La certification du modèle de maturité de la cybersécurité (CMMC) est désormais en vigueur
MISES À JOUR:
10 novembre 2025 : aujourd'hui marque la date d'entrée en vigueur de la règle finale relative à la certification du modèle de maturité en matière de cybersécurité (CMMC) du ministère de la Défense (DoD). Les sous-traitants du secteur de la défense doivent se conformer aux normes spécifiques de cybersécurité contenues dans la CMMC pour traiter les informations sensibles non classifiées.
Dans leurs recommandations aux prestataires du ministère américain de la Défense, les auditeurs préconisent l'utilisation du protocole DMARC pour répondre aux normes de sécurité des e-mails et prévenir l'usurpation de domaine et le phishing, une exigence des niveaux 2 et 3 du CMMC visant à protéger les informations non classifiées contrôlées (CUI) et autres données sensibles. Le protocole DMARC et ses mesures d'authentification SPF et DKIM constituent la base permettant de vérifier la légitimité des expéditeurs d'e-mails et de se conformer aux exigences du CMMC.
Notre amie Laura Rodgers, directrice de la pratique de la cybersécurité au Secure Computing Institute de NC State et directrice de NC-PaCE, dirige un cours qui aide les organisations basées en Caroline du Nord à se conformer à la CMMC.
Elle rappelle aux contractants actuels et futurs du ministère de la défense les points suivants :
- Le DoD peut commencer à intégrer le CMMC dans les contrats à partir d'aujourd'hui. Vous pouvez soumissionner pour des contrats sans être en conformité, mais vous ne recevrez pas la bourse si vous n'êtes pas en règle. Ce que signifie la conformité (pour l'attribution du contrat) :
- CMMC Niveau 1: vous avez effectué une auto-évaluation par rapport aux objectifs d'évaluation du NIST SP 800-181 r2 qui correspondent aux contrôles du FAR 52.204-21. Il n'y a pas de note au niveau CMMC 1 et les POAM (plans d'action et jalons) ne sont pas autorisés. Si les 15 contrôles ne sont pas correctement mis en œuvre, vous ne recevrez pas le contrat. Toutes les informations doivent figurer dans le SPRS, y compris l'affirmation que votre entreprise est conforme et le restera pendant toute la durée du contrat (des affirmations annuelles sont requises).
- Niveau 2 CMMC: vous avez réalisé une auto-évaluation des 320 objectifs d'évaluation du NIST SP 800-171 r2 à l'aide de la méthodologie d'évaluation du DoD, vous avez saisi votre score dans le SPRS et vous n'avez aucun POAM en suspens (ce qui signifie que vous avez obtenu un score parfait de 110). Une confirmation de conformité continue est requise.
- CMMC Niveau 1: vous avez effectué une auto-évaluation par rapport aux objectifs d'évaluation du NIST SP 800-181 r2 qui correspondent aux contrôles du FAR 52.204-21. Il n'y a pas de note au niveau CMMC 1 et les POAM (plans d'action et jalons) ne sont pas autorisés. Si les 15 contrôles ne sont pas correctement mis en œuvre, vous ne recevrez pas le contrat. Toutes les informations doivent figurer dans le SPRS, y compris l'affirmation que votre entreprise est conforme et le restera pendant toute la durée du contrat (des affirmations annuelles sont requises).
- Si vous avez soumis un score au SPRS, vous disposez de 180 jours (ou moins si le contrat est attribué dans moins de 180 jours) pour clôturer les POAM en suspens (CMMC niveau 2). N'oubliez pas de mettre à jour votre score dans le SPRS.
- La phase I est conçue pour inclure l'exigence d'une auto-évaluation ; toutefois, le ministère de la défense se réserve le droit d'inclure également une évaluation par une tierce partie.
- Les maîtres d'œuvre ne sont pas liés par les exigences de la phase I - ils peuvent ajouter des exigences d'évaluation par des tiers à tout moment.
Vous trouverez d'autres ressources ici : https://dodcio.defense.gov/cmmc/Resources-Documentation/
30 octobre 2024: La règle du programme Cybersecurity Maturity Model Certification (CMMC)
entrera en vigueur le 16 décembre 2024.
Avec cette règle finale, le ministère de la défense met en place le programme de certification du modèle de maturité de la cybersécurité
(CMMC) afin de
vérifier que les contractants ont mis en œuvre les mesures de sécurité
nécessaires pour protéger les informations contractuelles fédérales
(FCI) et les informations non classifiées contrôlées
(CUI).Les mécanismes décrits dans cette règle permettront au département
Registre fédéral
de confirmer qu'un entrepreneur de défense ou
sous-traitant a mis en œuvre les exigences de sécurité
pour un niveau CMMC spécifié et qu'il maintient ce statut
(niveau de signification et type d'évaluation) tout au long de la période d'exécution du contrat
. Cette règle sera mise à jour si nécessaire,
en utilisant le processus de réglementation approprié, pour tenir compte
de l'évolution des normes de cybersécurité, des exigences, des menaces,
et d'autres changements pertinents.
Laura Rodgers, directrice de la pratique en matière de cybersécurité au sein du Secure Computing Institute de l'État de New York et directrice de NC-PaCE, apporte des précisions supplémentaires :
- Le DoD peut inclure des exigences CMMC dans les contrats attribués avant l'entrée en vigueur de la règle d'acquisition 48 CFR part 204 CMMC, mais cela nécessitera une modification bilatérale du contrat après négociations.
- Le ministère de la défense estime que 8 350 moyennes et grandes entités devront satisfaire aux exigences d'évaluation de niveau 2 de l'organisation d'évaluation tierce du CMMC (C3PAO) en tant que condition d'attribution du contrat.
- Le ministère de la défense estime que 135 évaluations de certification de la CMMC menées par le C3PAO seront réalisées la première année, 673 évaluations de certification du C3PAO la deuxième année, 2 252 évaluations de certification du C3PAO la troisième année et 4 452 évaluations de certification du C3PAO la quatrième année.
- Les appels d'offres et les contrats de défense qui en découlent impliquant le traitement, le stockage ou la transmission de FCI ou de CUI sur un système non fédéral comporteront, sauf dérogation, une exigence de niveau CMMC et de type d'évaluation à laquelle le contractant doit satisfaire pour pouvoir prétendre à l'attribution d'un contrat.
- Un responsable de l'acquisition des services du DoD ou un responsable de l'acquisition des composants peut choisir de renoncer à l'inclusion des exigences du programme CMMC dans un appel d'offres ou un contrat.
- Le ministère de la défense encourage les contractants principaux à travailler avec les sous-traitants pour alléger la charge que représente la transmission des CUI.
- Les gestionnaires de programme des départements ou les activités qui en ont besoin déterminent le niveau et le type d'évaluation du CMMC qui s'appliquent à un contrat ou à un marché.
- Le DoD a publié des orientations à l'intention de ses gestionnaires de programmes concernant les indicateurs programmatiques à prendre en compte lors de la sélection des exigences de la CMMC.
- Le DoD a mis à jour la règle afin d'ajouter six mois supplémentaires au calendrier de la phase 1. La phase 2 débutera une année civile après le début de la phase 1.
- L'évaluation doit être réalisée tous les ans pour le niveau 1 du CMMC et tous les trois ans pour les niveaux 2 et 3 du CMMC, ou lorsque des changements dans le champ d'évaluation du CMMC rendent l'évaluation caduque (par exemple, une modification du champ d'application).
Le 11 octobre 2024: La règle du programme CMMC sera publiée dans le registre fédéral le 15 octobre 2024. Elle entrera en vigueur 60 jours après sa publication.
26 décembre 2023: Le Département de la Défense a publié pour commentaires une règle proposée pour le programme Cybersecurity Maturity Model Certification (CMMC) 2.0.
7 décembre 2022 : DMARC et d'autres bonnes pratiques ont été retirées de la norme CMMC 1.0 et transmises au NIST afin d'être incluses dans les futures révisions de la norme NIST SP 800-171, sur laquelle repose désormais la norme CMMC. DMARC, SPF et DKIM continuent de fournir la solution nécessaire à la protection des e-mails dans le cadre de la norme CMMC.
Pour d'autres mises à jour, vous pouvez consulter la page web du Chief Information Officer du ministère de la défense.
Ce qui suit a été publié le 20 septembre 2021.
Le CMMC est un cadre de cybersécurité élaboré par le ministère de la défense pour protéger les entreprises du secteur de la défense contre les cybermenaces. Le CMMC mesure la maturité en matière de cybersécurité à l'aide de cinq niveaux comprenant des contrôles de sécurité, des pratiques et une amélioration continue afin de mettre un terme au vol de la propriété intellectuelle, des informations exclusives et des informations d'identification qui menacent la sécurité économique et nationale.
Le CMMC examinera et combinera diverses normes et meilleures pratiques en matière de cybersécurité et répartira ces contrôles et processus sur plusieurs niveaux de maturité allant de la cyberhygiène de base à la cyberhygiène avancée. Pour un niveau donné du CMMC, les contrôles et processus associés, une fois mis en œuvre, réduiront les risques face à un ensemble spécifique de cybermenaces. Le CMMC est fortement basé sur le DFARS 252.204-7012, qui exige des entrepreneurs fédéraux qu'ils adhèrent aux pratiques de sécurité de base définies dans le NIST SP 800-171.
Bien qu'il existe actuellement des obstacles en termes de ressources pour de nombreuses petites et moyennes entreprises concernant l'obtention de la certification CMMC, l'objectif du DoD est qu'elle soit « rentable et abordable pour les petites entreprises à mettre en œuvre aux niveaux CMMC inférieurs ». Contrairement à la disposition DFARS actuelle, qui repose sur l'auto-déclaration basée sur l'honneur, CMMC exige que des organismes d'évaluation tiers accrédités effectuent des évaluations sur site et délivrent des certificats CMMC aux entreprises.
DMARC, SPF et DKIM entrent en jeu au niveau 3 du CMMC. Le texte suivant est extrait du document du CMMC :
SI.3.219 : Mettre en œuvre des protections contre la falsification d'e-mails
DISCUSSION DE LA SOURCE : CMMC
Protéger votre environnement contre les e-mails malveillants est l'un des meilleurs moyens de réduire le risque d'entrée de virus et de logiciels malveillants dans votre réseau. Les attaques par e-mail sont l'un des principaux vecteurs d'attaque utilisés par les acteurs malveillants aujourd'hui en raison de leur simplicité et de leur efficacité pour contourner les défenses périmétriques d'une organisation. La mise en œuvre de protections avancées des e-mails peut aider à atténuer ces menaces basées sur les e-mails, les empêchant de pénétrer les défenses d'une organisation et d'atterrir dans la boîte de réception des utilisateurs finaux.
CLARIFICATION CMMC
Mettre en œuvre des protections d'e-mails en plus des protections anti-spam de base. Certaines protections avancées potentielles des e-mails incluent le Sender Policy Framework (SPF), le DomainKeys Identified Mail (DKIM) et le Domain-based Message Authentication, Reporting & Conformance (DMARC). SPF utilise le DNS pour indiquer quels serveurs sont autorisés à envoyer des e-mails pour un domaine donné. DKIM utilise la cryptographie asymétrique pour vérifier l'authenticité d'un message e-mail et garantir la légitimité de l'e-mail au destinataire. DMARC permet aux organisations de déployer une combinaison de DKIM et SPF pour améliorer davantage leur infrastructure de messagerie électronique en ajoutant un lien vers le nom de domaine de l'auteur (« From : »), des politiques publiées pour la gestion des échecs d'authentification par le destinataire, et des rapports des récepteurs aux expéditeurs, afin d'améliorer et de surveiller la protection du domaine contre les e-mails frauduleux.
Exemple
En tant qu'administrateur de messagerie de votre organisation, vous souhaitez ajouter des protections supplémentaires pour bloquer autant d'e-mails indésirables et malveillants que possible. Vous configurez une politique DMARC qui active à la fois SPF et DKIM sur votre domaine. Vous configurez une entrée texte SPF dans votre configuration DNS afin d'autoriser explicitement les serveurs qui peuvent envoyer des e-mails, tout en vous assurant que les e-mails sortants pertinents sont signés à l'aide de DKIM.
Le plus grand risque de cybersécurité pour la plupart des organisations réside dans leurs employés – ceux qui cliquent sur des liens e-mail non sécurisés et téléchargent des pièces jointes dangereuses, fournissant ainsi par inadvertance des informations sensibles à des acteurs malveillants. Malheureusement, les pratiques du niveau 1 de CMMC ne traitent pas adéquatement ces risques. Le moyen le plus efficace pour une organisation qui fait affaire avec le gouvernement de protéger la sécurité nationale, et elle-même, est de concentrer son temps et son argent sur les normes de l'industrie qui réduisent les risques cybernétiques.
Plusieurs sections du cadre CMMC contiennent des contrôles qui réduisent le risque lié aux « personnes ». Je recommande aux organisations d'envisager de mettre en œuvre toutes les pratiques de gestion des risques liés aux « personnes » des niveaux 1, 2 et 3 de CMMC – même si elles ne sont tenues de se conformer qu'aux pratiques du niveau 1 de CMMC.
Laura Rodgers, experte en conformité cybersécurité au North Carolina Military Business Center
La conformité à CMMC n'équivaut pas à une protection à 100 % contre les cybermenaces, c'est pourquoi le modèle, à partir du niveau 3, a été conçu pour intégrer la résilience dans le programme de cybersécurité d'une entreprise. Il aide une organisation à se remettre d'une attaque aussi rapidement et efficacement que possible et assure la continuité des activités.
Alors que DMARC continue à se développer en tant que contrôle recommandé et obligatoire, faites-nous savoir si vous avez besoin d'aide pour protéger vos domaines contre les abus.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
