Les 6 questions les plus fréquentes sur la CMMC

Ce que les fabricants doivent savoir

La cybersécurité n'est pas un nouveau sujet dans le secteur manufacturier. Au moment où les équipements connectés, les logiciels innovants et les systèmes robotiques avancés ont commencé à faire leur chemin vers l'atelier, la cybersécurité faisait partie de la conversation. La cybersécurité a fait les gros titres aux côtés des articles sur l'Industrie 4.0, mais le buzz des nouvelles technologies flashy a dominé la conversation.

Les fabricants ont tendance à mettre la cybersécurité en veilleuse. Ce ne sera plus une option pour beaucoup. L'industrie manufacturière s'est régulièrement classée dans le top 5 des industries les plus vulnérables et ciblées pour les cyberattaques. Les secteurs de la santé, des services financiers et des agences gouvernementales ont tous été soumis à des normes plus élevées en matière de conformité de la sécurité et de gestion des risques. L'industrie manufacturière n'a pas encore été soumise à des normes plus élevées et donc encore plus vulnérable à la cybercriminalité.

La certification du modèle de maturité en matière de cybersécurité (CMMC) pèse sur l'industrie et vous trouverez ci-dessous les 6 questions critiques que les fabricants doivent poser.

Qu'est-ce que le CMMC ?

CMMC signifie Cybersecurity Maturity Model Certification. Cette certification adopte une approche unique pour garantir la sécurité de la propriété intellectuelle critique. Dans un premier temps, CMMC ne sera requis que pour les fabricants et les fournisseurs qui gèrent des informations non classifiées contrôlées (CUI) pour le ministère de la Défense (DoD).

La certification du modèle de maturité de la cybersécurité (CMMC) est la méthode permettant de certifier que les niveaux appropriés de processus et de protections de cybersécurité sont en place pour les quelque 300 000 entrepreneurs et sous-traitants de la chaîne d'approvisionnement du DoD. Le processus CMMC exigera désormais qu'un organisme d'évaluation tiers CMMC (C3PAO) certifie que les entreprises portent plainte et que le CUI est sécurisé.

Le CMMC comprend 5 niveaux de maturité qui vont de « Basic Cybersecurity Hygiene » à « Avancé/Progressif ». Au fur et à mesure que le niveau de maturité augmente, les règles et directives qu'une entreprise doit suivre pour devenir certifiée et rester conforme augmentent également.

Pourquoi la CMMC est-elle créée ?

Le ministère de la Défense a reconnu les cyberattaques comme une menace importante, en particulier pour les sous-traitants de petite et moyenne taille qui soutiennent les plus grands donneurs d'ordre. Les mauvais acteurs ont reconnu que les primes dépensaient plus de ressources pour prévenir les attaques et que leur chaîne d'approvisionnement était une cible plus facile. Les exigences de cybersécurité 800-171 de la publication spéciale (SP) 800-171 du National Institute of Standards and Technology (NIST) ont été développées pour protéger les informations sensibles pour les entrepreneurs travaillant avec le ministère de la Défense (DoD) afin d'adhérer au Supplément de la réglementation fédérale sur l'acquisition de la défense (DFARS) 252.204 -7012 clause. Lorsque le DoD a estimé que seul un petit pourcentage de la chaîne d'approvisionnement était conforme à ces directives, la certification du modèle de maturité de la cybersécurité (CMMC) a été créée.

Les cyberattaques sont malheureusement monnaie courante. « Avec plus de 80 % des informations de la défense nationale vivant sur les réseaux des partenaires, il ne s'agit plus d'une conversation sur ce que vous faites ou sur ce que je fais ; c'est plus important ce que nous faisons en tant que collectif pour protéger la défense nationale », a déclaré Katie Arrington, assistante spéciale du secrétaire adjoint à la Défense pour les acquisitions pour la cybernétique, et l'un des principaux partisans du CMMC.

En décembre 2018, des pirates chinois auraient volé des informations à des sous-traitants de la Marine, notamment des données de maintenance des navires et des plans de missiles. Ces actions constituent une menace directe pour la sécurité nationale. Même si un grand fournisseur du DoD comme Lockheed Martin a mis en place un programme de cybersécurité de premier plan, chaque sous-traitant et fournisseur de la chaîne d'approvisionnement du DoD doit également se protéger, sinon ils deviennent un point d'entrée pour les cybercriminels. Un seul maillon faible de la chaîne d'approvisionnement du DoD peut mettre tout le pays en danger.

Mon entreprise a-t-elle besoin du CMMC ?

Chaque entreprise doit investir dans le renforcement de sa cybersécurité. Selon l'enquête Radware, le coût estimé par cyberattaque est de 4,6 millions de dollars ¹ . 13% des participants à l'enquête ont subi une cyberattaque qui a coûté à leur entreprise 10 millions de dollars ou plus, un chiffre qui a doublé en seulement un an entre 2018 et 2019. Les experts en cybersécurité du New Jersey Manufacturing Extension Program (NJMEP) suggèrent que chaque fabricant bénéficier de l'équivalent de « Cyber ​​Hygiène intermédiaire » ou du niveau 2 du CMMC en tant que meilleure pratique. Pour les entrepreneurs du DoD, le niveau de maturité dépendra de l'endroit où se situe l'entreprise dans la chaîne d'approvisionnement du DoD.

L'identification des cinq niveaux de maturité CMMC auxquels un fournisseur, un sous-traitant ou un fabricant du DoD doit se conformer sera soit déterminée par l'entrepreneur principal du DoD, soit découverte par une analyse des écarts CMMC. Tous les fournisseurs, sous-traitants ou fabricants qui effectuent des travaux, même minimes, avec le DoD auront besoin d'un certain niveau du CMMC, mais le niveau de maturité différera en fonction des informations traitées par les entreprises et du travail effectué.

Si une entreprise de la base industrielle de défense (DIB) ne possède pas d'informations non classifiées contrôlées (CUI) mais possède des informations sur les contrats fédéraux (FCI), elle doit respecter la clause FAR 52.204-21 et doit être certifiée au minimum au niveau CMMC 1.

Quand dois-je commencer le processus de certification ?

À présent. Les fournisseurs, sous-traitants et fabricants du DoD doivent commencer le processus pour devenir CMMC dès que possible pour éviter le risque de perdre des contrats DoD critiques. Du début à la fin, le processus peut prendre jusqu'à un an. En juin 2020, CMMC a commencé à apparaître sur RFI. Les entreprises peuvent s'attendre à ce que les appels d'offres mentionnent CMMC à partir de septembre 2020 et les évaluations commenceront à l'automne 2020.

Agir maintenant et travailler avec un consultant connaissant intimement le CMMC et le cadre dont est issu le CMMC, le NIST 8001-171, sera vital. La certification commence par une évaluation pour identifier où dans le niveau de maturité CMMC une organisation réside actuellement. L'étape suivante consisterait à effectuer une analyse approfondie des lacunes, puis à passer à une correction complète. Chaque niveau de maturité CMMC prend une quantité différente de temps et d'efforts. Cependant, commencer le plus tôt possible réduira le fardeau de l'entreprise, de la direction et de la main-d'œuvre.

Que se passe-t-il si je ne suis pas certifié ?

Pour les entrepreneurs, sous-traitants, fournisseurs ou fabricants du DoD…

Atteindre le niveau CMMC nécessaire à maturité pourrait faire la différence entre sécuriser ou non ce prochain contrat DoD. Les maîtres d'œuvre du DoD commenceront à exiger de tous les sous-traitants qu'ils se conforment à ces nouvelles règles essentielles. Tout fabricant qui ne respecte pas ces directives et atteint le niveau de maturité CMMC approprié ne pourra pas continuer à mener des activités du DoD.

Pour les fabricants non-DoD…

À l'heure actuelle, les entrepreneurs du DoD sont les seuls à risquer de perdre le travail du DoD s'ils n'acquièrent pas le CMMC. Cependant, les fabricants de petite et moyenne taille courent toujours le risque d'une cyber-attaque paralysant complètement leur entreprise, parfois au point de ne jamais pouvoir se redresser financièrement. Cette certification fournit aux fabricants non-DoD une base de référence et des meilleures pratiques de cybersécurité fantastiques. En fonction des résultats d'une évaluation de la cybersécurité, une entreprise peut déterminer le niveau de maturité qui lui convient le mieux.

Qui peut répondre à toutes mes autres questions sur le CMMC ?

Acquérir le CMMC peut être un défi, surtout sans le soutien adéquat. La certification en est encore à ses balbutiements, ce qui crée un environnement difficile pour les fabricants de naviguer seuls. L'exploration de sites Web comme acq.osd.mil/cmmc/faq.html ou la collaboration avec des consultants comme NJMEP sont les meilleurs moyens de commencer et aideront à transformer un processus intimidant en une valeur ajoutée rationalisée pour toute entreprise.

Comprendre le CMMC, quelles entreprises seront impactées, quand agir et identifier le niveau de maturité nécessaire peut être intimidant. N'y allez pas seul. La cybersécurité est essentielle mais peut être complexe. Travailler avec la bonne équipe et avoir accès à la bonne information s'avérera inestimable.

Soyez prudent

Il y a eu tellement de questions autour de ce sujet et tellement de développements pendant son déploiement. Au début, de nombreuses entreprises prétendaient pouvoir aider et facturaient un montant important, même lorsque la version finale des directives n'avait même pas été décidée ou communiquée. Il existe d'innombrables entreprises vendant des solutions ou des services pour aider et il peut être difficile de déterminer à qui faire confiance. Ce n'est pas quelque chose qui peut simplement être sous-traité à un fournisseur de services gérés (MSP) prétendant connaître les exigences.

1.https://www.radware.com/newsevents/pressreleases/c-suite-2019