leurs sous-traitants ; davantage d'entreprises doivent se conformer au fur et à mesure du déploiement.

Quelle est la méthodologie d'évaluation ?

En 2020, le DoD a émis une Règle Intérimaire qui complète le programme CMMC avec une méthodologie d'évaluation pour déterminer si les entreprises sont conformes. Selon cette règle, la certification CMMC se déroule en deux étapes. Vous devez répéter le processus de certification tous les trois ans.

  • Étape 1. Les évaluateurs appliquent la NIST SP 800-171 DoD Assessment Methodology à l'entreprise. Cette méthodologie classe les menaces potentielles pour un projet en trois niveaux (élevé, moyen et faible), en fonction de la sensibilité des informations et des programmes impliqués. Chaque entrepreneur cherchant à obtenir une approbation de niveau élevé ou moyen doit fournir un accès aux installations, systèmes et personnel. Obtenir l'accès à CUI ou FCI est impossible sans un tel examen.
  • Étape 2. Si une entreprise réussit l'étape 1, le processus d'évaluation lui attribue un niveau de maturité.

Niveaux de certification CMMC (Niveaux de maturité)

Il y a cinq niveaux CMMC. Chaque niveau a des exigences spécifiques :

  • Niveau 1 : Hygiène cybernétique de base — Les entreprises au niveau 1 pratiquent une hygiène cybernétique de base. Les données doivent être exemptes d'erreurs, et les applications et systèmes d'information qui stockent ou traitent des informations sensibles telles que les informations d'identification personnelle (PII) doivent disposer de contrôles d'accès appropriés. Des procédures standard comme l'occultation des PII et l'assurance de la qualité des données vous aident à vous conformer à ce niveau. Les directives du NIST proposent 17 contrôles de sécurité de base pour ce niveau.
  • Niveau 2 : Hygiène cybernétique intermédiaire — Le niveau suivant implique 72 contrôles (y compris les contrôles de niveau 1) ; ils représentent un peu plus de la moitié de tous les contrôles NIST 800-171. À ce stade, votre entreprise doit protéger les FCI et CUI de manière répétable. L'audit, la protection des supports, la sauvegarde et la récupération, la maintenance et l'intégrité du système sont importants à ce niveau. La principale différence entre les niveaux 1 et 2 est la mise en œuvre d'un plan et de procédures pour protéger les données.
  • Niveau 3 : Bonne hygiène cybernétique — Le niveau 3 nécessite la mise en œuvre de 132 contrôles, couvrant l'intégralité de l'ensemble établi par le NIST SP 800-171 pour les informations CUI. Les entreprises de ce niveau traitent généralement des informations contrôlées mais non classifiées. Il exige un plan solide pour faire face aux menaces cybernétiques et les moyens de le réaliser à travers la sensibilisation, la formation et la réponse aux incidents.
  • Niveau 4 : Hygiène cybernétique proactive — Le niveau 4 exige une excellence démontrée dans le déploiement de 156 contrôles selon le NIST et d'autres sources. Les 24 ajoutés depuis le niveau 3 concernent principalement l'évaluation des pratiques de sécurité : L'entreprise doit régulièrement évaluer et réviser ses politiques pour une efficacité maximale, et la haute direction est tenue informée des problèmes.
  • Niveau 5 : Hygiène cybernétique avancée — Le niveau 5 ajoute 25 exigences supplémentaires liées à la détection et à la protection avancées contre les menaces ; ce niveau est requis pour les entreprises traitant des informations hautement convoitées. Les entreprises doivent déployer des outils plus sophistiqués tels que la détection d'anomalies, et être capables de répondre de manière flexible aux menaces.

Composants, niveaux et domaines du cadre CMMC

Se mettre à jour avec les exigences du CMMC nécessite de comprendre 17 domaines différents. 14 de ces domaines proviennent des normes Fédérales de Traitement de l'Information (FIPS) 200 et du NIST SP 800-171 ; le CMMC en ajoute trois de plus : la récupération, la conscience situationnelle et la gestion des actifs. Voici la liste complète :

  • Contrôle d'accès — Sachez qui a accès à vos systèmes et limitez strictement l'accès en fonction du rôle.
  • Audit et responsabilité — Suivez les utilisateurs ayant accès aux données sensibles. Collectez les journaux d'événements et enquêtez sur les informations pour détecter toute activité inappropriée ou suspecte.
  • Gestion des actifs — Suivez les actifs matériels et logiciels pour éviter que des technologies obsolètes et indésirables ne conduisent à une violation des données
  • Sensibilisation et formation — Fournissez une formation régulière aux employés sur la manière de prévenir les violations et comment réagir si l'une se produit.
  • Gestion de la configuration — Établissez des configurations de base qui protègent les systèmes contre les accès non autorisés, en définissant des paramètres par défaut raisonnables pour éviter d'exposer votre entreprise à des menaces.
  • Identification et authentification — Utilisez des règles et des pratiques d'autorisation, telles que l'authentification à plusieurs facteurs, pour éviter l'exposition d'informations critiques pour la mission.
  • Réponse aux incidents — Créez un plan pour enquêter, rapporter et résoudre rapidement les incidents de sécurité.
  • Maintenance — Appliquez régulièrement des correctifs et mettez à niveau les technologies et installations pour minimiser les vulnérabilités.
  • Protection des médias — Identifiez et protégez les supports, et créez des protocoles pour la sanitation et l'élimination.
  • Sécurité du personnel — Effectuez un filtrage approprié du personnel et des vérifications des antécédents. Soyez prêt à fournir des preuves que votre CUI est protégé lors d'actions concernant le personnel telles que les transferts ou les changements de poste.
  • Protection physique — Protégez vos installations, votre personnel et vos systèmes contre les menaces physiques telles que l'accès non autorisé, le vol et les dommages.
  • Récupération — Mettez en place un plan de sauvegarde et de récupération solide en cas de perte de données partielle ou totale.
  • Gestion des risques — Évaluez périodiquement les risques, développez des stratégies pour les contrer et mesurez les progrès.
  • Évaluation de la sécurité — Évaluez la sécurité en examinant les audits précédents, votre stratégie de gestion des risques et d'autres informations.
  • Conscience situationnelle — Mettez en œuvre une surveillance en temps réel pour vos technologies et répondez aux menaces de manière appropriée.
  • Communications et protection du système — Définissez la sécurité nécessaire pour protéger chaque système.
  • Intégrité du système et des informations — Identifiez et gérez les failles dans les systèmes, trouvez les dangers et examinez la sécurité du réseau pour d'éventuels problèmes.

Comment puis-je obtenir la certification CMMC ?

Tous les entrepreneurs de la défense devront subir un audit officiel effectué par une organisation tierce évaluatrice CMMC indépendante (C3PAO) ou un individu certifié par le DoD. Le DoD n'accepte pas le résultat d'un autre auditeur. L'CMMC Accreditation Body a plus d'informations sur qui est un auditeur certifié.

En général, un certificat CMMC sera valide pendant 3 ans et ne sera pas rendu public, mais il sera publié sur des bases de données spécifiques du DoD. Une recertification est nécessaire après cette période ou en cas de perte de données.

Une entreprise DIB qui subit un incident de cybersécurité ne perdra pas automatiquement sa certification CMMC. Cependant, vous devez suivre les procédures de signalement appropriées. Contactez le DoD et préparez un rapport détaillé de l'incident en expliquant pourquoi il s'est produit et comment une telle violation peut être évitée à l'avenir.

Comment puis-je me préparer pour un audit de certification CMMC ?

Une bonne ligne de conduite à suivre lors de la préparation de votre audit est l'Executive Order 13556, qui normalise la manière dont la branche exécutive traite les informations non classifiées nécessitant une protection.

Plus généralement, envisagez d'utiliser la liste de contrôle de haut niveau suivante :

  1. Obtenez des conseils de votre agence fédérale ou d'État. Assurez-vous de comprendre ce qui est attendu de vous.
  2. Auditez vos données et technologies actuelles. Rassemblez autant d'informations que possible sur l'état actuel de votre sécurité, y compris les contrôles d'accès des utilisateurs, les logiciels utilisés et les procédures de sécurité disponibles. Identifiez où vous stockez, traitez ou transmettez les CUI et FCI.
  3. Build a solid plan. Next, create a solid CMMC compliance program or plan based on the level of certification you seek. For example, companies seeking the highest maturity levels will want to harden their networks and separate technologies dealing with highly sensitive information from the rest of their infrastructure.
  4. Réalisez une analyse des écarts. Évaluez votre niveau actuel de maturité en cybersécurité et déterminez ce que vous devez faire pour atteindre le niveau approprié. Effectuez les changements nécessaires en fonction de l'analyse des écarts.
  5. Implement your policy. Train your staff and set dates to assess your organization as a whole. Persistence is the key to hardening your systems and promptly spotting and blocking attacks.
  6. Hire a professional to oversee compliance. This individual will interact with your IT team to make sure all standards are met. They will also prepare evidence and documentation to prove that your organization is protecting CUI.
  7. Extend your review. Make sure all subcontractors, as well as everyone in your supply chain, are also compliant with NIST SP 800-171.

How does Netwrix help with CMMC compliance?

Using established best practices and understanding the compliance lifecycle is a good way to build a solid foundation for compliance with any standard, including the CMMC. With the Netwrix Data Security Platform, you can achieve, maintain and prove compliance with less effort and expense. You can automate processes like change, access and configuration auditing, ensure accurate discovery and classification of sensitive data, and get insights into your data and infrastructure security.

FAQ

What is CMMC?

Cybersecurity Maturity Model Certification (CMMC) is a standard established by the United States Department of Defense (DoD) to make sure that the cybersecurity protocols used by defense contractors are strong enough. CMMC is a collection of existing cybersecurity standards and frameworks such as DFARS, FAR and NIST.

Who is subject to CMMC certification?

CMMC applies to every company within the DoD supply chain, including not just those in the defense industrial base, but also those in procurement, construction or development. This includes prime contractors who interact directly with the DoD, as well as subcontractors who work with contractors to execute DoD contracts.

How can I get CMMC certification?

You can get CMMC certification by getting audited by a third-party assessment organization (3PAO) or individual assessor. The DoD will release more details about how you can get certified as we get closer to the CMMC rollout in 2025.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Mike Tierney

Ancien vice-président du Succès Client

Ancien VP of Customer Success chez Netwrix. Il possède un parcours diversifié construit sur 20 ans dans l'industrie du logiciel, ayant occupé les postes de PDG, COO et VP Product Management dans plusieurs entreprises axées sur la sécurité, la conformité et l'augmentation de la productivité des équipes informatiques.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité