Qu’est-ce que la Cybersecurity Maturity Model Certification (CMMC) ?

La Cybersecurity Maturity Model Certification ou certification du modèle de maturité de la cybersécurité (CMMC) est une norme unifiée pour la mise en œuvre de la cybersécurité dans l’ensemble de la base industrielle de défense.

Il s’agit d’un cadre conçu pour protéger les informations sensibles relatives à la défense hébergées dans les systèmes et les réseaux des entrepreneurs, renforçant ainsi la sécurité de la chaîne d’approvisionnement qui sous-tend la sécurité nationale des États-Unis.

Le CMMC, ou Cybersecurity Maturity Model Certification, est un programme de cybersécurité à plusieurs niveaux mandaté par le ministère de la Défense pour se prémunir contre les cybermenaces au sein de sa chaîne d’approvisionnement.

Le CMMC est un processus de certification conçu pour assurer la protection des données sensibles qui résident sur les réseaux des sous-traitants.

L’augmentation des cybermenaces compromettant les données de défense sur les systèmes exploités par les sous-traitants est à l’origine de la création de la CMMC.

Pour contrer cette vulnérabilité, le Département de la Défense des États-Unis (DoD) a développé le CMMC comme un amalgame de diverses normes et meilleures pratiques en matière de cybersécurité, notamment le NIST SP 800-171 et la clause FAR 52.204-21, tout en incorporant des contributions d’experts du secteur et d’institutions académiques.

Grâce à cette initiative, le ministère de la défense veille à ce que tous les contractants atteignent un niveau de maturité en matière de cybersécurité avant de se voir attribuer des contrats gouvernementaux portant sur des informations non classifiées et contrôlées (CUI).

En normalisant ces exigences à tous les niveaux de la chaîne d’approvisionnement, le CMMC sert non seulement de mesure de conformité, mais aussi de cadre d’assurance pour la sécurisation des actifs critiques essentiels aux intérêts de la sécurité nationale des États-Unis sur le territoire national et à l’étranger.

La conformité au CMMC est essentielle pour un groupe spécifique du secteur de la défense. Les organisations qui passent des contrats avec le DoD, y compris les sous-traitants, doivent satisfaire aux exigences de la CMMC.

Cette obligation s’applique à un large éventail d’entreprises, depuis celles qui fournissent un soutien direct aux produits et aux services de défense jusqu’aux fournisseurs situés en aval de la chaîne d’approvisionnement.

En fait, si une entité fait partie de la base industrielle de défense (DIB) et gère des CUI, il est obligatoire d’investir dans la conformité à la CMMC.

L’importance de la CMMC ne peut être surestimée pour plusieurs raisons :

• Protection contre les cybermenaces : L’augmentation des cyberattaques visant les données gouvernementales sensibles nécessite des protocoles de sécurité robustes. En adhérant aux normes du CMMC, les organisations peuvent mieux se protéger contre l’espionnage, le vol et le sabotage par des acteurs malveillants.
• Assurance tout au long de la chaîne d’approvisionnement : Le CMMC garantit que tous les membres de la chaîne d’approvisionnement du DoD appliquent des pratiques cohérentes en matière de cybersécurité, ce qui permet d’établir la confiance à tous les niveaux en s’assurant que chaque maillon de la chaîne prend au sérieux la protection des informations.
• Avantage concurrentiel : Pour les entreprises qui cherchent à obtenir des contrats du ministère de la défense, l’obtention d’une certification peut être un facteur de différenciation par rapport aux concurrents qui ne respectent pas les niveaux requis, ce qui est un élément clé lorsqu’il s’agit de soumettre une proposition pour un projet de défense très convoité.
• Conformité réglementaire : Au-delà de la sécurisation des données, il existe une obligation légale. Le non-respect des règles de conformité du CMMC peut entraîner des amendes, des pénalités ou la perte d’éligibilité à de futures opportunités contractuelles, interdisant ainsi aux entités non conformes de participer à des projets de défense cruciaux.

La conformité au CMMC ne se limite pas au respect des exigences réglementaires. C’est la démonstration de l’engagement d’une organisation à préserver la sécurité nationale.

En adhérant à ces mesures de cybersécurité rigoureuses, les entreprises renforcent leur résistance aux vulnérabilités et contribuent à la continuité et à l’intégrité des opérations cruciales pour l’ensemble de l’espace de défense.

La conformité renforce les efforts collectifs de l’armée pour protéger les systèmes vitaux sur lesquels repose la société moderne.

Le CMMC 2.0 est la version actualisée du programme original de Cybersecurity Maturity Model Certification (CMMC) mis en place par le ministère de la défense.

Cette itération a été introduite pour affiner et rationaliser les exigences en matière de cybersécurité, en les rendant plus accessibles aux entrepreneurs de la chaîne d’approvisionnement de la défense, tout en maintenant un niveau de sécurité élevé.

Plusieurs objectifs clés ont motivé le développement de la CMMC 2.0 :

• Simplification : Le DoD a voulu réduire la complexité de la mise en conformité en regroupant cinq niveaux de maturité en trois, en se concentrant sur les pratiques essentielles de cybersécurité.
• Clarté accrue : Il fournit des orientations plus claires sur les exigences de certification qui améliorent la compréhension et la cohérence au sein de toutes les entreprises impliquées dans les contrats du DoD.
• Alignement sur les normes existantes : Le CMMC 2.0 s’aligne plus étroitement sur les normes bien établies énoncées dans les réglementations FAR, ce qui aide les organisations à intégrer leurs efforts de conformité existants dans ce nouveau modèle sans mesures redondantes ou contradictoires.
• Utilisation efficace des ressources : En rationalisant les procédures d’évaluation et la documentation, le CMMC 2.0 permet d’accélérer les processus de certification, un changement particulièrement bénéfique pour les petites et moyennes entreprises de l’industrie de la défense.

Le CMMC 2.0 est conçu pour renforcer les défenses en matière de cybersécurité tout en promouvant l’équité et l’accessibilité au sein de la chaîne d’approvisionnement de la défense.

Les mises à jour favorisent un environnement plus équitable dans lequel les entreprises de toutes tailles peuvent protéger efficacement les informations sensibles sans que leurs ressources ne soient excessivement sollicitées.

Ce tableau donne un aperçu clair des changements et des différences entre le CMMC 1.0 et le CMMC 2.0.

La CMMC 2.0 reflète une approche dynamique qui répond aux défis modernes de la sécurité numérique, garantissant que l’infrastructure de défense de notre nation reste solide face aux menaces d’aujourd’hui.

Pour se conformer au CMMC, les organisations doivent comprendre et respecter les critères définis dans l’un des trois niveaux de maturité, chacun correspondant à un ensemble de pratiques de cybersécurité d’une complexité et d’une rigueur croissantes.

Ces niveaux sont fondés sur des normes NIST (National Institute of Standards and Technology) largement acceptées.

Niveau 1 - Fondamental :

• À ce niveau initial, une organisation doit mettre en œuvre des pratiques d’hygiène informatique de base.
• Il s’agit de 17 contrôles découlant principalement de la clause 52.204-21 de la FAR, qui porte sur les mesures de protection essentielles pour les informations contractuelles fédérales (Federal Contract Information - FCI).
• Ce niveau est un point de départ pour les petites entreprises ou les sous-traitants qui débutent dans la chaîne d’approvisionnement du ministère de la défense.

Niveau 2 - Avancé :

• Cette étape intermédiaire nécessite la mise en place et la documentation de processus normalisés basés sur les lignes directrices du NIST SP 800-171 rev2.
• Ce niveau met l’accent sur la protection des CUI, les exigences s’étendant au-delà des protocoles de cybersécurité fondamentaux à des mécanismes de protection plus robustes contre les menaces.
• Les entreprises de ce niveau doivent avoir établi des politiques régissant leurs efforts de cybersécurité tout en gérant activement leurs stratégies de protection des données.

Niveau 3 - Expert :

• Au sommet du CMMC, le niveau 3 exige des organisations qu’elles mettent en œuvre des pratiques de cybersécurité avancées pour se protéger contre les menaces sophistiquées.
• Ce niveau s’appuie sur la norme NIST SP 800-171 rev2 en intégrant des contrôles supplémentaires provenant de sources telles que la norme NIST SP 800-172, garantissant une protection contre les menaces persistantes avancées (APT).
• Les entreprises de ce niveau doivent montrer qu’elles peuvent non seulement établir, mais aussi gérer et adapter activement leur dispositif de cybersécurité en fonction de l’évolution des tactiques et des techniques utilisées par les cyberadversaires.
• La certification à ce niveau d’expertise indique la capacité d’une entreprise à fournir la norme de sécurité la plus élevée pour les projets du DoD nécessitant des mécanismes de défense sans compromis.

Ces niveaux CMMC sont largement acceptés, car ils sont basés sur les normes de cybersécurité établies par le NIST, reconnues comme des cadres complets et robustes pour la protection des informations gouvernementales sensibles.

L’obligation d’obtenir un certificat CMMC concerne un groupe spécifique du secteur de la défense :

• Les entrepreneurs du secteur de la défense : Toute organisation, grande ou petite, qui a l’intention de faire des affaires avec le DoD en répondant directement à des appels d’offres.
• Les sous-traitants : Les entreprises situées en aval de la chaîne d’approvisionnement qui ne passent pas directement de contrat avec le ministère de la défense, mais qui contribuent à l’exécution des contrats de défense, doivent également être certifiées. Les sous-traitants comprennent les fournisseurs et les prestataires de services qui manipulent ou produisent des composants et des systèmes pour les contractants principaux.
• Les fournisseurs qui traitent les CUI : Si une entité traite des informations que les normes fédérales considèrent comme sensibles, c’est-à-dire des informations nécessitant une protection mais non classifiées, une certification est nécessaire car les données sont essentielles à la sécurité nationale.

En substance, toute entreprise jouant un rôle dans la fourniture de biens ou de services au sein de la base industrielle de défense, en particulier celles qui traitent des informations sensibles non classifiées, doit rechercher et maintenir un niveau approprié de certification CMMC en fonction de la nature et de l’étendue de leur travail.

La complexité de la conformité au CMMC peut être décourageante pour les organisations de l’industrie de la défense, quel que soit leur niveau.

Cependant, Proofpoint est un allié inestimable dans ce voyage en fournissant des solutions pour aider les organisations à se conformer à la CMMC.

La plateforme Identity Threat Detection & Response de Proofpoint aide à révéler et à protéger les voies d’attaque qui peuvent être exploitées par les acteurs de la menace, contribuant ainsi à atteindre la cyber-résilience pour la conformité CMMC de niveau 3.

Proofpoint propose des solutions de conformité et d’archivage des données, telles que Proofpoint Track, qui permet aux organisations de suivre, d’auditer et de réconcilier tout le contenu de leur flux de capture, les aidant ainsi à rester conformes et à garder le contrôle.

En outre, les solutions de filtrage du courrier électronique et de passerelle de messagerie sécurisée de Proofpoint peuvent aider à répondre aux exigences du CMMC, notamment en détectant ou en bloquant les emails malveillants et en employant un chiffrement validé par la norme FIPS 140-2 pour les données au repos et en cours de transmission.

Ces capacités font de Proofpoint un partenaire précieux pour les organisations qui cherchent à se conformer aux exigences du CMMC.

Pour en savoir plus sur l’étendue des solutions de cybersécurité disponibles, contactez Proofpoint.