Certification CMMC : un enjeu majeur pour les sous-traitants de la défense des États-Unis

Dans un contexte de sécurisation de sa Base Industrielle de la Défense (DIB), le gouvernement des États-Unis d’Amérique, à travers le Department of Defense (DoD), a créé de nouvelles règlementations et standards comme la certification CMMC s’appliquant notamment aux sous-traitants de la défense.

Dans le but de protéger et d’assurer la sécurité de l’information de la DIB, l’amendement Defense Federal Acquisition Regulation Supplement (DFARS) a été créé pour définir la notion de Controlled Unclassified Information (CUI). La gestion de ces données nécessite des contrôles de sauvegarde ou de diffusion conformément à la loi, aux règlements et aux politiques gouvernementales. Pour ce faire, la publication NIST SP800-171 ainsi que le Cybersecurity Maturity Model Certification (CMMC) ont été mis en place.

La gestion des données CUI représente un enjeu de majeur pour tous les sous-traitants du DoD. En effet, le coût de la cybercriminalité pour les entreprises et le gouvernement américain augmente significativement et devient une problématique qui a besoin d’être traitée obligatoirement. Elle génère beaucoup de pertes pour les entreprises et les gouvernements en termes de vol de propriété intellectuelle ou de criminalité financière.

L’enjeu pour les sous-traitants du DoD est de pouvoir continuer leurs activités avec le gouvernement des États-Unis et pour le DoD, de disposer d’un niveau minimum concernant les pratiques cyber sécurité de ses sous-traitants.

1.    Réglementation DFARS et la donnée CUI

DFARS

Le DFARS est un amendement à un ensemble de règles que le DoD et les agences fédérales du gouvernement des États-Unis utilisent pour superviser l’achat de biens et de services, y compris la technologie sur l’ensemble de sa supply-chain. Le DFARS est entré en vigueur en Octobre 2016 et a introduit la notion de Controlled Unclassified Information (CUI).

Le DFARS spécifie un ensemble de règles visant à garantir l’intégrité et la protection des CUI en terme de protection de la donnée et de réponse à incidents liés à la cybersécurité. 

La donnée CUI

Les Controlled Unclassified Information (CUI) sont des informations sensibles, mais non classifiées appartenant au gouvernement que tout sous-traitant du DoD peut détenir, utiliser ou créer dans le cadre de son activité avec le gouvernement des États-Unis.

Les CUI sont des informations qui nécessitent des contrôles de sauvegarde ou de diffusion conformément aux lois, règlements et politiques gouvernementales applicables (DFARS, NIST et CMMC).

La notion de données CUI a été mise en place afin d’homogénéiser les pratiques en matière de classification de données au sein des sous-traitants du gouvernement des États-Unis. Cette donnée permet de standardiser les pratiques du pouvoir exécutif du gouvernement en matière de gestion des données.

En effet, les sous-traitants du DoD peuvent, dans le cadre de leurs activités, générer, utiliser, stocker et partager des informations qui n’atteignent pas le seuil de classification des informations relatives à la sécurité nationale du gouvernement des États-Unis. Néanmoins, ces informations nécessitent un certain niveau de protection contre l’accès et la diffusion non autorisée.

Ce sont les sous-traitants du DoD qui ont la responsabilité de la gestion adéquate des données CUI dans le cadre de leurs activités avec le gouvernement des États-Unis conformément à la DFARS.

Le National Archives and Records Administration (NARA) a l’autorité et la responsabilité de gérer le programme CUI au sein du gouvernement fédéral. Par conséquent, c’est le NARA qui tient à jour le registre CUI qui référence toutes les catégories et sous-catégories de données CUI, on y retrouve les catégories suivantes:

2.    NIST SP800-171 & certification CMMC aux États-Unis

Le NIST SP-800-171

Pour les systèmes d’information d’entreprises n’étant pas sous la tutelle directe du gouvernement des États-Unis, la publication spéciale (SP) 800-171 du National Institute of Standards and Technology (NIST) définit les exigences pour la conformité à la DFARS.

Le NIST est une agence appartenant au Département du Commerce des États-Unis qui a pour objet de promouvoir l’économie, notamment par le développement de méthodologies et de standards.

La publication spéciale NIST SP800-171 regroupe un ensemble de 110 pratiques à mettre en place afin d’assurer la protection et l’intégrité de la donnée CUI ainsi que les systèmes et infrastructures qui sont amenés à les gérer.

Modèle et certification CMMC aux États-Unis

Le Cybersecurity Maturity Model Certification (CMMC) est un programme de certification et d’évaluation mis en place par le DoD en 2020 aux États-Unis.

Son objectif est de mesurer la maturité des processus de cybersécurité d’une organisation afin de démontrer la conformité avec la protection des Informations des Contrats Fédéraux (FCI) et des CUI en accord avec le NIST SP800-171 et le DFARS.

La figure ci-dessous décrit le lien entre FCI, CUI et l’information publique :

Initialement, le CMMC v1.0 devait être mis en place progressivement sur une période de cinq ans afin de permettre aux sous-traitants d’entreprendre les travaux nécessaires pour passer la certification sans interférer dans leurs activités en cours avec le DoD.

En mars 2021, le ministère de la défense des États-Unis a procédé à un examen interne du programme CMMC. À la suite de cet examen, le ministère a annoncé une nouvelle version du modèle, le CMMC v2.0. Ces changements ont eu comme effet de clarifier certaines complexités du modèle pour une meilleure appréhension de la part des sous-traitants du DoD (Réduction du nombre d’exigences requis pour la conformité, échéances pour les sous-traitants moins strict, autorisation d’auto-évaluation pour certains niveaux de maturité CMMC).

Le CMMC v1.0 était construit sur 5 niveaux de maturité en matière de protection des données CUI regroupant 17 domaines d’application.

La dernière version (CMMC v2.0) se base sur 3 niveaux de maturité en matière de protection des données CUI regroupant 14 domaines d’application.

Modalités de la certification CMMC aux États-Unis

Dans le cadre du CMMC v2.0, les modalités de la certification ne sont pas les mêmes en fonction du niveau visé par le demandeur. Certains seront autorisés à s’auto-évaluer soit en interne, soit à l’aide d’entreprises indépendantes non certifiées les accompagnant dans la compréhension des règlementations et du modèle ayant une expérience d’auditeur.

D’autres auront besoin d’un organisme tiers pour les auditer et les évaluer afin de recevoir une certification.

Dans certains cas les demandeurs seront audités, évalués et certifiés pour le CMMC par le gouvernement des États-Unis lui-même.

Niveau 1 – Fondamental

Tous les demandeurs du niveau 1 seront autorisés à s’auto-évaluer annuellement. Cela nécessitera de la documentation contenant les réponses à chacune des 17 pratiques de cybersécurité du NIST SP 800-171. Cette auto-évaluation sera à renouveler annuellement. Le DoD considère ce niveau comme une occasion d’inciter les sous-traitants à développer et à renforcer leur position en matière de cybersécurité dans un premier temps avant les autres niveaux de maturité. Le niveau 1 concerne uniquement les entreprises gérant uniquement des FCI.

Niveau 2 – Avancé

Le niveau 2 est divisé en deux groupes. Ceux qui ont été jugés comme travaillant avec des informations critiques sur la sécurité des États-Unis devront obtenir une certification CMMC avec un Organisme d’évaluation tiers (C3PAO). Ces organisations devront être recertifiées tous les trois ans.

Ceux qui ne travaillent pas avec ces informations seront autorisés à s’auto-évaluer. Comme pour le niveau 1, ces autoévaluations devront être effectuées chaque année.

Le niveau 2 représente le respect de l’ensemble des pratiques du NIST SP800-171 (110 pratiques).

Niveau 3 – Expert

Les demandeurs d’une certification CMMC de niveau 3 seront évalués par le gouvernement des États-Unis lui-même. Le niveau 3 est composé de tous les contrôles trouvés dans le NIST SP800-171 ainsi que le NIST SP800-172 (l’ancien NIST 800-171B). Ce dernier est un supplément au NIST SP800-171, il est constitué d’exigences de sécurité renforcées pour la protection des CUI.

Une fois l’évaluation terminée et qu’un certificat a été obtenu (quel que soit le niveau de maturité), le niveau est rendu public, mais les détails concernant des constatations précises ne le sont pas. Le DoD n’aura accès qu’au niveau de certification.

Acteurs de cette certification et échéance

La certification CMMC v2.0 s’applique aux sous-traitants du DoD ainsi qu’à tous les sous-traitants de la supply-chain, conformément aux règles du DFARS 252.204-7012 en matière de transfert des contractants aux sous-traitants. Elle est entrée en vigueur en novembre 2021 et un certain niveau de certification sera requis pour tous les contrats à partir de 2025 en fonction de l’activité du sous-traitant.

3.    Positionnement de HeadMind Partners

Le modèle CMMC v2.0 a été créé afin d’accompagner les sous-traitants du DoD à obtenir la certification CMMC et leurs permettre de continuer leurs activités avec le DoD d’ici 2025. La règlementation NIST SP800-171 étant complexe, le modèle CMMC vise également à simplifier la tâche des sous-traitants en proposant des guides. De plus le CMMC conseille aux demandeurs de se faire accompagner soit par des organisations ayant de l’expérience sur la gestion des données CUI ou bien par des organisations certifiées (C3PAO).

À travers ses activités, HeadMind Partners exécute et réalise des projets complexes à grande échelle, tel que peut représenter la mise en conformité d’une organisation vis-à-vis de CMMC. En effet, nous avons réussi à créer une approche permettant de nous adapter aux spécificités de la Défense française et tenant compte des enjeux de souveraineté nationale. Ceci nous a déjà permis d’accompagner nos clients à travers les différentes phases menant à la conformité CMMC nécessaire.

Chez HeadMind Partners nous avons les ressources nécessaires pour travailler de manière efficace et pertinente, afin d’accompagner et d’aider nos clients à adopter la CMMC, pour leur permettre de conserver leurs activités ou bien acquérir de nouveaux marchés avec le DoD.

Ecrit par Victor Beaumont avec l’aide de Romain Gaudillat.