Dernier rapport d'analyste : Le guide de marché 2023 de Gartner® pour les solutions de gestion des risques fournisseurs

Hero conformité cmmc

Conformité à la CMMC

La CMMC et la gestion des risques liés aux tiers

En novembre 2021, le bureau du sous-secrétaire à la défense pour l'acquisition et le soutien du ministère de la défense des États-Unis (DoD) a publié la v2.0 de la certification du modèle de maturité de la cybersécurité (CMMC), un cadre complet visant à protéger la base industrielle de la défense contre les cyberattaques de plus en plus fréquentes et complexes et à garantir que l'ensemble de notre chaîne d'approvisionnement de la défense nationale est sécurisée et résiliente.

La CMMC exige des entreprises qu'elles obtiennent une certification relative aux meilleures pratiques en matière de cybersécurité et de traitement des informations non classifiées contrôlées (CUI), cette certification déterminant finalement si une entreprise peut se voir attribuer un contrat par le DoD.

Tous les fournisseurs du DoD doivent être certifiés à l'un des trois niveaux, du niveau 1 (Fondamental) au niveau 3 (Expert), sur la base des exigences de sécurité pour les informations non classifiées contrôlées (CUI) de la clause 204-21 du FAR, de la publication spéciale (SP) 800-171 du National Institute of Standards and Technology (NIST) et des contrôles supplémentaires de la publication spéciale 800-172 du NIST, Enhanced Security Requirements for Protecting Controlled Unclassified Information : A Supplement to NIST Special Publication 800-171.

Les entreprises et les organismes d'audit tiers certifiés (C3PAO) peuvent utiliser la plateforme de gestion des risques tiers Prevalent avec des questionnaires intégrés pour évaluer les trois niveaux de certification CMMC.

Aperçu des niveaux de certification du CMMC

  • Niveau 1 - Auto-évaluation réalisée par le fournisseur par rapport à 17 contrôles. Ce niveau de certification est considéré comme fondamental et destiné aux fournisseurs gérant des informations qui ne sont pas critiques pour la sécurité nationale.

  • Niveau 2 - Un niveau de certification plus avancé effectué par des auditeurs tiers par rapport à 110 contrôles de la norme NIST SP 800-171. Ce niveau est envisagé pour les entreprises qui ont des informations non classifiées contrôlées (CUI).

  • Niveau 3 - Considéré comme un niveau expert pour les fournisseurs du DoD les plus prioritaires, ce niveau s'appuie sur le niveau 2 en y ajoutant un sous-ensemble de contrôles NIST SP 800-172. Le gouvernement fédéral effectuera les audits pour les entreprises de ce niveau.

Prevalent pour les auditeurs du CMMC

Les auditeurs certifiés CMMC peuvent utiliser la plateforme de gestion des risques des tiers Prevalent avec les trois niveaux de questionnaires de contrôle CMMC inclus.

Prevalent pour les intervenants de la CMMC

Les fournisseurs et les contractants du DoD peuvent utiliser la plateforme de gestion des risques des tiers Prevalent pour effectuer une auto-évaluation de niveau 1 et de niveau 2.

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources en vedette Manuel de conformité Cybersécurité

Répondre aux exigences du TPRM de la CMMC

Veuillez consulter le tableau ci-dessous pour obtenir un résumé des exigences CMMC par niveau, organisées par contrôles de sécurité pertinents NIST SP 800-171r2, qui sont inclus en tant que questionnaires intégrés dans la plate-forme Prevalent . Les informations sur le niveau 3 seront publiées par le DoD américain à une date ultérieure et contiendront un sous-ensemble des exigences de sécurité spécifiées dans le NIST SP 800-172.

Contrôle d'accès

Niveau 1

3.1.1 Contrôle des accès autorisés
3.1.2 Contrôle des transactions et des fonctions
3.1.20 Connexions externes
3.1.22 Contrôle des informations publiques

Niveau 2

3.1.3 Contrôle du flux des CUI
3.1.4 Séparation des tâches
3.1.5 Le moindre privilège
3.1.6 Utilisation de comptes non privilégiés
3.1.7 Fonctions privilégiées
3.1.8 Tentatives d'ouverture de session infructueuses
3.1.9 Avis de confidentialité et de sécurité
3.1.10 Verrouillage de la session
3.1.11 Fin de la session
3.1.12 Contrôle de l'accès à distance
3.1.13 Configurabilité de l'accès à distance
3.1.14 Routage de l'accès à distance
3.1.15 Accès à distance privilégié
3.1.16 Autorisation d'accès sans fil
3.1.17 Protection de l'accès sans fil
3.1.18 Connexion des dispositifs mobiles
3.1.19 Cryptage des CUI sur les mobiles
3.1.21 Utilisation du stockage portable

Sensibilisation et formation

Niveau 1

N/A

Niveau 2

3.2.1 Sensibilisation au risque basée sur les rôles
3.2.2 Formation basée sur les rôles
3.2.3 Sensibilisation à la menace d'initiés

Audit et responsabilité

Niveau 1

N/A

Niveau 2

3.3.1 Audit du système
3.3.2 Responsabilité des utilisateurs
3.3.3 Examen des événements
3.3.4 Alerte en cas d'échec de l'audit
3.3.5 Corrélation des audits
3.3.6 Réduction et rapport
3.3.7 Source de temps faisant autorité
3.3.8 Protection des audits
3.3.9 Gestion de l'audit

Gestion de la configuration

Niveau 1

N/A

Niveau 2

3.4.1 Bâtiment du système
3.4.2 Application de la configuration de sécurité
3.4.3 Gestion des changements de système
3.4.4 Analyse de l'impact sur la sécurité
3.4.5 Restrictions d'accès pour les changements
3.4.6 Fonctionnalité minimale
3.4.7 Fonctionnalité non essentielle
3.4.8 Politique d'exécution des applications
3.4.9 Logiciels installés par l'utilisateur

Identification et authentification

Niveau 1

3.5.1 Identification
3.5.2 Authentification

Niveau 2

3.5.3 Authentification multi-facteurs
3.5.4 Authentification résistante à la relecture
3.5.5 Réutilisation des identifiants
3.5.6 Manipulation des identificateurs
3.5.7 Complexité des mots de passe
3.5.8 Réutilisation des mots de passe
3.5.9 Mots de passe temporaires
3.5.10 Mots de passe protégés par cryptographie
3.5.11 Rétroaction obscure

Réponse aux incidents

Niveau 1

N/A

Niveau 2

3.6.1 Traitement des incidents
3.6.2 Rapport d'incident
3.6.3 Test de réponse aux incidents

Maintenance

Niveau 1

N/A

Niveau 2

3.7.1 Effectuer la maintenance
3.7.2 Contrôle de l'entretien du système
3.7.3 Assainissement de l'équipement
3.7.4 Inspection des supports
3.7.5 Entretien non local
3.7.6 Personnel d'entretien

Protection des médias

Niveau 1

3.8.3 Élimination des médias

Niveau 2

3.8.1 Protection des médias
3.8.2 Accès au support
3.8.4 Marquage des médias
3.8.5 Responsabilité des supports
3.8.6 Chiffrement du stockage portable
3.8.7 Supports amovibles
3.8.8 Médias partagés
3.8.9 Protection des sauvegardes

Sécurité du personnel

Niveau 1

N/A

Niveau 2

3.9.1 Filtrer les personnes
3.9.2 Mesures relatives au personnel

Protection physique

Niveau 1

3.10.1 Limiter l'accès physique
3.10.3 Escorter les visiteurs
3.10.4 Registres d'accès physique
3.10.5 Gérer l'accès physique

Niveau 2

3.10.2 Installation de surveillance
3.10.6 Sites de travail alternatifs

Évaluation des risques

Niveau 1

N/A

Niveau 2

3.11.1 Évaluation des risques
3.11.2 Analyse des vulnérabilités
3.11.3 Remédiation des vulnérabilités

Évaluation de la sécurité

Niveau 1

N/A

Niveau 2

3.12.1 Évaluation des contrôles de sécurité
3.12.2 Plan d'action
3.12.3 Surveillance des contrôles de sécurité
3.12.4. Plan de sécurité du système

Protection des systèmes et des communications

Niveau 1

3.13.1 Protection des frontières
3.13.5 Séparation du système d'accès public

Niveau 2

3.13.2 Ingénierie de la sécurité
3.13.3 Séparation des rôles
3.13.4 Contrôle des ressources partagées
3.13.6 Communication réseau par exception
3.13.7 Tunnelage fractionné
3.13.8 Données en transit
3.13.9 Terminaison des connexions
3.13.10 Gestion des clés
3.13.11 Cryptage de CUI
3.13.12 Contrôle collaboratif des dispositifs
3.13.13 Code mobile
3.13.14 Voix sur protocole Internet
3.13.15 Authenticité des communications
3.13.16 Données au repos

System and Information Integrity

Niveau 1

3.14.1 Remédiation des failles de sécurité
3.14.2 Protection contre les codes malveillants
3.14.4 Mise à jour de la protection contre les codes malveillants
3.14.5 Analyse du système et des fichiers

Niveau 2

3.14.3 Alertes et avis de sécurité
3.14.6 Surveiller les communications pour détecter les attaques
3.14.7 Identification des utilisations non autorisées

Prevalent et le CMMC

La plateforme de gestion des risques des tiersPrevalent propose des questionnaires intégrés pour chaque niveau de certification CMMC. Cela permet au DoD d'évaluer les fournisseurs hautement prioritaires, aux auditeurs d'évaluer leurs clients et aux fournisseurs de s'évaluer et d'évaluer la conformité de leurs fournisseurs par rapport à chaque niveau.

Les C3PAO et le gouvernement fédéral le peuvent :

  • Invitez vos clients à se rendre sur la plateforme Prevalent pour effectuer leur évaluation normalisée des contrôles de niveau 2 ou 3 dans un locataire sécurisé et facile à utiliser.
  • Automatiser les rappels de poursuite aux clients pour réduire le temps nécessaire à la réalisation des évaluations
  • Centraliser les pièces justificatives soumises comme preuve de la présence de contrôles
  • Afficher un registre unique des risques soulevés en fonction de la façon dont le client répond aux questions
  • Émettre des recommandations de remédiation pour les contrôles défaillants
  • Fournir des rapports personnalisés sur le niveau actuel de conformité, en démontrant l'impact de l'application de contrôles futurs sur la réduction des risques.

Tout fournisseur du DoD peut réaliser une auto-évaluation de niveau 1 ou 2 pour :

  • Évaluation par rapport aux 17 contrôles requis pour mesurer la conformité de niveau 1
  • Évaluer par rapport aux 110 contrôles requis pour mesurer la conformité de niveau 2
  • Téléchargez la documentation et les preuves à l'appui des réponses aux questions.
  • Obtenir une visibilité sur le statut de conformité actuel
  • Tirez parti des conseils intégrés pour remédier aux lacunes avec des tiers.
  • Produire des rapports pour mesurer la conformité pour les auditeurs
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo