CMMC et gestion des risques liés aux tiers
En novembre 2021, le Bureau du sous-secrétaire à la Défense chargé des acquisitions et du soutien du département américain de la Défense (DoD) a publié la version 2.0 de lacertification CMMC (Cybersecurity Maturity Model Certification), un cadre complet visant à protéger la base industrielle de défense contre des cyberattaques de plus en plus fréquentes et complexes et à garantir la sécurité et la résilience de l'ensemble de notre chaîne d'approvisionnement en matière de défense nationale.
Le CMMC exige des entreprises qu'elles obtiennent une certification relative aux meilleures pratiques en matière de cybersécurité et de traitement des informations non classifiées contrôlées (CUI), cette certification déterminant en fin de compte si une entreprise peut se voir attribuer un contrat par le ministère américain de la Défense.
Tous les fournisseurs du ministère américain de la Défense doivent être certifiés selon l'un des trois niveaux, allant du niveau 1 (fondamental) au niveau 3 (expert), en fonction des exigences de sécurité relatives aux informations contrôlées non classifiées (CUI) énoncées dans la clause 204-21 du FAR, la publication spéciale (SP) 800-171du National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171et des contrôles supplémentaires de la normeNIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171.
Les entreprises et les organismes d'audit tiers certifiés (C3PAO) peuvent utiliser la plateforme Prevalent Third-Party Risk Management Platform avec ses questionnaires intégrés pour évaluer les trois niveaux de certification CMMC.
Aperçu des niveaux de certification CMMC
- Niveau 1– Auto-évaluation réalisée par le fournisseur sur la base de 17 contrôles. Ce niveau de certification est considéré comme fondamental et s'adresse aux fournisseurs qui gèrent des informations qui ne sont pas critiques pour la sécurité nationale.
- Niveau 3 - Considéré comme un niveau expert pour les fournisseurs les plus prioritaires du DoD, ce niveau s'appuie sur le niveau 2 en y ajoutant un sous-ensemble de contrôles NIST SP 800-172. Le gouvernement fédéral effectuera les audits pour les entreprises de ce niveau.
- Niveau 2– Niveau de certification plus avancé, réalisé par des auditeurs tiers sur la base des 110 contrôles prévus par la norme NIST SP 800-171. Ce niveau est envisagé pour les entreprises qui contrôlent des informations non classifiées (CUI).
Prévalent pour les auditeurs CMMC
Les auditeurs certifiés CMMC peuvent utiliser la plateforme Prevalent Third-Party Risk Management Platform avec les trois niveaux de questionnaires de contrôle CMMC inclus.
Prévalent pour les répondants CMMC
Les fournisseurs et les sous-traitants du ministère américain de la Défense peuvent utiliser la plateforme Prevalent Third-Party Risk Management Platform pour réaliser des auto-évaluations de niveau 1 et 2.
Respect des exigences CMMC TPRM
Le tableau ci-dessous présente un résumé des exigences du CMMC par niveau, organisées selon les contrôles de sécurité pertinents de la norme NIST SP 800-171r2, qui sont inclus dans les questionnaires intégrés à la plate-forme Prevalent. Des informations sur le niveau 3 seront publiées ultérieurement par le ministère américain de la défense et contiendront un sous-ensemble des exigences de sécurité spécifiées dans la norme NIST SP 800-172.
Contrôle d'accès
Niveau 1
3.1.1 Contrôle d'accès autorisé
3.1.2 Contrôle des transactions et des fonctions
3.1.20 Connexions externes
3.1.22 Contrôle des informations publiques
Niveau 2
3.1.3 Contrôle du flux de CUI
3.1.4 Séparation des tâches
3.1.5 Le moindre privilège
3.1.6 Utilisation de comptes non privilégiés
3.1.7 Fonctions privilégiées
3.1.8 Tentatives de connexion infructueuses
3.1.9 Avis de confidentialité et de sécurité
3.1.10 Verrouillage de la session
3.1.11 Fin de la session
3.1.12 Contrôle de l'accès à distance
3.1.13 Configurabilité de l'accès à distance
3.1.14 Routage de l'accès à distance
3.1.15 Accès à distance privilégié
3.1.16 Autorisation d'accès sans fil
3.1.17 Protection de l'accès sans fil
3.1.18 Connexion des appareils mobiles
3.1.19 Cryptage des CUI sur les appareils mobiles
3.1.21 Utilisation du stockage portable
Sensibilisation et formation
Niveau 1
N/A
Niveau 2
3.2.1 Sensibilisation aux risques basée sur les rôles
3.2.2 Formation basée sur les rôles
3.2.3 Sensibilisation aux menaces d'initiés
Audit et responsabilité
Niveau 1
N/A
Niveau 2
3.3.1 Audit du système
3.3.2 Responsabilité des utilisateurs
3.3.3 Examen des événements
3.3.4 Alerte en cas d'échec de l'audit
3.3.5 Corrélation des audits
3.3.6 Réduction et rapports
3.3.7 Source temporelle faisant autorité
3.3.8 Protection de l'audit
3.3.9 Gestion des audits
Gestion de la configuration
Niveau 1
N/A
Niveau 2
3.4.1 Établissement des bases du système
3.4.2 Application de la configuration de sécurité
3.4.3 Gestion des modifications du système
3.4.4 Analyse de l'impact sur la sécurité
3.4.5 Restrictions d'accès pour les changements
3.4.6 Fonctionnalité minimale
3.4.7 Fonctionnalité non essentielle
3.4.8 Politique d'exécution des applications
3.4.9 Logiciels installés par l'utilisateur
Identification et authentification
Niveau 1
3.5.1 Identification
3.5.2 Authentification
Niveau 2
3.5.3 Authentification à facteurs multiples
3.5.4 Authentification résistante à la relecture
3.5.5 Réutilisation des identifiants
3.5.6 Traitement des identifiants
3.5.7 Complexité des mots de passe
3.5.8 Réutilisation des mots de passe
3.5.9 Mots de passe temporaires
3.5.10 Mots de passe protégés par cryptographie
3.5.11 Retour d'information obscur
Réponse aux incidents
Niveau 1
N/A
Niveau 2
3.6.1 Traitement des incidents
3.6.2 Rapport d'incident
3.6.3 Test de réponse aux incidents
Maintenance
Niveau 1
N/A
Niveau 2
3.7.1 Effectuer la maintenance
3.7.2 Contrôle de la maintenance du système
3.7.3 Assainissement de l'équipement
3.7.4 Inspection des supports
3.7.5 Maintenance non locale
3.7.6 Personnel de maintenance
Protection des médias
Niveau 1
3.8.3 Élimination des supports
Niveau 2
3.8.1 Protection des médias
3.8.2 Accès aux supports
3.8.4 Marquage des médias
3.8.5 Responsabilité des supports
3.8.6 Chiffrement du stockage portable
3.8.7 Supports amovibles
3.8.8 Supports partagés
3.8.9 Protection des sauvegardes
Sécurité du personnel
Niveau 1
N/A
Niveau 2
3.9.1 Présélection des personnes
3.9.2 Mesures concernant le personnel
Protection physique
Niveau 1
3.10.1 Limiter l'accès physique
3.10.3 Escorte des visiteurs
3.10.4 Registres d'accès physique
3.10.5 Gérer l'accès physique
Niveau 2
3.10.2 Installation de surveillance
3.10.6 Autres sites de travail
Évaluation des risques
Niveau 1
N/A
Niveau 2
3.11.1 Évaluation des risques
3.11.2 Analyse de la vulnérabilité
3.11.3 Remédiation à la vulnérabilité
Évaluation de la sécurité
Niveau 1
N/A
Niveau 2
3.12.1 Évaluation des contrôles de sécurité
3.12.2 Plan d'action
3.12.3 Surveillance du contrôle de sécurité
3.12.4 Plan de sécurité du système
Protection des systèmes et des communications
Niveau 1
3.13.1 Protection des frontières
3.13.5 Séparation des systèmes d'accès public
Niveau 2
3.13.2 Ingénierie de la sécurité
3.13.3 Séparation des rôles
3.13.4 Contrôle des ressources partagées
3.13.6 Communication en réseau par exception
3.13.7 Tunnel divisé
3.13.8 Données en transit
3.13.9 Terminaison des connexions
3.13.10 Gestion des clés
3.13.11 Chiffrement des données CUI
3.13.12 Contrôle collaboratif des dispositifs
3.13.13 Code mobile
3.13.14 Voix sur protocole internet
3.13.15 Authenticité des communications
3.13.16 Données au repos
Intégrité des systèmes et des informations
Niveau 1
3.14.1 Remédiation aux failles
3.14.2 Protection contre les codes malveillants
3.14.4 Mise à jour de la protection contre les codes malveillants
3.14.5 Analyse du système et des fichiers
Niveau 2
3.14.3 Alertes et avis de sécurité
3.14.6 Surveiller les communications pour détecter les attaques
3.14.7 Identifier les utilisations non autorisées
Prévalent et le CMMC
La plateforme Prevalent Third-Party Risk Managementpropose des questionnaires intégrés pour chaque niveau de certification CMMC. Cela permet au ministère américain de la Défense d'évaluer les fournisseurs hautement prioritaires, aux auditeurs d'évaluer leurs clients et aux fournisseurs de s'évaluer eux-mêmes et d'évaluer leurs propres fournisseurs afin de vérifier leur conformité à chaque niveau.
Les C3PAO et le gouvernement fédéral peuvent :
- Invitez vos clients à rejoindre la plateforme Prevalent afin qu'ils puissent réaliser leur évaluation de contrôle standardisée de niveau 2 ou 3 dans un environnement sécurisé et facile à utiliser.
- Automatiser les rappels aux clients pour réduire le temps nécessaire à la réalisation des évaluations
- Centraliser les documents justificatifs présentés comme preuve de la présence de contrôles
- Consultez un registre unique des risques soulevés en fonction des réponses du client aux questions.
- Formuler des recommandations de remédiation pour les contrôles défaillants
- Fournir des rapports personnalisés sur le niveau actuel de conformité, démontrant l'impact de l'application de futurs contrôles sur la réduction des risques.
Tout fournisseur du DoD peut procéder à une auto-évaluation de niveau 1 ou de niveau 2 pour :
-
- Évaluer les 17 contrôles requis pour mesurer la conformité de niveau 1
- Évaluer par rapport aux 110 contrôles requis pour mesurer la conformité au niveau 2.
- Télécharger la documentation et les preuves à l'appui des réponses aux questions
- Obtenir une visibilité sur l'état actuel de la conformité
- Tirez parti des conseils de remédiation intégrés pour remédier aux lacunes des tiers.
- Produire des rapports pour mesurer la conformité à l'intention des auditeurs
