CMMC expliqué : Présentation des nouveaux objectifs de cybersécurité de la communauté de défense américaine

La cybersécurité est devenue une préoccupation majeure dans l’industrie de la défense, avec des menaces croissantes ciblant les informations sensibles et les infrastructures critiques. C'est là qu'intervient le Cybersecurity Maturity Model Certification (CMMC). Il s'agit d'un cadre permettant aux sous-traitants de la défense de mettre en œuvre des mesures de cybersécurité, se protégeant ainsi que la chaîne d'approvisionnement du ministère américain de la Défense. Mais comment ça marche et comment s’y conformer ?

Annoncé pour la première fois en juin 2019, le cadre CMMC est ambitieux. En 2020, le DoD a publié la version 1 du cadre et une règle intérimaire présidentielle a établi une période de mise en œuvre progressive de cinq ans pour que les sous-traitants de la défense se conforment.

La conformité implique de naviguer dans un cadre de type matriciel structuré autour de 17 domaines de cybersécurité qui couvraient à l'origine cinq niveaux de maturité. Les domaines englobent chacun un large éventail de pratiques de sécurité, allant du contrôle d'accès et de la gestion des actifs à l'intégrité des systèmes et des informations en passant par l'identification, l'authentification et la réponse aux incidents. Le cadre détaille les pratiques spécifiques dans chaque domaine correspondant à la certification à chaque niveau de maturité.

Chacun des niveaux de maturité du cadre s'appuie sur celui qui le sous-tend, créant ainsi une voie permettant aux sous-traitants de la défense de perfectionner leurs pratiques de cybersécurité.

Révisions du cadre

Comme on pouvait s'y attendre, étant donné qu'ils proviennent tous deux du gouvernement fédéral, CMMC est étroitement lié à une autre norme de sécurité : la norme NIST SP 800-171 pour la protection des informations non classifiées contrôlées (CUI) dans les systèmes et organisations non fédéraux. Les règles du Federal Acquisition Regulator (FAR) et du Defense Federal Acquisition Regulation Supplement (DFARS) (qui dictent ce que les entrepreneurs fédéraux et de défense doivent faire avant de pouvoir travailler avec le gouvernement fédéral) imposent la conformité à la norme NIST SP 800-171.

L'un des principaux avantages de la CMMC d'origine par rapport au NIST SP 800-171 était que, même si cette dernière s'appuie sur l'auto-attestation pour la conformité, la CMMC 1.0 exigeait des évaluations tierces pour vérifier la mise en œuvre. Cependant, en mars 2021, le DoD a annoncé un examen interne de CMMC, qui a abouti à une version mise à jour, CMMC 2.0, en novembre de la même année. Cette révision était une réponse aux commentaires de l'industrie qui demandaient une réduction des coûts de conformité (en particulier pour les petites entreprises), ainsi qu'un meilleur alignement avec d'autres normes.

CMMC 2.0 a réduit le nombre de niveaux de maturité à trois (Foundational, Advanced et Expert). Il a également réduit les coûts en introduisant des auto-évaluations pour le niveau Foundational et certaines exigences du niveau Advanced. D'autres changements conçus pour atténuer l'impact sur les entreprises comprenaient des dispositions relatives aux dérogations, ainsi que des plans d'action et des jalons (POA&M). Les dérogations permettent aux entreprises de demander des exemptions temporaires à la CMMC dans des circonstances spécifiques, tandis que les POA&M leur permettent de fixer des objectifs assortis de délais pour combler les lacunes en matière de conformité.

Dans la CMMC 2.0 simplifiée, les exigences du NIST SP 800-171 entrent en vigueur au niveau deux, tandis que le niveau trois inclut certaines exigences du SP 800-172.

Comment pouvez-vous vous conformer à la CMMC ?

À l'heure actuelle, la conformité à CMMC 2.0 n'est pas une exigence contractuelle car l'élaboration des règles pour cette mise à jour doit encore être achevée. Cela devrait prendre jusqu'à deux ans. Le DoD a publié sa proposition de règle pour la CMMC en décembre 2023, avec une période de consultation de 60 jours. La règle entrera en vigueur le 1er octobre 2026, il est donc judicieux de commencer dès maintenant.

Commencez par définir le niveau CMMC que vous visez. Ceux-ci couvrent différents types d’informations. Le niveau fondamental couvre les informations sur les contrats fédéraux (FCI). Advanced est destiné aux organisations souhaitant gérer des CUI, des défenses contrôlées, des informations techniques contrôlées ou des données contrôlées à l'exportation. La certification Expert vous permet de transporter des informations critiques, contrôlées et non classifiées et s'applique également à ceux travaillant sur des projets sensibles dans les domaines aérospatiaux ou militaires.

Votre niveau déterminera les exigences que vous devrez remplir. La certification fondamentale exige le respect des exigences de la règle FAR 52.204-21 (17 pratiques CMMC). Pour obtenir le statut avancé, vous devrez satisfaire aux 110 contrôles de sécurité du NIST 800-171, tandis que la certification Expert exigera également le respect d'un sous-ensemble d'exigences du NIST 800-SP 172. Cette norme contient des exigences améliorées pour la protection des CUI, notamment des mesures d'atténuation contre les menaces persistantes avancées.

Identifiez les atouts couverts par CMMC et effectuez une analyse des écarts pour voir où vous n'êtes pas actuellement en mesure d'atteindre la certification dont vous avez besoin. Choisissez un fournisseur de services gérés pour vous aider à répondre à vos exigences de mise à niveau de sécurité si nécessaire. Vous devez également effectuer une évaluation CMMC, ce qui peut impliquer une évaluation par un tiers en fonction du niveau de maturité choisi.

Il y a beaucoup de choses à travailler en ce moment

En attendant l’échéance de la CMMC, il existe des exigences de conformité plus urgentes. Le DoD a créé un supplément à la réglementation fédérale sur les acquisitions de la Défense

(DFARS) clause 252.204-7012, une règle récente qui impose des mesures de cybersécurité pour les entrepreneurs fédéraux de la défense. En vertu de cette règle, actuellement en vigueur, les entrepreneurs doivent se conformer aux 110 exigences de sécurité du NIST SP 800-171.

À plus long terme, attendez-vous à davantage de développements CMMC maintenant que le NIST a publié la troisième révision du NIST SP 800-71. Cela a apparemment moins d'exigences que la v2, mais ces exigences sont beaucoup plus importantes, nécessitant plus de questions de vérification et plus de travail. Bien que CMMC 2.0 n'inclut pas la conformité NIST SP 800-71 v3, attendez-vous à ce qu'elle soit disponible à l'avenir.

Vous pouvez utiliser les travaux existants que vous avez effectués sur la norme ISO 27001 pour vous aider dans ces préparatifs. Bien qu'il s'agisse d'une norme distincte de la CMMC, il existe un certain chevauchement. Étant donné que CMMC est fortement basé sur NIST SP 800-71, vous pouvez utiliser le mappage ISO 27001 dans l'annexe D de NIST SP 800-71 pour vous donner une longueur d'avance sur la conformité CMMC.