Le fondateur de Charles IT, Foster Charles, parle de CMMC 2.0 dans le cadre de l'élaboration de règles du DoD

Le fondateur de Charles IT, Foster Charles, parle de CMMC 2.0 dans le cadre de l'élaboration de règles du DoD

Horodatage: 26 mars 2023 8h00
Foster Charles de Charles IT

Neuf des 13 compagnies d'assurance que nous suivons ne rédigeront pas de police à moins que vous n'ayez l'AMF. Même chose avec CMMC 2.0 - et un plan d'action et des jalons (POA&M) ne seront pas acceptés si vous ne disposez pas des bases telles que MFA, antivirus et formation de sensibilisation à la sécurité. – Foster Charles, fondateur et PDG, Charles IT

MIDDLETOWN, Connecticut (PRWEB) 27 mars 2023

Le ministère de la Défense (DoD) a annoncé la nouvelle certification du modèle de maturité de la cybersécurité, CMMC 2.0, en novembre 2021. Le changement est intervenu après qu'il a été déterminé que le modèle CMMC 1.0 d'origine était trop lourd et déroutant pour les entrepreneurs. L'intention, cependant, reste la même : s'assurer que les sous-traitants de la base industrielle de défense (DIB) disposent des mesures et procédures appropriées pour protéger les informations sensibles, y compris les informations contrôlées non classifiées (CUI) et les informations sur les contrats fédéraux (FCI).

Ce qu'il est important de comprendre, c'est que CMMC 2.0 n'est en fait rien de nouveau. Les exigences sont basées sur la norme SP 800-171 du National Institute of Standards and Technology (NIST) et sont directement alignées sur le Supplément de la réglementation fédérale sur les acquisitions de la défense (DFARS), qui est requis depuis un certain temps maintenant.

Ce qui compte, c'est la rigueur avec laquelle vous mettez en œuvre ces meilleures pratiques en matière de sécurité informatique, car les nouvelles réglementations seront fermement appliquées en 2023. Pour réussir, les sous-traitants doivent changer leur approche de la conformité ou risquer de perdre des contrats lucratifs ou d'encourir de lourdes amendes.

Changements de haut niveau dans CMMC 2.0

CMMC 1.0 visait à regrouper diverses exigences de sécurité en une seule norme de conformité pour le gouvernement fédéral. Alors que l'intention était bonne, les règles étaient très compliquées. CMMC 2.0 est une simplification de CMMC 1.0, ce qui permet aux sous-traitants DIB de se conformer beaucoup plus facilement afin d'améliorer la sécurité de la défense fédérale.

Le niveau un nécessite une auto-évaluation de 17 meilleures pratiques similaires au cadre de cybersécurité (CSF) du NIST. Le niveau deux s'aligne sur NIST SP 800-171 et nécessite une certification d'un organisme d'évaluation tiers CMMC (C3PAO). Enfin, les sous-traitants DIB qui gèrent des informations top secrètes doivent atteindre le niveau trois de conformité basé sur NIST 800-172.

CMMC 2.0 supprime les exigences non incluses dans NIST SP 800-171 pour rendre plus pratique la réalisation et l'application de la conformité. Il couvre également les sous-traitants DIB pour assurer la sécurité sur l'ensemble de la chaîne d'approvisionnement, car davantage d'acteurs malveillants ciblent les petites entreprises qui passent des contrats avec des géants de l'industrie (par exemple, Lockheed Martin). "Les pirates peuvent obtenir un seul élément de CUI auprès d'un seul fournisseur. Mais s'ils en empilent plusieurs, ils peuvent obtenir une image assez complète - c'est ainsi que les secrets sont divulgués. CMMC 2.0 consiste à sécuriser les secrets d'État », déclare Charles.

La cyberguerre est la dernière préoccupation, et pour de bonnes raisons. Par exemple, les acteurs de la menace peuvent lancer une cyberattaque sur l'infrastructure (par exemple, l'attaque du pipeline colonial), puis profiter du temps d'arrêt prolongé pour lancer une attaque physique plus dévastatrice - qui pourrait paralyser toute la nation.

Quelle est la principale conclusion de ces changements et que devez-vous savoir lors de la mise à jour de vos processus ?

Un objectif clé de CMMC 2.0 est d'apporter de la clarté et de supprimer la complexité. Par exemple, il exige une certification par une tierce partie tous les trois ans (au lieu d'une évaluation annuelle) pour les niveaux de conformité deux et trois.

De plus, les procédures sont plus faciles à comprendre, vous pouvez donc vous concentrer sur la mise à jour de votre posture de sécurité.

Comment CMMC 2.0 profite aux entrepreneurs DIB

CMMC 2.0 permet une meilleure protection des CUI pour prévenir les fuites de données et l'espionnage. Il renforce la sécurité nationale et aide à protéger contre la chaîne d'approvisionnement ou les attaques parrainées par l'État. Cependant, comprenez que cela profite également aux sous-traitants DIB dans leurs opérations : « L'industrie manufacturière est très en retard en matière d'informatique et de sécurité. Les entreprises exécutent encore de nombreux processus manuellement, ce qui est très peu sûr. Leur mauvaise hygiène de sécurité informatique conduit souvent à des ransomwares coûteux et à d'autres attaques. CMMC 2.0 oblige ces entrepreneurs à établir de bonnes habitudes commerciales qui sont finalement bonnes pour leurs organisations », déclare Charles.

L'idée d'un autre règlement peut être intimidante. La bonne nouvelle est que la moitié de CMMC 2.0 est déjà dans NIST SP 800-171 - détaillant les pratiques de cybersécurité que les sous-traitants DIB devraient déjà suivre, par exemple, l'utilisation d'un logiciel antivirus, la mise en œuvre de l'authentification multifacteur (MFA) et le mappage et l'étiquetage de tous les CUI. .

Surtout, les entreprises ne peuvent même pas obtenir une couverture d'assurance cybersécurité sans mettre en œuvre bon nombre des mesures décrites dans CMMC 2.0. "Neuf compagnies d'assurance sur 13 que nous suivons ne rédigeront pas de police à moins que vous n'ayez l'AMF. Même chose avec CMMC 2.0 - et un plan d'action et des jalons (POA&M) ne seront pas acceptés si vous ne disposez pas des bases telles que MFA, antivirus et formation de sensibilisation à la sécurité », déclare Charles.

CMMC 2.0 est une étape nécessaire pour que l'ensemble de l'industrie de la défense se mette à niveau du point de vue technologique.

Pourquoi changer votre approche est essentiel

Comme mentionné, l'idée fausse la plus courante à propos de CMMC 2.0 est qu'il s'agit d'une nouvelle norme de conformité alors qu'en fait ce n'est pas le cas.

L'autre idée fausse cruciale est que de nombreux entrepreneurs supposent qu'ils peuvent attendre que la décision CMMC 2.0 soit approuvée avant d'agir. De nombreux entrepreneurs sous-estiment le temps qu'il leur faudra pour évaluer leur posture de sécurité, mettre en œuvre des mesures correctives et obtenir leur évaluation par un tiers. Certains se méprennent également sur le degré de retard technique de leurs systèmes et processus et sur l'investissement nécessaire pour atteindre la conformité. Il est également essentiel de se rappeler que le respect de ces normes nécessite une coordination avec les fournisseurs, ce qui peut prendre du temps. « De nombreux entrepreneurs négligent la complexité de leurs chaînes d'approvisionnement et le nombre de fournisseurs tiers qu'ils utilisent. Par exemple, vous découvrirez peut-être que quelques fournisseurs utilisent encore Windows 7 et refusent de mettre à niveau. Vous pourriez donc vous retrouver dans l'embarras si vos fournisseurs ne sont pas conformes, et vous devez attendre qu'ils mettent à niveau leur technologie », explique Charles.

Il existe également des problèmes de conformité au cloud, souligne Charles. De nombreux sous-traitants ne réalisent pas non plus qu'ils ne peuvent pas traiter CUI sur n'importe quel cloud - votre plate-forme doit reposer sur un cloud Fedramp moyen ou élevé Fedramp. Par exemple, au lieu d'Office 365, vous devez utiliser Microsoft 365 Government Community Cloud High (GCC High).

Comment se préparer à CMMC 2.0

Commencez à vous préparer dès que possible si vous ne l'avez pas déjà fait et attendez-vous à ce que le processus prenne un an ou deux. CMMC 2.0 entrera probablement en vigueur en 2023, et dès qu'il le fera, il apparaîtra sur tous les contrats dans les 60 jours. Vous ne pouvez pas vous permettre d'attendre la dernière minute.

En d'autres termes, les entrepreneurs bénéficieront d'un sentiment d'urgence. « Atteindre la conformité en une seule fois peut être un choc majeur pour une organisation et ses processus métier quotidiens. Je recommande de procéder à une évaluation et de concevoir une feuille de route pluriannuelle », déclare Charles. Ce plan doit répondre à des questions telles que : Quelles machines/matériels devez-vous remplacer ? Quels fournisseurs tiers nécessitent des mises à niveau ? Prévoient-ils de le faire dans les trois prochaines années ? »

La soumission d'un plan de sécurité du système (SSP) est essentielle à la conformité CMMC 2.0. Le SSP est également un document essentiel qu'un fournisseur de services gérés (MSP) pouvez utiliser pour aider votre entreprise à se conformer. La feuille de pointage décrit les exigences de sécurité de CMMC et vous aide à obtenir un aperçu des mises à niveau dont vous avez besoin. "La première chose que je demande habituellement est, 'connaissez-vous votre score SSP?'", Dit Charles. D'autres entreprises ne sont peut-être pas aussi avancées. Dans ce cas, Charles IT peut effectuer une évaluation des lacunes ou des risques pour nos clients comme première étape de la rédaction d'un SSP et d'un plan d'action et d'étapes (POA&M). "Nous l'appelons une évaluation des lacunes. Nous devons connaître la profondeur de l'eau, puis nous la localiserons et les aiderons à rédiger un SSP », conseille Charles.

Si vous avez une posture de sécurité relativement mature et que vous suivez les dernières meilleures pratiques en matière de cybersécurité, la mise en conformité CMMC 2.0 devrait prendre environ six à neuf mois. Sinon, vous pourriez envisager un calendrier de 18 mois. Encore une fois, n'attendez pas qu'un contrat soit sur la table - commencez dès maintenant pour éviter de perdre des entreprises.

Horodatage:

Plus de Sécurité Informatique