Certification du modèle de maturité de la cybersécurité (CMMC) : Ce que vous devez savoir

par

Le ministère de la Défense des États-Unis met en œuvre la certification du modèle de maturité de la cybersécurité (CMMC) pour normaliser et standardiser la préparation à la cybersécurité dans l’ensemble de la base industrielle de défense (DIB) du gouvernement fédéral. Cette pièce couvrira le concept de modèle de maturité dans le contexte de la cybersécurité, les représentations clés de la DIB, l’anatomie des niveaux CMMC et la façon dont Varonis peut accélérer la certification.

  • Qu’est-ce que la certification du modèle de maturité de la cybersécurité ?
  • Le cadre CMMC et les 5 niveaux
  • Comment obtenir la certification CMMC
  • Mappage des produits Varonis aux domaines CMMC

Qu’est-ce qu’un modèle de maturité ?

Les modèles de maturité sont une collection de meilleures pratiques, dont le degré d’adhésion fait progresser les organisations sur une échelle allant de niveaux inférieurs d’adoption ou de « maturité » à des niveaux supérieurs d’aptitude et de certification. La certification à un modèle de maturité signifie qu’une entreprise ou une organisation s’est engagée à améliorer ses processus et ses pratiques dans les domaines d’un modèle jusqu’à un niveau durable et mesuré de haute performance.

Fast Track CMMC avec ce guide gratuit

Qu’est-ce que la certification du modèle de maturité de la cybersécurité ?

La certification du modèle de maturité de la cybersécurité est un programme initié par le département de la défense des États-Unis (DoD) afin de mesurer les capacités, la préparation et la sophistication de leurs entrepreneurs de défense dans le domaine de la cybersécurité. À un niveau élevé, le cadre est une collection de processus, d’autres cadres et d’entrées de normes de cybersécurité existantes telles que NIST, FAR et DFARS.

À un niveau tactique, l’objectif principal de la certification est d’améliorer la sûreté et la sécurité des informations non classifiées contrôlées (CUI) et des informations des contrats fédéraux (FCI) qui sont en possession et en usage de leurs entrepreneurs fédéraux. Le programme CMMC a été annoncé le 31 janvier 2020.

Quand prend-il effet ?

À partir de septembre 2020, le DoD a commencé à émettre un nombre limité de demandes d’information qui contiennent des spécifications CMMC, et il est prévu que le CMMC soit une exigence de toutes les nouvelles demandes de propositions du DoD à partir de 2026.

À qui s’applique le CMMC ?

La certification s’applique à la fois aux entrepreneurs « principaux » qui s’engagent directement avec le DoD, et aux sous-traitants qui contractent avec les principaux pour fournir l’exécution et l’exécution de ces contrats. Bien qu’un certain niveau de certification sera une exigence de chaque contrat à partir de 2026, le DoD a indiqué qu’il avait l’intention d’émettre des opportunités de contrat à tous les niveaux du modèle de maturité, ce qui signifie qu’il y aura un certain nombre de demandes émises qui ne nécessiteront qu’un faible niveau de certification, et d’autres qui nécessiteront des niveaux de certification plus élevés.

Pourquoi le CMMC est-il important ?

Depiction des statistiques importantes : 600 milliards de dollars d'impact annuel de la cybercriminalité, 402 milliards de dollars de valeur contractuelle annuelle du DoD, 300 000 entreprises dans le DIB, 54% d'allocation budgétaire aux petites entreprises

On estime que la cybercriminalité draine plus de 600 milliards de dollars par an du PIB mondial. S’appuyer sur le vaste réseau de contractants pour exécuter sa mission signifie que le ministère de la Défense confie à chacun d’entre eux des données critiques qui augmentent systématiquement le profil de risque global du DIB. Par conséquent, le DoD comprend le fardeau et la proportion démesurée de risque que la cybercriminalité fait peser sur leur base de sous-traitants, dont beaucoup sont des petites entreprises et ne disposent pas des ressources de leurs homologues principaux plus importants.
C’est dans ce contexte que le DoD a publié le CMMC, afin de faciliter l’adoption des meilleures pratiques en matière de cybersécurité avec une stratégie de « défense en profondeur » dans l’ensemble de sa base mondiale de sous-traitants.

Savoir avant : Principaux points à retenir du CMMC

  • Applique aux entrepreneurs principaux et aux sous-traitants du DoD
  • Applique à certains nouveaux contrats à partir de 2020 et s’applique à tous les contrats à partir de 2026
  • Le modèle progressif couvre des niveaux avancés de processus et de pratiques de cybersécurité résultant en un niveau de certification
  • Les entrepreneurs doivent commencer au niveau 1 et certifier à chaque niveau. jusqu’au niveau supérieur 5
  • Varonis est un outil puissant pour faciliter tous les niveaux de conformité CMMC

Le cadre CMMC et les 5 niveaux

Illustration CMMC d'un tableau montrant les exigences de niveau

La certification du modèle de maturité de la cybersécurité est basée sur un niveau ascendant de préparation du niveau 1 (le plus bas) au niveau 5 (avancé).

Le but ultime du CMMC est d’assurer la protection de deux types d’informations contre la divulgation ou l’utilisation non autorisée :

  • Informations non classifiées contrôlées (CUI) : Informations qui nécessitent des contrôles de sauvegarde ou de diffusion en vertu et conformément aux lois, règlements et politiques gouvernementales applicables, mais qui ne sont pas classifiées en vertu de l’Executive Order 13526 ou de la loi sur l’énergie atomique, telle que modifiée.
  • Federal Contract Information (FCI) : Informations, non destinées à être diffusées au public, qui sont fournies par ou générées pour le gouvernement dans le cadre d’un contrat visant à développer ou à fournir un produit ou un service au gouvernement, mais n’incluant pas les informations fournies par le gouvernement au public.

Niveaux de certification du CMMC (résumé)

Chaque niveau a un ensemble de processus et de pratiques et un qualificatif ou « objectif » pour chacun d’entre eux, car ils sont liés aux domaines applicables dans ce niveau. Par exemple, comme on le voit dans l’image ci-dessous, atteindre le niveau 2 du CMMC signifie que l’objectif d’une organisation est d’avoir des Processus qui sont documentés et des Pratiques qui sont conformes à une cyberhygiène intermédiaire.

Illustration du cadre CMMC

Composants du cadre

Les composants CMMC en jeu sont :

  • Domaines
  • Processus
  • Capacités
  • Pratiques

A mesure que les entrepreneurs progressent dans leurs évaluations dans chacune de ces composantes, une certification globale à un niveau est obtenue.

Les entrepreneurs principaux et les sous-traitants fédéraux sont évalués pour leur adhésion aux processus et aux pratiques dans la mesure où ils se rapportent à chacun des Domaines applicables à chaque niveau du modèle.

NOTE : Tous les Domaines ne couvrent pas les cinq niveaux. Les domaines se rapportent à un minimum de 1 et un maximum de 5 niveaux ou à tout nombre contigu de niveaux intermédiaires.

Comprendre les niveaux du CMMC & Domaines

Dans le tableau ci-dessous, en regardant de haut en bas, nous voyons une liste des 17 Domaines. En regardant de gauche à droite, nous voyons le nombre de pratiques pour chaque domaine et le nombre de pratiques dans ce domaine par niveau (les segments du graphique à barres par couleur).

En descendant le graphique, nous pouvons voir que, par exemple, tous les domaines n’ont pas une présence au niveau 1 (L1).

Un entrepreneur gouvernemental principal ou subprime qui fournit les 17 pratiques L1 contenues dans les 6 domaines applicables au L1 devrait recevoir la certification du modèle de maturité de la cybersécurité de niveau 1.

Référant au résumé des niveaux ci-dessus, les entrepreneurs avec le CMMC de niveau 1 pratiquent une cyberhygiène de base et leurs processus sont simplement exécutés. Rappelons qu’il n’y a pas d’évaluation de processus au niveau 1, donc le ML 1 n’est pas requis pour la certification de niveau 1.

En avançant plus loin dans le modèle, un entrepreneur atteindrait le niveau 3 du CMMC lorsqu’il fournit les 130 pratiques L3 contenues dans les 16 domaines applicables au L3 et gagne une évaluation de processus de ML3 dans chacun de ces domaines.

NOTE : les pratiques sont cumulatives à chaque niveau. Les entrepreneurs doivent se certifier à chaque niveau pour passer au niveau suivant.

Illustration du CMMC des industries les plus à risque

Recap du cadre

Le CMMC comporte de nombreuses parties interconnectées et mobiles, il peut donc être utile de résumer les mesures clés et de visualiser leurs relations, comme on le voit dans l’image ci-dessus.

  • Domaines : 17
  • Capacités : 43 (Ce sont des collections de pratiques)
  • Pratiques : 171
  • Processus : Niveaux de maturité 1 – 5
  • Niveaux de certification : 5

Les processus sont évalués pour les niveaux de maturité correspondant au niveau de certification. Les domaines sont constitués de et de Pratiques (organisées par Capacités) et ils englobent les Processus qui y sont entrepris. La certification à un niveau exige la maîtrise des Domaines de ce niveau qui comprend leurs Pratiques et Processus.

Comment obtenir la certification CMMC

Le DoD a créé l’organisme d’accréditation (AB) du CMMC qui est une organisation indépendante à but non lucratif pour accréditer les organismes d’évaluation tiers (3PAO) en plus des évaluateurs individuels. Des détails sont à venir sur les mécanismes de certification, mais le DoD prévoit d’établir un marché pour les 3PAO qui seront évalués et embauchés par les entrepreneurs qui cherchent à obtenir une certification.

Fast-Track CMMC avec Varonis

Démarrer avec le CMMC peut sembler une tâche ardue, et la réalité est que la certification est tout simplement un programme trop important pour être géré par une personne ou peut-être même une équipe au sein d’une organisation. Néanmoins, la certification sera une exigence non négociable pour les entrepreneurs du DoD à l’avenir, et Varonis peut aider les entrepreneurs fédéraux à démarrer dès maintenant.

Le meilleur endroit pour commencer à opérationnaliser le CMMC est dans les Domaines. Rappelons qu’il s’agit de  » centres d’excellence  » avec des tâches et une gestion qui doivent être effectuées et optimisées en permanence pour que les organisations puissent atteindre et faire progresser leurs niveaux de certification. Rappelons également que l’objectif principal du CMMC est la protection des informations non classifiées contrôlées (CUI) et des informations des contrats fédéraux (FCI).

La plateforme de sécurité des données de Varonis peut faciliter, exécuter et automatiser un grand nombre des 171 pratiques et de leurs processus connexes dans le corps d’exigences du CMMC.

DatAdvantage

Ayez une visibilité en temps réel et des pistes d’audit des fichiers, des données sensibles et des serveurs dans les écosystèmes Microsoft et UNIX/Linux. Allez rapidement au moindre privilège avec une suite complète de rapports pour accélérer – et maintenir – la certification.

Moteur de classification des données + Policy Pack, étiquettes de classification des données, moteur de transport des données &Moteur d’automatisation

Mettez la puissance de l’apprentissage automatique derrière vos processus CUI et FCI pour trouver rapidement et nettoyer complètement les magasins de données sur site et dans le cloud. Varonis dispose d’un ensemble puissant de produits avec des modèles de classification intégrés pour plus de 60 types de fichiers qui aident les entrepreneurs fédéraux à niveler et à maintenir leur CMMC tout en garantissant la continuité des activités et l’accès aux données importantes.

DatAlert + Edge

Stoppez les menaces pour les CUI et FCI dans leurs voies avec des alertes haute-fidélité sur les fichiers, les dossiers, les comptes et les domaines. Utilisez les règles intégrées ou créez des actions personnalisées pour fermer automatiquement l’accès et remédier à l’exposition à n’importe quel point de la chaîne d’élimination.

Mappage des produits Varonis aux domaines CMMC

Clé de la carte des produits :

  • DatAdvantage
  • DatAlert + Edge
  • DataPrivilege
  • DatAnswers
  • Moteur de classification des données + Policy Pack
  • Étiquettes de classification des données
  • Moteur de transport des données

    • .

  • Moteur d’automatisation
  • Services professionnels
  • Équipe d’intervention en cas d’incident

.

.

.

. Protection des communications

.

Domaine Capacités Produit(s) de Varonis
AC – Contrôle d’accès
  • Établir des exigences d’accès au système
  • Contrôler l’accès au système interne
  • Contrôler l’accès au système distant
  • Limiter l’accès aux données aux utilisateurs et aux processus autorisés
 DatAdvantage

DataPrivilege
AM – Gestion des actifs . Asset Management
  • Identifier et documenter les actifs
  • Gérer l’inventaire des actifs
 Data Classification Engine + Policy Pack
AU – Audit & Accountability
  • Définir les exigences d’audit
  • Préparer l’audit
  • . audit
  • Identifier et protéger les informations d’audit
  • Examiner et gérer les journaux d’audit
 DatAdvantage

Data Transport Engine
AT – Sensibilisation &Formation
  • Mener des activités de sensibilisation à la sécurité

    • .

  • Faire de la formation
 Services professionnels
CM – Gestion de la configuration
  • Établir des bases de configuration
  • Faire de la gestion de la configuration et des changements
 DatAdvantage

DatAlert + Edge

DataPrivilege

Automation Engine
IA – Identification & Authentification
  • Autoriser l’accès aux entités authentifiées
 DatAdvantage

DataPrivilege
IR – Réponse aux incidents
I – Réponse aux incidents
  • Planifier la réponse aux incidents
  • Détecter et signaler les événements
  • Développer et mettre en œuvre une réponse à un incident déclaré
  • Préparer les revues post incident
  • Tester la réponse aux incidents
 DatAdvantage

DatAlert. + Edge

Équipe de réponse aux incidents
MA – Maintenance
  • Gérer la maintenance
 DatAlert + Edge
MP – Protection des médias
  • Identifier et marquer les médias
  • Protéger et contrôler les médias
  • . et contrôler les médias
  • Sanitiser les médias
  • Protéger les médias pendant le transport
 DatAdvantage

DataPrivilege

Étiquettes de classification des données
PS – Sécurité du personnel
  • Filtrer le personnel

    • .

  • Protection des CUI pendant les actions du personnel
 DatAdvantage

DataPrivilege
PE – Protection physique Protection
  • Limiter l’accès physique
RE – Recovery
    .

  • Gérer les sauvegardes
  • Gérer la continuité de la sécurité de l’information
 DatAlert + Edge

Data Transport Engine
RM – Risk Management
  • Identifier et évaluer le risque
  • Gérer le risque
  • Gérer la chaîne d’approvisionnement risque
 DatAdvantage

DatAlert + Edge

Moteur d’automatisation
CA – Évaluation de la sécurité
  • Développer et gérer un plan de sécurité du système
  • Définir et gérer les contrôles
  • Réaliser des revues de code

    • .

DatAdvantage

DatAlert + Edge

Services professionnels
SA – Situational Awareness
  • Mise en œuvre de la surveillance des menaces
 DatAlert + Edge
SC – Système & de protection des communications
  • Définir les exigences de sécurité pour les systèmes et les communications
  • Contrôler les communications aux frontières du système
 DatAdvantage

DatAlert + Edge
SI – Système & Intégrité de l’information
  • Identifier et gérer les failles des systèmes d’information
  • Identifier les contenus malveillants
  • Surveiller les réseaux et les systèmes
  • Mettre en place des protections avancées du courrier électronique
 DatAdvantage

DatAlert + Edge

.

Laisser un commentaire