Certification du modèle de maturité de la cybersécurité (CMMC) version 2 : considérations relatives à la gestion des risques par des tiers

Le CMMC v2.0 rationalise les niveaux de certification, élimine les couches de maturité propriétaires et ajuste les responsabilités en matière d'évaluation des risques par des tiers. Découvrez comment elle peut s'appliquer à votre entreprise.

Personnel de Mitratech
Personnel de Mitratech 8 décembre 2021 6 minutes de lecture
Decorative image
 

En novembre 2021, l'Office of the Under Secretary of Defense for Acquisition and Sustainment du département de la défense des États-Unis (DoD) a publié la version 2.0 du Cybersecurity Maturity Model Certification (CMMC), un cadre complet conçu pour protéger la base industrielle de défense contre des cyberattaques de plus en plus fréquentes et de plus en plus complexes. La version 2.0 simplifie le modèle en ramenant les niveaux de certification de cinq (5) à trois (3), en éliminant les couches de maturité propriétaires et en ajustant les responsabilités en matière d'évaluation. Ce billet résume les nouveautés de la version 2.0 et explique comment Prevalent peut contribuer à simplifier le processus d'évaluation du CMMC.

Qu'est-ce que le CMMC ?

Le CMMC est une certification du gouvernement fédéral américain concernant les meilleures pratiques en matière de cybersécurité et de traitement des informations non classifiées contrôlées (CUI), cette certification déterminant à terme si une entreprise peut se voir attribuer un contrat par le ministère de la défense. Le CMMC vise à garantir la sécurité et la résilience de l'ensemble de la chaîne d'approvisionnement de la défense nationale (DIBS - fournisseurs de la base industrielle de défense).

Quels sont les niveaux de certification du CMMC ?

Tous les fournisseurs du ministère de la défense devront à terme être certifiés à l'un des trois niveaux, du niveau 1 (fondamental) au niveau 3 (expert). Il s'agit d'un changement par rapport à la version 1.0 qui comportait cinq niveaux de certification. Les niveaux de certification de la version 2.0 sont dérivés des exigences de base en matière de protection des informations contractuelles fédérales (FCI) spécifiées dans la clause 52.204-21 de la Federal Acquisition Regulation (FAR) et des exigences de sécurité pour les informations non classifiées contrôlées (CUI) spécifiées dans la publication spéciale (SP) 800-171 Rev 2 du National Institute of Standards and Technology (NIST), conformément à la clause 252.204-7012 du Defense Federal Acquisition Regulation Supplement (DFARS), ainsi que des contrôles supplémentaires de la norme NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information (exigences de sécurité renforcées pour la protection des informations non classifiées contrôlées) : A Supplement to NIST Special Publication 800-171.

  • Niveau 1 - Auto-évaluation réalisée par le fournisseur sur la base de 17 contrôles. Ce niveau de certification est considéré comme fondamental et destiné aux fournisseurs gérant des FCI qui ne sont pas critiques pour la sécurité nationale. Ce niveau de certification est inchangé par rapport à la version 1.0, initialement annoncée en janvier 2020.
  • Niveau 2 - Un niveau plus avancé de certification effectué par des auditeurs tiers (connus sous le nom de C3PAO, ou organismes d'audit tiers certifiés) sur 110 contrôles supplémentaires de la norme NIST SP 800-171. Ce niveau est envisagé pour les entreprises qui disposent d'informations non classifiées contrôlées (CUI). Dans certains cas, les organisations peuvent procéder à une auto-évaluation à ce niveau.
  • Niveau 3 - Considéré comme un niveau expert pour les fournisseurs les plus prioritaires du DoD, ce niveau s'appuie sur le niveau 2 en y ajoutant un sous-ensemble de contrôles NIST SP 800-172. Le gouvernement fédéral effectuera les audits pour les entreprises de ce niveau.
Les exigences du CMMC en détail
Le tableau ci-dessous présente un résumé des exigences du CMMC par niveau, organisées selon les contrôles de sécurité pertinents de la norme NIST SP 800-171r2, qui sont inclus dans les questionnaires intégrés à la plate-forme Prevalent. Des informations sur le niveau 3 seront publiées ultérieurement par le ministère américain de la défense et contiendront un sous-ensemble des exigences de sécurité spécifiées dans la norme NIST SP 800-172.

 

 

 

Contrôle d'accès
Niveau 1

3.1.1 Contrôle d'accès autorisé
3.1.2 Contrôle des transactions et des fonctions
3.1.20 Connexions externes
3.1.22 Contrôle des informations publiques

 Niveau 2

3.1.3 Contrôle du flux de CUI
3.1.4 Séparation des tâches
3.1.5 Le moindre privilège
3.1.6 Utilisation de comptes non privilégiés
3.1.7 Fonctions privilégiées
3.1.8 Tentatives de connexion infructueuses
3.1.9 Avis de confidentialité et de sécurité
3.1.10 Verrouillage de la session
3.1.11 Fin de la session
3.1.12 Contrôle de l'accès à distance
3.1.13 Configurabilité de l'accès à distance
3.1.14 Routage de l'accès à distance
3.1.15 Accès à distance privilégié
3.1.16 Autorisation d'accès sans fil
3.1.17 Protection de l'accès sans fil
3.1.18 Connexion des appareils mobiles
3.1.19 Cryptage des CUI sur les appareils mobiles
3.1.21 Utilisation du stockage portable
Sensibilisation et formation
Niveau 1

N/A

 Niveau 2

3.2.1 Sensibilisation aux risques basée sur les rôles
3.2.2 Formation basée sur les rôles
3.2.3 Sensibilisation aux menaces d'initiés

Comment réaliser des évaluations du CMMC pour tous les niveaux
Audit et responsabilité
Niveau 1

N/A

 Niveau 2

3.3.1 Audit du système
3.3.2 Responsabilité des utilisateurs
3.3.3 Examen des événements
3.3.4 Alerte en cas d'échec de l'audit
3.3.5 Corrélation des audits
3.3.6 Réduction et rapports
3.3.7 Source temporelle faisant autorité
3.3.8 Protection de l'audit
3.3.9 Gestion des audits
Gestion de la configuration
Niveau 1

N/A

 Niveau 2

3.4.1 Établissement des bases du système
3.4.2 Application de la configuration de sécurité
3.4.3 Gestion des modifications du système
3.4.4 Analyse de l'impact sur la sécurité
3.4.5 Restrictions d'accès pour les changements
3.4.6 Fonctionnalité minimale
3.4.7 Fonctionnalité non essentielle
3.4.8 Politique d'exécution des applications
3.4.9 Logiciels installés par l'utilisateur
Identification et authentification
Niveau 1

3.5.1 Identification
3.5.2 Authentification

 Niveau 2

3.5.3 Authentification à facteurs multiples
3.5.4 Authentification résistante à la relecture
3.5.5 Réutilisation des identifiants
3.5.6 Traitement des identifiants
3.5.7 Complexité des mots de passe
3.5.8 Réutilisation des mots de passe
3.5.9 Mots de passe temporaires
3.5.10 Mots de passe protégés par cryptographie
3.5.11 Retour d'information obscur
Réponse aux incidents
Niveau 1

N/A

 Niveau 2

3.6.1 Traitement des incidents
3.6.2 Rapport d'incident
3.6.3 Test de réponse aux incidents
Maintenance
Niveau 1

N/A

 Niveau 2

3.7.1 Effectuer la maintenance
3.7.2 Contrôle de la maintenance du système
3.7.3 Assainissement de l'équipement
3.7.4 Inspection des supports
3.7.5 Maintenance non locale
3.7.6 Personnel de maintenance
Protection des médias
Niveau 1

3.8.3 Élimination des supports

 Niveau 2

3.8.1 Protection des médias
3.8.2 Accès aux supports
3.8.4 Marquage des médias
3.8.5 Responsabilité des supports
3.8.6 Chiffrement du stockage portable
3.8.7 Supports amovibles
3.8.8 Supports partagés
3.8.9 Protection des sauvegardes
Sécurité du personnel
Niveau 1

N/A

 Niveau 2

3.9.1 Présélection des personnes
3.9.2 Mesures concernant le personnel
Protection physique
Niveau 1

3.10.1 Limiter l'accès physique
3.10.3 Escorte des visiteurs
3.10.4 Registres d'accès physique
3.10.5 Gérer l'accès physique

 Niveau 2

3.10.2 Installation de surveillance
3.10.6 Autres sites de travail
Évaluation des risques Ligne 2, colonne 2
Niveau 1

N/A

 Niveau 2

3.11.1 Évaluation des risques
3.11.2 Analyse de la vulnérabilité
3.11.3 Remédiation à la vulnérabilité
Évaluation de la sécurité
Niveau 1

N/A

 Niveau 2

3.12.1 Évaluation des contrôles de sécurité
3.12.2 Plan d'action
3.12.3 Surveillance du contrôle de sécurité
3.12.4 Plan de sécurité du système
Protection des systèmes et des communications
Niveau 1

3.13.1 Protection des frontières
3.13.5 Séparation des systèmes d'accès public

 Niveau 2

3.13.2 Ingénierie de la sécurité
3.13.3 Séparation des rôles
3.13.4 Contrôle des ressources partagées
3.13.6 Communication en réseau par exception
3.13.7 Tunnel divisé
3.13.8 Données en transit
3.13.9 Terminaison des connexions
3.13.10 Gestion des clés
3.13.11 Chiffrement des données CUI
3.13.12 Contrôle collaboratif des dispositifs
3.13.13 Code mobile
3.13.14 Voix sur protocole internet
3.13.15 Authenticité des communications
3.13.16 Données au repos
Intégrité des systèmes et des informations
Niveau 1

3.14.1 Remédiation aux failles
3.14.2 Protection contre les codes malveillants
3.14.4 Mise à jour de la protection contre les codes malveillants
3.14.5 Analyse du système et des fichiers

 Niveau 2

3.14.3 Alertes et avis de sécurité
3.14.6 Surveiller les communications pour détecter les attaques
3.14.7 Identifier les utilisations non autorisées

La plate-forme Prevalent de gestion des risques pour les tiers comporte des questionnaires intégrés pour les niveaux 1 et 2, ce qui permet aux fournisseurs de s'évaluer eux-mêmes et aux auditeurs d'évaluer leurs clients par rapport à chaque niveau. Lorsque les exigences de certification du niveau 3 seront publiées, Prevalent ajoutera le questionnaire approprié à la plate-forme.

Les C3PAO peuvent :

  • Inviter les clients à accéder à la plateforme Prevalent pour réaliser leur évaluation de contrôle standardisée de niveau 2 dans un locataire sécurisé et facile à utiliser.
  • Automatiser les rappels aux fournisseurs ou aux clients pour réduire le temps nécessaire à la réalisation des évaluations
  • Centraliser les documents justificatifs présentés comme preuve de la présence de contrôles
  • Consulter un registre unique des risques soulevés en fonction de la façon dont le client ou le fournisseur répond aux questions.
  • Formuler des recommandations de remédiation pour les contrôles défaillants
  • Fournir des rapports personnalisés sur le niveau actuel de conformité, démontrant l'impact de l'application de futurs contrôles sur la réduction des risques.

Tout fournisseur du DoD peut procéder à une auto-évaluation de niveau 1 ou de niveau 2 pour :

  • s'évaluer par rapport aux 17 contrôles requis pour mesurer la conformité de niveau 1
  • s'évaluer par rapport aux 110 contrôles requis pour mesurer la conformité de niveau 2
  • Télécharger la documentation et les preuves à l'appui des réponses aux questions
  • Obtenir une visibilité sur l'état actuel de la conformité
  • Tirer parti des conseils de remédiation intégrés pour remédier aux lacunes
  • Produire des rapports pour mesurer la conformité à l'intention des auditeurs

Pour plus d'informations sur la façon dont Prevalent contribue à sécuriser la chaîne d'approvisionnement du DoD, visitez notre page sur la conformité CMMC, téléchargez notre livre blanc sur la conformité ou demandez une démonstration de la plateforme Prevalent dès aujourd'hui.

 

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.