Conformité CMMC : ce que vous devez savoir sur la règle finale de 2024

Le ministère de la Défense (DoD) a publié sa règle finale de conformité CMMC, marquant un changement significatif dans les exigences de cybersécurité pour les sous-traitants de la défense. Ce guide complet explique tout ce que vous devez savoir sur la nouvelle Cadre CMMC 2.0 et son calendrier de mise en œuvre.

Logo CMMC

Comprendre les niveaux de conformité CMMC

Le nouveau cadre de conformité CMMC simplifie le système à cinq niveaux précédent en trois niveaux distincts :

  • Niveau 1 – Fondamental:
    • Nécessite une protection de base des informations sur les contrats fédéraux (FCI) grâce à 15 contrôles de sécurité fondamentaux. Ce niveau est conçu pour les entrepreneurs qui manipulent des informations moins sensibles et se concentre sur les pratiques essentielles de cybersécurité telles que le contrôle d'accès, la maintenance de base du système et les protocoles fondamentaux de protection des données. Les organisations à ce niveau traitent généralement des informations sur les contrats fédéraux qui, bien qu'importantes, ne nécessitent pas la protection renforcée nécessaire aux informations non classifiées contrôlées.
  • Niveau 2 – Avancé:
    • Exige la mise en œuvre de 110 contrôles de sécurité du NIST SP 800-171 pour la gestion Informations contrôlées non classifiées (CUI). Ce niveau intermédiaire augmente considérablement les exigences de sécurité pour inclure des contrôles d'accès avancés, des plans de réponse aux incidents, une formation complète en matière de sécurité et des capacités de surveillance système robustes. Les organisations doivent démontrer une protection adéquate des CUI sur l'ensemble de leur infrastructure, y compris les actifs physiques et numériques, tout en conservant une documentation détaillée de leurs pratiques de sécurité.
  • Niveau 3 – Expert:
    • Ajoute 24 contrôles de sécurité supplémentaires de la norme NIST SP 800-172 pour une protection maximale. Ce niveau le plus élevé est réservé aux sous-traitants qui manipulent les informations non classifiées les plus sensibles et nécessite des mesures de sécurité sophistiquées telles que des protocoles de chiffrement avancés, une surveillance continue de la sécurité, des tests de pénétration réguliers et des capacités de réponse aux incidents améliorées. Les organisations doivent également mettre en œuvre des contrôles de sécurité spécialisés pour la gestion des risques de la chaîne d'approvisionnement et démontrer leur capacité à détecter et à répondre aux menaces persistantes avancées.

Un tableau détaillant les niveaux de conformité CMMC 2.0.

Calendrier et mise en œuvre de la conformité CMMC clé

À partir de 2025, tous les sous-traitants du secteur de la défense devront démontrer leur conformité aux normes CMMC au moment de l'attribution du contrat. Le programme comprend :

  • Une période de transition de trois ans pour assurer une transition en douceur, au cours de laquelle les entrepreneurs peuvent progressivement mettre en œuvre les contrôles de sécurité requis et se soumettre aux évaluations nécessaires sans risquer une disqualification immédiate du contrat. Cette période permet aux organisations de budgétiser correctement les améliorations de sécurité, de former le personnel et d'établir des processus de documentation solides tout en conservant leur capacité à soumissionner pour les contrats du DoD.
  • Mise en œuvre des modifications des règles DFARS d'ici mi-2025, qui codifieront officiellement les exigences CMMC dans les réglementations d'acquisition de la défense. Ces changements affecteront tout, du langage contractuel aux exigences des propositions, changeant fondamentalement la façon dont les entrepreneurs abordent la conformité en matière de cybersécurité dans leurs opérations commerciales du DoD. Les organisations devront comprendre et s'adapter à ces nouvelles exigences réglementaires tout en conservant leurs protocoles de sécurité existants.
  • Exigences d'affirmation annuelles pour maintenir le statut de conformité, ce qui implique que la haute direction confirme le respect continu de l'organisation à tous les contrôles de sécurité applicables. Ce processus comprend la documentation de tous les incidents de sécurité, des modifications de l'architecture du système et des efforts de correction tout au long de l'année. Les organisations doivent également conserver des preuves d'une surveillance continue de la conformité et d'évaluations de sécurité régulières pour étayer leurs affirmations.

Exigences d'évaluation de la conformité CMMC

Le processus d’évaluation varie selon le niveau :

  • Niveau 1 :
    • L'auto-évaluation est autorisée pour les sous-traitants qui gèrent des FCI de base, ce qui oblige les organisations à évaluer minutieusement leur mise en œuvre des 15 contrôles de sécurité de base. Cela comprend la tenue d'une documentation détaillée de la mise en œuvre des contrôles, des audits internes réguliers et l'établissement d'un processus pour combler les lacunes identifiées. Les organisations doivent également élaborer et maintenir des politiques et des procédures qui démontrent leur compréhension et leur application de ces contrôles dans leur contexte opérationnel spécifique.
  • Niveau 2 :
    • Mélange d'auto-évaluation et de certification par un tiers, en fonction de la sensibilité des CUI traitées. Les organisations nécessitant une certification par un tiers doivent se soumettre à des évaluations complètes par des C3PAO agréés, qui évalueront à la fois les mises en œuvre techniques et le respect des procédures des 110 contrôles de sécurité. Cela comprend des examens détaillés des configurations du système, de la documentation des politiques, des dossiers de formation du personnel et des capacités de réponse aux incidents. Les entreprises autorisées à s'auto-évaluer doivent toujours conserver une documentation rigoureuse et des preuves de conformité.
  • Niveau 3 :
    • Évaluation obligatoire par un tiers du DIBCAC, impliquant l'évaluation la plus rigoureuse de tous les contrôles de sécurité, y compris les 24 exigences supplémentaires de la norme NIST SP 800-172. Ces évaluations comprennent des tests techniques approfondis, un examen complet de la documentation et l'évaluation des capacités de sécurité avancées telles que la recherche de menaces et l'orchestration de la sécurité. Les organisations doivent démontrer non seulement la mise en œuvre mais aussi l'efficacité opérationnelle de tous les contrôles de sécurité au moyen d'exercices pratiques et de scénarios réels.

Données récentes montre un écart important dans la perception de la conformité : alors que 751 TP3T des entreprises pensaient être conformes à la CMMC grâce à l'auto-évaluation, seulement 41 TP3T répondaient réellement aux exigences lorsqu'elles étaient évaluées par des tiers.

Considérations importantes sur la conformité CMMC pour les entrepreneurs

Exigences relatives aux sous-traitants

  • Tous les sous-traitants doivent maintenir des niveaux de conformité CMMC appropriés
  • Les entrepreneurs principaux sont responsables de vérifier la conformité des sous-traitants
  • Les exigences de flux descendant s'appliquent à l'ensemble de la chaîne d'approvisionnement

Évaluation et certification

  • Les certifications tierces débutent en décembre 2024
  • Plans d'action et jalons (POA&M) autorisés pour les entrepreneurs de niveaux 2 et 3
  • Fenêtre de 180 jours pour clôturer les POA&M après la certification conditionnelle

Gestion des risques

  • Déclarations annuelles exigées des hauts fonctionnaires
  • Responsabilité en vertu de la False Claims Act pour les déclarations de conformité inexactes
  • De nouvelles évaluations sont requises après des changements ou des fusions de systèmes importants

Préparation à la conformité CMMC

Les organisations devraient :

  1. Déterminer leur niveau de conformité CMMC requis
  2. Planifiez les évaluations par des tiers à l'avance en raison de l'arriéré prévu
  3. Revoir et mettre à jour les pratiques actuelles en matière de cybersécurité
  4. Mettre en œuvre les contrôles de sécurité requis
  5. Documenter les efforts de conformité et conserver des registres appropriés

Conclusion

La conformité CMMC représente un changement crucial dans les exigences de cybersécurité du DoD. Avec une mise en œuvre obligatoire à partir de 2025, les entrepreneurs doivent agir dès maintenant pour s'assurer qu'ils répondent à toutes les exigences nécessaires et qu'ils conservent leur capacité à concourir pour les contrats du DoD.

Pour obtenir les dernières mises à jour sur les exigences de conformité CMMC et les conseils de mise en œuvre, les entrepreneurs doivent consulter régulièrement les ressources officielles du DoD et envisager de faire appel à des évaluateurs de conformité certifiés.

MyWorkDrive peut être intégré dans une configuration entièrement conforme à la CMMC. De par sa conception, MyWorkDrive ne stocke pas les données client sous quelque forme que ce soit. MyWorkDrive est simplement une passerelle permettant d'organiser et d'accéder aux partages de fichiers où qu'ils se trouvent. Par conséquent, la conformité à la CMMC repose sur le cadre de sécurité de l'utilisateur final.

FAQ

Quelle est la différence entre les versions 1 et 2 de CMMC ?

La version 1 de la CMMC comportait cinq niveaux avec de nombreux contrôles détaillés, nécessitant des évaluations par des tiers à chaque niveau. La version 2 de la CMMC simplifie cela en réduisant les niveaux à trois, en s'alignant sur les normes NIST et en se concentrant sur les auto-évaluations pour les niveaux inférieurs et les évaluations par des tiers pour les niveaux supérieurs, ce qui rend la conformité plus facile et plus accessible.

De quel niveau de conformité CMMC mon organisation a-t-elle besoin ?

Le niveau CMMC requis dépend du type d'informations que vous manipulez. Les organisations qui travaillent avec des informations sur les contrats fédéraux (FCI) ont besoin du niveau 1 (15 contrôles). Si vous manipulez des informations contrôlées non classifiées (CUI), vous aurez besoin du niveau 2 (110 contrôles). Les organisations qui traitent les informations non classifiées les plus sensibles ont besoin du niveau 3, qui ajoute 24 contrôles de sécurité améliorés de la norme NIST SP 800-172.

Quand les sous-traitants de la défense doivent-ils obtenir la certification CMMC ?

La conformité CMMC devient obligatoire pour tous les sous-traitants du DoD en 2025. Les certifications par des tiers débuteront en décembre 2024, avec une période de mise en œuvre progressive de trois ans pour assurer une mise en œuvre fluide. Le DoD mettra en œuvre les modifications des règles DFARS d'ici la mi-2025, obligeant les sous-traitants à démontrer leur conformité au moment de l'attribution du contrat.

Daniel, fondateur de MyWorkDrive.com, a occupé divers postes de gestion de la technologie au service des entreprises, du gouvernement et de l'éducation dans la région de la baie de San Francisco depuis 1992. Daniel est certifié en technologies Microsoft et écrit sur les technologies de l'information, la sécurité et la stratégie et a été récompensé aux États-Unis Brevet #9985930 en réseau d'accès à distance