En novembre 2021, le bureau du sous-secrétaire à la défense pour l'acquisition et le maintien en puissance du ministère de la défense des États-Unis (DoD) a publié la version 2.0 de la certification du modèle de maturité de la cybersécurité (CMMC), un cadre complet conçu pour protéger la base industrielle de la défense contre les cyberattaques de plus en plus fréquentes et complexes. La version 2.0 simplifie le modèle en rationalisant les niveaux de certification de cinq (5) à trois (3), en éliminant les couches de maturité propriétaires et en ajustant les responsabilités d'évaluation. Ce post résume les nouveautés de la version 2.0, y compris la façon dont Prevalent peut aider à simplifier le processus d'évaluation du CMMC.
La CMMC est une certification du gouvernement fédéral américain contre les meilleures pratiques en matière de cybersécurité et de traitement des informations non classifiées contrôlées (CUI), cette certification déterminant finalement si une entreprise peut se voir attribuer un contrat par le DoD. La CMMC vise à garantir que l'ensemble de notre chaîne d'approvisionnement de la défense nationale (DIBS - defense industrial base suppliers) est sécurisée et résiliente.
Tous les fournisseurs du ministère de la défense seront finalement tenus d'être certifiés à l'un des trois niveaux, du niveau 1 (fondamental) au niveau 3 (expert). Il s'agit d'un changement par rapport à la version 1.0 qui comportait cinq niveaux de certification. Les niveaux de certification de la version 2.0 sont dérivés des exigences de sauvegarde de base pour les Federal Contract Information (FCI) spécifiées dans la clause 52.204-21 du Federal Acquisition Regulation (FAR) et des exigences de sécurité pour les informations non classifiées contrôlées (CUI) spécifiées dans la publication spéciale (SP) 800-171 Rev 2 du National Institute of Standards and Technology (NIST), conformément à la clause 252.204-7012 du Defense Federal Acquisition Regulation Supplement (DFARS), ainsi que des contrôles supplémentaires du NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information : A Supplement to NIST Special Publication 800-171.
Naviguer dans le paysage de la conformité TPRM
Le Third-Party Risk Management Compliance Handbook révèle les exigences en matière de TPRM dans les principales réglementations et cadres sectoriels, afin que vous puissiez vous mettre en conformité tout en atténuant les risques liés aux fournisseurs.
Veuillez consulter le tableau ci-dessous pour obtenir un résumé des exigences CMMC par niveau, organisées par contrôles de sécurité pertinents NIST SP 800-171r2, qui sont inclus en tant que questionnaires intégrés dans la plate-forme Prevalent . Les informations sur le niveau 3 seront publiées par le DoD américain à une date ultérieure et contiendront un sous-ensemble des exigences de sécurité spécifiées dans le NIST SP 800-172.
Contrôle d'accès | |
---|---|
Niveau 1 3.1.1 Contrôle des accès autorisés |
Niveau 2 3.1.3 Contrôle du flux des CUI |
Sensibilisation et formation | |
Niveau 1 N/A |
Niveau 2 3.2.1 Sensibilisation au risque basée sur les rôles |
Audit et responsabilité | |
Niveau 1 N/A |
Niveau 2 3.3.1 Audit du système |
Gestion de la configuration | |
Niveau 1 N/A |
Niveau 2 3.4.1 Bâtiment du système |
Identification et authentification | |
Niveau 1 3.5.1 Identification |
Niveau 2 3.5.3 Authentification multi-facteurs |
Réponse aux incidents | |
Niveau 1 N/A |
Niveau 2 3.6.1 Traitement des incidents |
Maintenance | |
Niveau 1 N/A |
Niveau 2 3.7.1 Effectuer la maintenance |
Protection des médias | |
Niveau 1 3.8.3 Élimination des médias |
Niveau 2 3.8.1 Protection des médias |
Sécurité du personnel | |
Niveau 1 N/A |
Niveau 2 3.9.1 Filtrer les personnes |
Protection physique | |
Niveau 1 3.10.1 Limiter l'accès physique |
Niveau 2 3.10.2 Installation de surveillance |
Évaluation des risques | |
Niveau 1 N/A |
Niveau 2 3.11.1 Évaluation des risques |
Évaluation de la sécurité | |
Niveau 1 N/A |
Niveau 2 3.12.1 Évaluation des contrôles de sécurité |
Protection des systèmes et des communications | |
Niveau 1 3.13.1 Protection des frontières |
Niveau 2 3.13.2 Ingénierie de la sécurité |
Intégrité du système et de l'information | |
Niveau 1 3.14.1 Remédiation des failles de sécurité |
Niveau 2 3.14.3 Alertes et avis de sécurité |
La plateforme de gestion des risques des tiersPrevalent comporte des questionnaires intégrés pour les niveaux 1 et 2, permettant aux fournisseurs de s'évaluer et aux auditeurs d'évaluer leurs clients par rapport à chaque niveau. Lorsque les exigences de certification de niveau 3 auront été publiées, Prevalent ajoutera le questionnaire approprié à la plate-forme.
Les C3PAO peuvent :
Tout fournisseur du DoD peut réaliser une auto-évaluation de niveau 1 ou 2 pour :
Pour plus d'informations sur la façon dont Prevalent contribue à sécuriser la chaîne d'approvisionnement du ministère de la défense, visitez notre page sur la conformité à la CMMC, téléchargez notre livre blanc sur la conformité ou demandez une démonstration de la plateforme Prevalent dès aujourd'hui.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024