Certification du modèle de maturité de la cybersécurité (CMMC) version 2 : Considérations sur la gestion des risques liés aux tiers

Le CMMC v2.0 rationalise les niveaux de certification, élimine les couches de maturité propriétaires et ajuste les responsabilités d'évaluation des risques des tiers. Découvrez comment cela peut s'appliquer à votre entreprise.
Par :
Scott Lang
,
VP, Marketing produit
08 décembre 2021
Partager :
Blog cmmc2 1221

En novembre 2021, le bureau du sous-secrétaire à la défense pour l'acquisition et le maintien en puissance du ministère de la défense des États-Unis (DoD) a publié la version 2.0 de la certification du modèle de maturité de la cybersécurité (CMMC), un cadre complet conçu pour protéger la base industrielle de la défense contre les cyberattaques de plus en plus fréquentes et complexes. La version 2.0 simplifie le modèle en rationalisant les niveaux de certification de cinq (5) à trois (3), en éliminant les couches de maturité propriétaires et en ajustant les responsabilités d'évaluation. Ce post résume les nouveautés de la version 2.0, y compris la façon dont Prevalent peut aider à simplifier le processus d'évaluation du CMMC.

Qu'est-ce que le CMMC ?

La CMMC est une certification du gouvernement fédéral américain contre les meilleures pratiques en matière de cybersécurité et de traitement des informations non classifiées contrôlées (CUI), cette certification déterminant finalement si une entreprise peut se voir attribuer un contrat par le DoD. La CMMC vise à garantir que l'ensemble de notre chaîne d'approvisionnement de la défense nationale (DIBS - defense industrial base suppliers) est sécurisée et résiliente.

Quels sont les niveaux de certification de la CMMC ?

Tous les fournisseurs du ministère de la défense seront finalement tenus d'être certifiés à l'un des trois niveaux, du niveau 1 (fondamental) au niveau 3 (expert). Il s'agit d'un changement par rapport à la version 1.0 qui comportait cinq niveaux de certification. Les niveaux de certification de la version 2.0 sont dérivés des exigences de sauvegarde de base pour les Federal Contract Information (FCI) spécifiées dans la clause 52.204-21 du Federal Acquisition Regulation (FAR) et des exigences de sécurité pour les informations non classifiées contrôlées (CUI) spécifiées dans la publication spéciale (SP) 800-171 Rev 2 du National Institute of Standards and Technology (NIST), conformément à la clause 252.204-7012 du Defense Federal Acquisition Regulation Supplement (DFARS), ainsi que des contrôles supplémentaires du NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information : A Supplement to NIST Special Publication 800-171.

  • Niveau 1 - Auto-évaluation réalisée par le fournisseur par rapport à 17 contrôles. Ce niveau de certification est considéré comme fondamental et destiné aux fournisseurs gérant des FCI qui ne sont pas critiques pour la sécurité nationale. Ce niveau de certification est inchangé par rapport à la version 1.0, initialement annoncée en janvier 2020.
  • Niveau 2 - Un niveau de certification plus avancé effectué par des auditeurs tiers (connus sous le nom de C3PAO, ou organismes d'audit tiers certifiés) sur 110 contrôles supplémentaires de la norme NIST SP 800-171. Ce niveau est envisagé pour les entreprises qui ont des informations non classifiées contrôlées (CUI). Dans certains cas, les organisations peuvent effectuer une auto-évaluation à ce niveau.
  • Niveau 3 - Considéré comme un niveau expert pour les fournisseurs du DoD les plus prioritaires, ce niveau s'appuie sur le niveau 2 en y ajoutant un sous-ensemble de contrôles NIST SP 800-172. Le gouvernement fédéral effectuera les audits pour les entreprises de ce niveau.

Naviguer dans le paysage de la conformité TPRM

Le Third-Party Risk Management Compliance Handbook révèle les exigences en matière de TPRM dans les principales réglementations et cadres sectoriels, afin que vous puissiez vous mettre en conformité tout en atténuant les risques liés aux fournisseurs.

Lire la suite
Manuel de conformité du tprm 0821

Les exigences de la CMMC en détail

Veuillez consulter le tableau ci-dessous pour obtenir un résumé des exigences CMMC par niveau, organisées par contrôles de sécurité pertinents NIST SP 800-171r2, qui sont inclus en tant que questionnaires intégrés dans la plate-forme Prevalent . Les informations sur le niveau 3 seront publiées par le DoD américain à une date ultérieure et contiendront un sous-ensemble des exigences de sécurité spécifiées dans le NIST SP 800-172.

Contrôle d'accès

Niveau 1

3.1.1 Contrôle des accès autorisés
3.1.2 Contrôle des transactions et des fonctions
3.1.20 Connexions externes
3.1.22 Contrôle des informations publiques

Niveau 2

3.1.3 Contrôle du flux des CUI
3.1.4 Séparation des tâches
3.1.5 Le moindre privilège
3.1.6 Utilisation de comptes non privilégiés
3.1.7 Fonctions privilégiées
3.1.8 Tentatives d'ouverture de session infructueuses
3.1.9 Avis de confidentialité et de sécurité
3.1.10 Verrouillage de la session
3.1.11 Fin de la session
3.1.12 Contrôle de l'accès à distance
3.1.13 Configurabilité de l'accès à distance
3.1.14 Routage de l'accès à distance
3.1.15 Accès à distance privilégié
3.1.16 Autorisation d'accès sans fil
3.1.17 Protection de l'accès sans fil
3.1.18 Connexion des dispositifs mobiles
3.1.19 Cryptage des CUI sur les mobiles
3.1.21 Utilisation du stockage portable

Sensibilisation et formation

Niveau 1

N/A

Niveau 2

3.2.1 Sensibilisation au risque basée sur les rôles
3.2.2 Formation basée sur les rôles
3.2.3 Sensibilisation à la menace d'initiés

Audit et responsabilité

Niveau 1

N/A

Niveau 2

3.3.1 Audit du système
3.3.2 Responsabilité des utilisateurs
3.3.3 Examen des événements
3.3.4 Alerte en cas d'échec de l'audit
3.3.5 Corrélation des audits
3.3.6 Réduction et rapport
3.3.7 Source de temps faisant autorité
3.3.8 Protection des audits
3.3.9 Gestion de l'audit

Gestion de la configuration

Niveau 1

N/A

Niveau 2

3.4.1 Bâtiment du système
3.4.2 Application de la configuration de sécurité
3.4.3 Gestion des changements de système
3.4.4 Analyse de l'impact sur la sécurité
3.4.5 Restrictions d'accès pour les changements
3.4.6 Fonctionnalité minimale
3.4.7 Fonctionnalité non essentielle
3.4.8 Politique d'exécution des applications
3.4.9 Logiciels installés par l'utilisateur

Identification et authentification

Niveau 1

3.5.1 Identification
3.5.2 Authentification

Niveau 2

3.5.3 Authentification multi-facteurs
3.5.4 Authentification résistante à la relecture
3.5.5 Réutilisation des identifiants
3.5.6 Manipulation des identificateurs
3.5.7 Complexité des mots de passe
3.5.8 Réutilisation des mots de passe
3.5.9 Mots de passe temporaires
3.5.10 Mots de passe protégés par cryptographie
3.5.11 Rétroaction obscure

Réponse aux incidents

Niveau 1

N/A

Niveau 2

3.6.1 Traitement des incidents
3.6.2 Rapport d'incident
3.6.3 Test de réponse aux incidents

Maintenance

Niveau 1

N/A

Niveau 2

3.7.1 Effectuer la maintenance
3.7.2 Contrôle de l'entretien du système
3.7.3 Assainissement de l'équipement
3.7.4 Inspection des supports
3.7.5 Entretien non local
3.7.6 Personnel d'entretien

Protection des médias

Niveau 1

3.8.3 Élimination des médias

Niveau 2

3.8.1 Protection des médias
3.8.2 Accès au support
3.8.4 Marquage des médias
3.8.5 Responsabilité des supports
3.8.6 Chiffrement du stockage portable
3.8.7 Supports amovibles
3.8.8 Médias partagés
3.8.9 Protection des sauvegardes

Sécurité du personnel

Niveau 1

N/A

Niveau 2

3.9.1 Filtrer les personnes
3.9.2 Mesures relatives au personnel

Protection physique

Niveau 1

3.10.1 Limiter l'accès physique
3.10.3 Escorter les visiteurs
3.10.4 Registres d'accès physique
3.10.5 Gérer l'accès physique

Niveau 2

3.10.2 Installation de surveillance
3.10.6 Sites de travail alternatifs

Évaluation des risques

Niveau 1

N/A

Niveau 2

3.11.1 Évaluation des risques
3.11.2 Analyse des vulnérabilités
3.11.3 Remédiation des vulnérabilités

Évaluation de la sécurité

Niveau 1

N/A

Niveau 2

3.12.1 Évaluation des contrôles de sécurité
3.12.2 Plan d'action
3.12.3 Surveillance des contrôles de sécurité
3.12.4. Plan de sécurité du système

Protection des systèmes et des communications

Niveau 1

3.13.1 Protection des frontières
3.13.5 Séparation du système d'accès public

Niveau 2

3.13.2 Ingénierie de la sécurité
3.13.3 Séparation des rôles
3.13.4 Contrôle des ressources partagées
3.13.6 Communication réseau par exception
3.13.7 Tunnelage fractionné
3.13.8 Données en transit
3.13.9 Terminaison des connexions
3.13.10 Gestion des clés
3.13.11 Cryptage de CUI
3.13.12 Contrôle collaboratif des dispositifs
3.13.13 Code mobile
3.13.14 Voix sur protocole Internet
3.13.15 Authenticité des communications
3.13.16 Données au repos

Intégrité du système et de l'information

Niveau 1

3.14.1 Remédiation des failles de sécurité
3.14.2 Protection contre les codes malveillants
3.14.4 Mise à jour de la protection contre les codes malveillants
3.14.5 Analyse du système et des fichiers

Niveau 2

3.14.3 Alertes et avis de sécurité
3.14.6 Surveiller les communications pour détecter les attaques
3.14.7 Identification des utilisations non autorisées

Comment réaliser les évaluations du CMMC pour tous les niveaux

La plateforme de gestion des risques des tiersPrevalent comporte des questionnaires intégrés pour les niveaux 1 et 2, permettant aux fournisseurs de s'évaluer et aux auditeurs d'évaluer leurs clients par rapport à chaque niveau. Lorsque les exigences de certification de niveau 3 auront été publiées, Prevalent ajoutera le questionnaire approprié à la plate-forme.

Les C3PAO peuvent :

  • Invitez vos clients à se rendre sur la plateforme Prevalent pour effectuer leur évaluation de contrôle standardisée de niveau 2 dans un locataire sécurisé et facile à utiliser.
  • Automatiser les rappels de poursuite aux fournisseurs ou aux clients pour réduire le temps nécessaire à la réalisation des évaluations
  • Centraliser les pièces justificatives soumises comme preuve de la présence de contrôles
  • Afficher un registre unique des risques soulevés en fonction de la façon dont le client ou le fournisseur répond aux questions
  • Émettre des recommandations de remédiation pour les contrôles défaillants
  • Fournir des rapports personnalisés sur le niveau actuel de conformité, en démontrant l'impact de l'application de contrôles futurs sur la réduction des risques.

Tout fournisseur du DoD peut réaliser une auto-évaluation de niveau 1 ou 2 pour :

  • S'évaluer par rapport aux 17 contrôles requis pour mesurer la conformité de niveau 1
  • S'évaluer par rapport aux 110 contrôles requis pour mesurer la conformité de niveau 2
  • Téléchargez la documentation et les preuves à l'appui des réponses aux questions.
  • Obtenir une visibilité sur le statut de conformité actuel
  • Tirez parti des conseils intégrés pour remédier aux lacunes.
  • Produire des rapports pour mesurer la conformité pour les auditeurs

Pour plus d'informations sur la façon dont Prevalent contribue à sécuriser la chaîne d'approvisionnement du ministère de la défense, visitez notre page sur la conformité à la CMMC, téléchargez notre livre blanc sur la conformité ou demandez une démonstration de la plateforme Prevalent dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo