Comment se mettre sur la bonne voie dans votre parcours CMMC

La dernière itération de la Cybersecurity Maturity Model Certification (CMMC) vient juste d'entrer en vigueur, et il y a beaucoup à discuter sur la manière dont les professionnels de la sécurité peuvent se mettre à jour pour répondre à ses exigences.

À qui s'adresse ce blog ?

Travaillez-vous pour une organisation qui agit en tant que contractant principal ou sous-traitant pour le Département de la Défense (DoD) ? Votre entreprise fait-elle partie de la Base Industrielle de la Défense (DIB) ? Votre entreprise gère-t-elle des Informations Non Classifiées Contrôlées (CUI) et/ou des Informations sur les Contrats Fédéraux (FCI) ? Avez-vous été désigné pour rendre votre organisation conforme au CMMC ?

Si la réponse à l'une de ces questions est oui, alors cet article est pour vous.

De quoi s'agit-il ?

Ce blog est là pour vous aider à comprendre comment aborder au mieux votre projet de conformité CMMC dès le premier jour. Si vous avez besoin de plus d'informations sur CMMC, lisez cet DOD article.

Beaucoup de choses ont changé depuis la version 1

Nous sommes actuellement à la version 3 du CMMC. La plus grande différence par rapport à l'original est la manière dont il catégorise le niveau de sécurité requis des entités conformes. En général, il y a 3 niveaux, et selon la gravité des données que vous traitez, vous êtes plus susceptible de vous conformer à un niveau supérieur.

Niveau 1 : Comprend 15 techniques de base d'hygiène de sécurité et se concentre sur la sécurité des FCI mais pas sur celle des CUI.

Niveau 2 : 110 exigences issues directement de NIST SP 800-171 et axées sur la protection des CUI.

Niveau 3: 134 exigences issues de la NIST SP 800-172 se concentrant à nouveau sur le CUI, mais la différence clé est que tous les outils, politiques et procédures mis en œuvre doivent être approuvés par le DoD.

D'accord, super, et maintenant ?

Nous comprenons donc quels sont les niveaux, mais nous devons les interpréter pour voir lequel est pertinent pour votre organisation. Pour cela, évaluons le type de données que vous gérez.

Pour référence future, voici les définitions officielles du gouvernement pour Federal Contract Information FCI et Controlled Unclassified Information CUI.

En résumé, FCI est une information fournie par ou générée pour le gouvernement des États-Unis dans le cadre d'un contrat du DoD qui n'est pas destinée à être rendue publique. Il peut s'agir de spécifications de contrat, de propositions techniques, de rapports de projet internes ou de communications avec les agences du DoD.

Pendant ce temps, CUI est : des informations sensibles mais non classifiées qui nécessitent une protection en vertu des lois, règlements et politiques fédérales. Cela peut être n'importe quoi tel que des dessins techniques, des schémas et des données d'ingénierie soumises au contrôle des exportations (ITAR, EAR, etc.), des dossiers du personnel et des informations personnellement identifiables (par exemple, informations sur le personnel militaire), des documents d'approvisionnement (RFPs, contrats, rapports du DoD).

À quel niveau suis-je ?

La meilleure chose à faire au début d'un projet de conformité CMMC est de décider quel type d'informations votre organisation gère. S'agit-il de FCI, de CUI ou des deux ? Si ce n'est que du FCI, vous devez vous conformer au CMMC au niveau 1, tout simplement. Si c'est du CUI, cela dépend alors de sa gravité. Si les informations que vous détenez pourraient, de quelque manière que ce soit, menacer la sécurité nationale des États-Unis, vous devrez probablement viser le niveau 3 ; sinon, le niveau 2 est votre meilleur choix.

Comment dois-je décider ?

La meilleure façon de commencer est de réaliser un balayage de Data Classification sur l'ensemble de votre infrastructure. Identifiez toutes les données que vous possédez, où elles se trouvent et qui y a accès. De cette manière, vous pouvez d'abord les étiqueter de manière précise (par exemple, c'est des PII, c'est des FCI ou c'est des CUI). Ensuite, vous pouvez leur attribuer des niveaux de confidentialité, c'est-à-dire à quel point elles sont critiques pour l'entreprise ou la nation. Puis vous pouvez voir où elles se situent actuellement dans votre environnement. Sont-elles exposées à un accès public ou non ? Enfin, vous pouvez définir qui peut y accéder et dans quelle mesure. Une bonne classification devrait toujours être accompagnée d'une bonne vieille rédaction basée sur les droits.

La dernière chose que vous souhaitez, c'est que certaines de vos données finissent par apparaître sur un forum War Thunder.

Un de moins, au moins 109 restent à faire

Identifier vos données, leur emplacement et les personnes qui peuvent y accéder est un excellent point de départ, mais ce n'est que le début de l'aventure. Venant de quelqu'un qui a lu CMMC au moins 5 fois déjà, la différence entre NIST 800-171 et 172 n'est pas aussi grande qu'on le pense. Cela n'incorpore que 24 exigences supplémentaires qui existent déjà dans le 171 mais sont décrites dans un format plus strict.

Le meilleur choix pour tous, quel que soit le niveau que vous devez atteindre, est de le traiter d'abord comme un niveau 2. Si vous devez être en dessous, concentrez-vous alors uniquement sur les 15 exigences qui vous concernent. Il est toujours utile de le faire selon le 800-171 car cela facilite grandement les transitions ultérieures vers le niveau 2. Pendant ce temps, si vous devez viser plus haut que le niveau 2, rencontrez d'abord un niveau 2 et ajustez les autres exigences par la suite. La raison pour les deux est la simplicité et une transition plus facile à long terme.

Comment pouvons-nous aider ?

Je ne rendrais pas justice à mon travail si je ne mentionnais pas comment nous pouvons aider les organisations à se conformer. Si une entreprise essaie de vous dire qu'elle résoudra tous vos besoins de conformité, vous parlez probablement à un menteur. Malheureusement, il n'existe pas de solution de conformité tout-en-un.

Mais des entreprises comme Netwrix proposent plusieurs solutions, chacune couvrant différents domaines de sécurité et réglementaires, qui combinées peuvent couvrir une partie importante des exigences CMMC, qu'elles soient basées sur 800-171 ou 172.

Voici un aperçu rapide de la manière dont notre portefeuille prend en charge les exigences CMMC. Si vous souhaitez en savoir plus, consultez nos documents détaillés de correspondance de conformité ici.