Certification du modèle de maturité de la cybersécurité
MISES À JOUR:
30 octobre 2024: La règle du programme Cybersecurity Maturity Model Certification (CMMC)
entrera en vigueur le 16 décembre 2024.
Avec cette règle finale, le ministère de la défense met en place le programme de certification du modèle de maturité de la cybersécurité
(CMMC) afin de
vérifier que les contractants ont mis en œuvre les mesures de sécurité
nécessaires pour protéger les informations contractuelles fédérales
(FCI) et les informations non classifiées contrôlées
(CUI).Les mécanismes décrits dans cette règle permettront au département
Registre fédéral
de confirmer qu'un entrepreneur de défense ou
sous-traitant a mis en œuvre les exigences de sécurité
pour un niveau CMMC spécifié et qu'il maintient ce statut
(niveau de signification et type d'évaluation) tout au long de la période d'exécution du contrat
. Cette règle sera mise à jour si nécessaire,
en utilisant le processus de réglementation approprié, pour tenir compte
de l'évolution des normes de cybersécurité, des exigences, des menaces,
et d'autres changements pertinents.
Laura Rodgers, directrice de la pratique en matière de cybersécurité au Secure Computing Institute et directrice de NC-PaCE à NC State, apporte des informations complémentaires :
- Le DoD peut inclure des exigences CMMC dans les contrats attribués avant l'entrée en vigueur de la règle d'acquisition 48 CFR part 204 CMMC, mais cela nécessitera une modification bilatérale du contrat après négociations.
- Le ministère de la défense estime que 8 350 moyennes et grandes entités devront satisfaire aux exigences d'évaluation de niveau 2 de l'organisation d'évaluation tierce du CMMC (C3PAO) en tant que condition d'attribution du contrat.
- Le ministère de la défense estime que 135 évaluations de certification de la CMMC menées par le C3PAO seront réalisées la première année, 673 évaluations de certification du C3PAO la deuxième année, 2 252 évaluations de certification du C3PAO la troisième année et 4 452 évaluations de certification du C3PAO la quatrième année.
- Les appels d'offres et les contrats de défense qui en découlent impliquant le traitement, le stockage ou la transmission de FCI ou de CUI sur un système non fédéral comporteront, sauf dérogation, une exigence de niveau CMMC et de type d'évaluation à laquelle le contractant doit satisfaire pour pouvoir prétendre à l'attribution d'un contrat.
- Un responsable de l'acquisition des services du DoD ou un responsable de l'acquisition des composants peut choisir de renoncer à l'inclusion des exigences du programme CMMC dans un appel d'offres ou un contrat.
- Le ministère de la défense encourage les contractants principaux à travailler avec les sous-traitants pour alléger la charge que représente la transmission des CUI.
- Les gestionnaires de programme des départements ou les activités qui en ont besoin déterminent le niveau et le type d'évaluation du CMMC qui s'appliquent à un contrat ou à un marché.
- Le DoD a publié des orientations à l'intention de ses gestionnaires de programmes concernant les indicateurs programmatiques à prendre en compte lors de la sélection des exigences de la CMMC.
- Le DoD a mis à jour la règle afin d'ajouter six mois supplémentaires au calendrier de la phase 1. La phase 2 débutera une année civile après le début de la phase 1.
- L'évaluation doit être réalisée tous les ans pour le niveau 1 du CMMC et tous les trois ans pour les niveaux 2 et 3 du CMMC, ou lorsque des changements dans le champ d'évaluation du CMMC rendent l'évaluation caduque (par exemple, une modification du champ d'application).
Le 11 octobre 2024: La règle du programme CMMC sera publiée dans le registre fédéral le 15 octobre 2024. Elle entrera en vigueur 60 jours après sa publication.
26 décembre 2023: Le Département de la Défense a publié pour commentaires une règle proposée pour le programme Cybersecurity Maturity Model Certification (CMMC) 2.0.
7 décembre 2022: DMARC et d'autres spécifications supprimées du CMMC 1.0 ont été envoyées au NIST pour être incluses dans les futures révisions du NIST SP 800-171, sur lequel le CMMC est basé.
Pour des mises à jour plus récentes, vous pouvez consulter la page Web du Chief Information Officer du ministère de la Défense.
Le texte suivant a été publié le 20 septembre 2021.
La certification du modèle de maturité de la cybersécurité (CMMC) est un cadre de cybersécurité élaboré par le ministère de la défense (DoD) pour protéger les entrepreneurs de la défense contre les cybermenaces. Le CMMC mesure la maturité de la cybersécurité à l'aide de cinq niveaux comprenant des contrôles de sécurité, des pratiques et une amélioration continue afin d'empêcher le vol de propriété intellectuelle, d'informations exclusives et d'informations d'identification qui menacent la sécurité économique et nationale.
Lorsqu'une organisation s'efforce d'atteindre un niveau CMMC particulier, elle doit également satisfaire aux niveaux inférieurs précédents. Et comme la plupart des violations de données et des exploitations de réseaux commencent par des courriels de phishing, les protections contre la falsification des courriels sont incluses dans le modèle CMMC à partir du niveau 3.
Selon le DoD, "le CMMC examinera et combinera diverses normes et meilleures pratiques en matière de cybersécurité et fera correspondre ces contrôles et processus à plusieurs niveaux de maturité qui vont de la cyberhygiène de base à l'avancée. Pour un niveau CMMC donné, les contrôles et processus associés, une fois mis en œuvre, réduiront le risque contre un ensemble spécifique de cybermenaces." Le CMMC s'appuie fortement sur la norme DFARS 252.204-7012, qui exige des contractants fédéraux qu'ils adhèrent aux pratiques de sécurité de base définies dans la norme NIST SP 800-171.
Bien qu'il existe actuellement des obstacles en matière de ressources pour de nombreuses petites et moyennes entreprises en ce qui concerne l'obtention de la certification CMMC, l'objectif du DoD est que cette certification soit "rentable et abordable pour les petites entreprises à mettre en œuvre aux niveaux inférieurs de la CMMC". Contrairement à la disposition actuelle du DFARS, qui est ancrée dans l'autodéclaration basée sur l'honneur, la CMMC exige que des organismes d'évaluation tiers accrédités effectuent des évaluations sur place et délivrent des certificats CMMC aux entreprises.
Dans un article de FCW, Matt Travis, PDG de l'organisme d'accréditation de certification du modèle de maturité de la cybersécurité (CMMC AB), a indiqué que "la formation et l'accès informatique à l'Enterprise Mission Assurance Support Service (eMASS) du ministère de la Défense, qui hébergera les données CMMC, doivent encore être finalisés pour les organisations tierces qui seront chargées de réaliser les cyber-évaluations". Il existe actuellement quatre C3PAO approuvées pour les évaluations CMMC, mais elles n'ont pas encore accès à l'eMASS. En outre, le programme CMMC est en cours d'examen par le DoD avant sa publication officielle. Il y a plusieurs parties mobiles, mais l'AB CMMC est confiant que le modèle est dans les étapes finales de révision.Actuellement, DMARC, SPF et DKIM entrent en jeu au niveau 3 du CMMC. Le texte qui suit est extrait du document CMMC Appendices :
SI.3.219 : Implémenter des protections contre la falsification des e-mails
DISCUSSION DE LA SOURCE : CMMC
La protection de votre environnement contre les courriels nuisibles est l'un des meilleurs moyens de réduire le risque de pénétration de virus et de logiciels malveillants dans votre réseau. Les attaques par courrier électronique sont l'un des principaux vecteurs d'attaque utilisés aujourd'hui par les acteurs de la menace en raison de leur simplicité et de leur efficacité à contourner les défenses périmétriques d'une organisation. La mise en œuvre de protections avancées des e-mails peut contribuer à empêcher ces menaces de pénétrer les défenses de l'entreprise et d'atterrir dans la boîte de réception des utilisateurs finaux.
CLARIFICATION DU CMMC
Mettre en place des protections du courrier électronique en plus des protections de base contre le spam. Parmi les protections avancées possibles, citons Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting & Conformance (DMARC). SPF utilise le DNS pour indiquer quels serveurs sont autorisés à envoyer du courrier électronique pour un domaine donné. DKIM utilise la cryptographie asymétrique pour vérifier l'authenticité d'un message électronique et fournir au destinataire l'assurance de la légitimité du message. DMARC permet aux organisations de déployer une combinaison de DKIM et de SPF pour améliorer encore leur infrastructure de courrier électronique en ajoutant un lien avec le nom de domaine de l'auteur ("From :"), des politiques publiées pour le traitement par le destinataire des échecs d'authentification et des rapports des destinataires aux expéditeurs, afin d'améliorer et de surveiller la protection du domaine contre le courrier électronique frauduleux.
Exemple
En tant qu'administrateur de messagerie de votre organisation, vous souhaitez ajouter des protections supplémentaires pour vous assurer que vous bloquez le plus grand nombre possible d'e-mails indésirables et nuisibles. Vous configurez une politique DMARC qui active à la fois SPF et DKIM sur votre domaine. Vous configurez une entrée de texte SPF dans votre configuration DNS afin d'autoriser explicitement les serveurs qui peuvent envoyer des e-mails et de garantir que les e-mails sortants pertinents sont signés à l'aide de DKIM.
Le plus grand risque de cybersécurité pour la plupart des organisations est lié à leurs employés, qui cliquent sur des liens de messagerie non sécurisés et téléchargent des pièces jointes perfides, fournissant ainsi par inadvertance des informations sensibles à des acteurs malveillants. Malheureusement, les pratiques du niveau 1 du CMMC ne traitent pas adéquatement ces risques. Le moyen le plus efficace pour une organisation qui fait affaire avec le gouvernement de protéger la sécurité nationale, et de se protéger elle-même, est de consacrer son temps et son argent aux normes industrielles qui réduisent les cyberrisques.
Plusieurs sections du cadre du CMMC contiennent des contrôles qui réduisent le risque lié aux " personnes ". Je recommande aux organisations d'envisager de mettre en œuvre toutes les pratiques relatives aux risques liés aux " personnes " dans les niveaux 1, 2 et 3 du CMMC, même si elles ne sont tenues de se conformer qu'aux pratiques du niveau 1 du CMMC.
Laura Rodgers, spécialiste de la conformité en matière de cybersécurité au North Carolina Military Business Center.
La conformité au CMMC n'équivaut pas à une protection à 100 % contre les cybermenaces. Le modèle, qui commence au niveau 3, a donc été conçu pour intégrer la résilience dans le programme de cybersécurité d'une entreprise. Il aide une organisation à se remettre d'une attaque aussi rapidement et efficacement que possible et favorise la continuité des activités.
DMARC continuant à se développer en tant que contrôle recommandé et, dans certains cas, obligatoire, faites-nous savoir si vous avez besoin d'aide pour protéger vos domaines contre les abus.
Vous pouvez vous inscrire pour un essai gratuit et notre équipe d'assistance vous aidera à sécuriser vos domaines de messagerie.
Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.