Certification du modèle de maturité en cybersécurité (CMMC)

La certification du modèle de maîtrise de la cybersécurité (CMMC) est un programme mis en place par le Département de la défense (DoD) pour sécuriser et protéger les informations des contrats fédéraux (ICF) et les informations non classifiées contrôlées (INCC) en exigeant la certification des contractants externes dans 14 domaines différents, chacun avec trois niveaux de certification spécifiques.

La CMMC est une norme unifiée pour la mise en œuvre de la cybersécurité dans le réseau de sous-traitance du DoD, qui comprend plus de 300 000 entreprises tout au long de sa chaîne d’approvisionnement. La CMMC est la réponse du DoD aux compromis importants réalisés en matière d’informations de défense sensibles contenues dans les systèmes d’information des sous-traitants.

• La CMMC est sortie le 1er janvier 2020.
• Le DoD a commencé à intégrer les exigences de la CMMC dans une sélection d’appels d’offres et de demandes d’informations à compter du 30 novembre 2020.
• D’ici le 1er octobre 2025, toutes les attributions de marché du DoD nécessiteront au moins un certain niveau de certification CMMC. Et tandis que le DoD a servi de catalyseur à la CMMC, il gagne maintenant du terrain sur la base industrielle de défense (DIB), y compris le département de la Sécurité intérieure et d’autres départements et agences du gouvernement fédéral, en particulier après SolarWinds.

Historiquement, les prestataires étaient responsables de la mise en œuvre, de la surveillance et de la certification de la sécurité de leurs systèmes informatiques et de toute information sensible du DoD stockée ou transmise par ces systèmes.

À partir du 30 novembre 2020, le DoD a commencé à intégrer les exigences du CMMC dans certains appels d’offres, demandes de renseignements et contrats de recherche. D’ici le 1er octobre 2025, tous les contrats attribués par le DoD exigeront au moins un certain niveau de certification CMMC. Le modèle se compose de 3 niveaux de maîtrise - fondamental, avancé et expert - qui dépendent du type d’informations traitées. Chaque niveau a également des exigences d’évaluation différentes, qu’il s’agisse d’auto-évaluations, d’évaluations par des tiers ou d’évaluations menées par le gouvernement. La gamme de produits de sécurité numérique d’Entrust, y compris les solutions d’identité, de certificats et de protection des données, facilite la conformité avec 9 domaines CMMC à travers les trois niveaux de certification possibles.

L’organisation gère-t-elle des informations de base, telles que les informations sur les contrats fédéraux (FCI) ? Ou s’agit-il d’informations contrôlées non classifiées (CUI) ? Les FCI nécessitent une certification de niveau 1, mais les CUI nécessitent au moins un niveau 2.

Où se trouvent les écarts entre la position actuelle de l’organisation en matière de cybersécurité et le niveau de CMMC souhaité ? Une évaluation des lacunes sera précieuse pour définir un plan d’action et des jalons pour atteindre la maturité visée en cybersécurité au regard de la CMMC.

La CMMC englobe les exigences de sécurité spécifiées dans NIST SP 800-171, ainsi que les exigences supplémentaires d’autres normes et sources, qui varient selon le niveau de certification. Que révélera une évaluation des lacunes sur le niveau actuel de santé de l’organisation en matière de cybersécurité ?

Gardez à l’esprit l’objectif ultime de la CMMC : tenir les FCI et les CUI à distance des mains des cyberattaquants malveillants.