Ce que vous devez savoir sur la certification CMMC

Alors que la certification du modèle de maturité en matière de cybersécurité (CMMC) approche de sa mise en œuvre complète, les organisations concernées se dépêchent de s'assurer qu'elles passeront le processus de certification.

L'objectif est simple :les organisations doivent respecter des normes minimales de cybersécurité et, ce faisant, elles contribuent à améliorer la sécurité nationale. Les enjeux sont extraordinairement élevés pour les quelque 300 000 organisations de la base industrielle de défense (DIB) qui devront bientôt être certifiées à l'un des cinq niveaux CMMC pour être éligibles à l'attribution d'un contrat fédéral. En termes simples :pas de certification, pas de contrat. Du point de vue du gouvernement américain et du ministère de la Défense, les enjeux ont toujours été élevés depuis que le DIB joue un rôle si critique dans la défense de notre nation. Le seul moyen d'assurer la protection de nos données et l'intégrité de la chaîne d'approvisionnement est de maintenir l'industrie à un niveau plus élevé.

Comment en sommes-nous arrivés là ?

L'activité antagoniste des acteurs étatiques et non étatiques continue d'augmenter, et les coûts économiques sont stupéfiants – 5 000 milliards de dollars dans le monde – selon certaines estimations. D'autres estimations montrent que le coût pour l'économie américaine se situait entre 57 et 109 milliards de dollars en 2016. Cependant, le besoin de CMMC n'est pas seulement une question d'intérêts économiques, il s'agit de nous défendre collectivement. Les entreprises, grandes et petites, contribuent au succès du combattant américain et elles seront toutes tenues au même niveau de responsabilité avec CMMC.

Dans l'espace fédéral, il suffit d'un coup d'œil rapide sur un certain avion de chasse pour faire le lien entre l'importance de sécuriser les organisations qui, en fin de compte, sécurisent et défendent notre pays. Dans l'espace commercial, la violation de Target a montré comment les partenaires commerciaux peuvent être le maillon faible qui facilite finalement une attaque. En responsabilisant davantage le DIB, nous aidons non seulement à répondre à une nouvelle exigence commerciale, mais nous répondrons également à un impératif stratégique pour être plus résistant aux attaques. Les temps ont changé et la façon dont nous menons nos affaires aussi. Qu'on le veuille ou non, nous manœuvrons sur le champ de bataille moderne où des mots comme "guerre", "espionnage" et "crime" sont précédés de "cyber", ce qui signifie que les entités privées et publiques doivent être préparées avec une réponse moderne.

Qu'est-ce que CMMC ?

Le CMMC dispose de cinq niveaux de contrôles techniques et procéduraux qui visent à protéger les informations non classifiées contrôlées (CUI) et les informations sur les contrats fédéraux (FCI) pour les sous-traitants du DoD. Pour atteindre le niveau CMMC 5, les organisations devront passer par la mise en œuvre et l'évaluation de 171 contrôles techniques et procéduraux. La plupart des professionnels de la cybersécurité dans l'espace fédéral constateront que la plupart des contrôles CMMC sont familiers. En fait, pour atteindre le niveau CMMC 3, presque tous les contrôles se trouvent dans le NIST SP 800-171. Les organisations qui auront bientôt besoin d'une certification en vertu du CMMC ont déjà été mandatées pour respecter les contrôles décrits dans le NIST SP 800-171 depuis 2016. La principale différence est que les organisations ne peuvent plus s'auto-certifier et soumettre un plan d'action et des jalons pour remédier aux lacunes. . Les organisations souhaitant obtenir une certification doivent être formellement évaluées par un organisme tiers d'évaluation CMMC ou un évaluateur certifié par l'organisme d'accréditation CMMC, une organisation à but non lucratif chargée de certifier l'état de préparation des évaluateurs. Bien qu'aucune date n'ait été donnée pour le début des évaluations, la formation a récemment commencé pour le premier groupe d'évaluateurs du CMMC.

Que faire maintenant ?

La préparation du CMMC est un exercice de mise en œuvre des principes fondamentaux de la cybersécurité et de l'amélioration continue pour atteindre une plus grande résilience. Les niveaux CMMC sont cumulatifs et échelonnés de sorte qu'un niveau s'accumule au suivant, donc pour atteindre le niveau 4, vous devez être entièrement conforme au niveau 3. Chaque niveau est corrélé au niveau de sophistication de vos pratiques de sécurité en commençant par l'hygiène de base et l'élévation à des mesures plus avancées et proactives comme la chasse aux menaces au niveau 5. Avec 171 contrôles de complexité croissante, vous demandez par où commencer ?

• Renseignez-vous : Comprendre les contrôles techniques et les politiques décrites par le CMMC.
  • Voici la version 1 de CMMC.
  • Voici la FAQ du CMMC.
• Déterminez le niveau qui vous convient : Les organisations devront décider du niveau de certification qu'elles recherchent. Les organisations qui stockent uniquement le FCI peuvent avoir un contenu atteignant le niveau CMMC 1 et les organisations qui stockent et gèrent les CUI ou qui contribuent à des efforts plus sensibles voudront probablement être certifiées au niveau CMMC 3 ou supérieur. Le DoD listera l'exigence de niveau CMMC sur la demande de propositions.
• Connais-toi toi-même : Comprenez et documentez votre environnement depuis votre réseau interne jusqu'à vos partenaires commerciaux. On dit souvent que « vous ne pouvez pas défendre ce que vous ne connaissez pas », et c'est vrai. Vous devez comprendre votre segmentation, vos systèmes et votre surface d'attaque avant de pouvoir espérer la défendre.
• Auto-évaluation : Déterminez comment vous vous situez par rapport aux contrôles pour le niveau de certification recherché par votre organisation. Identifiez les contrôles qui ne sont pas actuellement respectés, planifiez comment résoudre les problèmes et réévaluez. Pour une flexibilité future, identifiez ce qu'il faudrait pour que votre organisation atteigne le niveau suivant.
• Acheter : Nous sommes aussi forts que notre maillon le plus faible; comprendre que CMMC est conçu pour aider à atténuer les risques de faire des affaires dans le secteur de la défense. Certains contrôles seront simples ou sont déjà effectués, et d'autres peuvent nécessiter le soutien de diverses parties de votre organisation. Vous pourriez avoir besoin d'approbations, d'un budget accru ou d'un parrainage exécutif. Certains contrôles peuvent s'avérer lourds d'un point de vue technique. L'ensemble de l'organisation devra adhérer, être pragmatique et faire sa part pour soutenir et protéger la mission.
• Soyez flexible : CMMC est nouveau et il crée des ponts entre les grandes entités complexes avec le DoD et le DIB. Ce sont des organisations énormes, il y a encore des inconnues avec CMMC, et ce qui était connu il y a un mois peut changer. Soyez donc flexible, patient et sachez que nous devons tous faire mieux pour protéger ce qui nous tient à cœur.

Que vous ayez besoin d'être certifié CMMC niveau 1 ou 5, ou peut-être que votre organisation ne fait même pas affaire avec le DoD, les normes établies par CMMC sont une feuille de route pour toute organisation pour mûrir sa posture de cybersécurité. Quel que soit votre point de départ, la mise en conformité CMMC constituera un défi pour les petites et les grandes organisations, mais le résultat est l'amélioration dont nous avons désespérément besoin. Sécuriser nos données et notre propriété intellectuelle est à la fois logique et indispensable pour conserver une avance technologique sur nos adversaires. L'évaluation et l'amélioration continue de la pratique des fondamentaux de la cybersécurité sont primordiales pour atteindre un niveau de résilience numérique qui nous permettra de lutter contre les menaces modernes.

Wayne Lloyd est directeur fédéral de la technologie chez RedSeal.