Skip to main content
Certification du modèle de maturité de la cybersécurité

Certification du modèle de maturité de la cybersécurité

- 26 décembre 2023
Nouvelles de l'écosystèmeAperçu de la sécurité des courriels

MISES À JOUR:

26 décembre 2023 : Le Département de la Défense a publié pour commentaires une proposition de règle pour le programme Cybersecurity Maturity Model Certification (CMMC) 2.0.

7 décembre 2022 : DMARC et d'autres spécifications supprimées du CMMC 1.0 ont été envoyées au NIST pour être incluses dans les futures révisions du NIST SP 800-171, sur lequel le CMMC est basé.

Pour des mises à jour plus récentes, vous pouvez consulter la page Web du Chief Information Officer du ministère de la Défense.

Le texte suivant a été publié le 20 septembre 2021.

La certification du modèle de maturité de la cybersécurité (CMMC) est un cadre de cybersécurité élaboré par le ministère de la défense (DoD) pour protéger les entrepreneurs de la défense contre les cybermenaces. Le CMMC mesure la maturité de la cybersécurité à l'aide de cinq niveaux comprenant des contrôles de sécurité, des pratiques et une amélioration continue afin d'empêcher le vol de propriété intellectuelle, d'informations exclusives et d'informations d'identification qui menacent la sécurité économique et nationale.

Lorsqu'une organisation s'efforce d'atteindre un niveau CMMC particulier, elle doit également satisfaire aux niveaux inférieurs précédents. Et comme la plupart des violations de données et des exploitations de réseaux commencent par des courriels de phishing, les protections contre la falsification des courriels sont incluses dans le modèle CMMC à partir du niveau 3.

Selon le DoD, "le CMMC examinera et combinera diverses normes et meilleures pratiques en matière de cybersécurité et fera correspondre ces contrôles et processus à plusieurs niveaux de maturité qui vont de la cyberhygiène de base à l'avancée. Pour un niveau CMMC donné, les contrôles et processus associés, une fois mis en œuvre, réduiront le risque contre un ensemble spécifique de cybermenaces." Le CMMC s'appuie fortement sur la norme DFARS 252.204-7012, qui exige des contractants fédéraux qu'ils adhèrent aux pratiques de sécurité de base définies dans la norme NIST SP 800-171.

Bien qu'il existe actuellement des obstacles en matière de ressources pour de nombreuses petites et moyennes entreprises en ce qui concerne l'obtention de la certification CMMC, l'objectif du DoD est que cette certification soit "rentable et abordable pour les petites entreprises à mettre en œuvre aux niveaux inférieurs de la CMMC". Contrairement à la disposition actuelle du DFARS, qui est ancrée dans l'autodéclaration basée sur l'honneur, la CMMC exige que des organismes d'évaluation tiers accrédités effectuent des évaluations sur place et délivrent des certificats CMMC aux entreprises.

Dans un article de FCW, Matt Travis, PDG de l'organisme d'accréditation de certification du modèle de maturité de la cybersécurité (CMMC AB), a indiqué que "la formation et l'accès informatique à l'Enterprise Mission Assurance Support Service (eMASS) du ministère de la Défense, qui hébergera les données CMMC, doivent encore être finalisés pour les organisations tierces qui seront chargées de réaliser les cyber-évaluations". Il existe actuellement quatre C3PAO approuvées pour les évaluations CMMC, mais elles n'ont pas encore accès à l'eMASS. En outre, le programme CMMC est en cours d'examen par le DoD avant sa publication officielle. Il y a plusieurs parties mobiles, mais l'AB CMMC est confiant que le modèle est dans les étapes finales de révision.Actuellement, DMARC, SPF et DKIM entrent en jeu au niveau 3 du CMMC. Le texte qui suit est extrait du document CMMC Appendices :

SI.3.219 : Implémenter des protections contre la falsification des e-mails

DISCUSSION DE LA SOURCE : CMMC

La protection de votre environnement contre les courriels nuisibles est l'un des meilleurs moyens de réduire le risque de pénétration de virus et de logiciels malveillants dans votre réseau. Les attaques par courrier électronique sont l'un des principaux vecteurs d'attaque utilisés aujourd'hui par les acteurs de la menace en raison de leur simplicité et de leur efficacité à contourner les défenses périmétriques d'une organisation. La mise en œuvre de protections avancées des e-mails peut contribuer à empêcher ces menaces de pénétrer les défenses de l'entreprise et d'atterrir dans la boîte de réception des utilisateurs finaux.

CLARIFICATION DU CMMC

Mettre en place des protections du courrier électronique en plus des protections de base contre le spam. Parmi les protections avancées possibles, citons Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting & Conformance (DMARC). SPF utilise le DNS pour indiquer quels serveurs sont autorisés à envoyer du courrier électronique pour un domaine donné. DKIM utilise la cryptographie asymétrique pour vérifier l'authenticité d'un message électronique et fournir au destinataire l'assurance de la légitimité du message. DMARC permet aux organisations de déployer une combinaison de DKIM et de SPF pour améliorer encore leur infrastructure de courrier électronique en ajoutant un lien avec le nom de domaine de l'auteur ("From :"), des politiques publiées pour le traitement par le destinataire des échecs d'authentification et des rapports des destinataires aux expéditeurs, afin d'améliorer et de surveiller la protection du domaine contre le courrier électronique frauduleux.

Exemple
En tant qu'administrateur de messagerie de votre organisation, vous souhaitez ajouter des protections supplémentaires pour vous assurer que vous bloquez le plus grand nombre possible d'e-mails indésirables et nuisibles. Vous configurez une politique DMARC qui active à la fois SPF et DKIM sur votre domaine. Vous configurez une entrée de texte SPF dans votre configuration DNS afin d'autoriser explicitement les serveurs qui peuvent envoyer des e-mails et de garantir que les e-mails sortants pertinents sont signés à l'aide de DKIM.

Le plus grand risque de cybersécurité pour la plupart des organisations est lié à leurs employés, qui cliquent sur des liens de messagerie non sécurisés et téléchargent des pièces jointes perfides, fournissant ainsi par inadvertance des informations sensibles à des acteurs malveillants. Malheureusement, les pratiques du niveau 1 du CMMC ne traitent pas adéquatement ces risques. Le moyen le plus efficace pour une organisation qui fait affaire avec le gouvernement de protéger la sécurité nationale, et de se protéger elle-même, est de consacrer son temps et son argent aux normes industrielles qui réduisent les cyberrisques.

Plusieurs sections du cadre du CMMC contiennent des contrôles qui réduisent le risque lié aux " personnes ". Je recommande aux organisations d'envisager de mettre en œuvre toutes les pratiques relatives aux risques liés aux " personnes " dans les niveaux 1, 2 et 3 du CMMC, même si elles ne sont tenues de se conformer qu'aux pratiques du niveau 1 du CMMC.

Laura Rodgers, spécialiste de la conformité en matière de cybersécurité au North Carolina Military Business Center.

La conformité au CMMC n'équivaut pas à une protection à 100 % contre les cybermenaces. Le modèle, qui commence au niveau 3, a donc été conçu pour intégrer la résilience dans le programme de cybersécurité d'une entreprise. Il aide une organisation à se remettre d'une attaque aussi rapidement et efficacement que possible et favorise la continuité des activités.

DMARC continuant à se développer en tant que contrôle recommandé et, dans certains cas, obligatoire, faites-nous savoir si vous avez besoin d'aide pour protéger vos domaines contre les abus.

Vous pouvez vous inscrire pour un essai gratuit et notre équipe d'assistance vous aidera à sécuriser vos domaines de messagerie.

Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.

conformitécybersécuritéDMARCAvantages de DMARC

Postes connexes