https://wordpress.org/
FranceBelgique
Cybersécurité

CMMC : Bonnes pratiques pour préparer la certification

Publié le 14/12/2022
Partager sur :

Pour les sous-traitants de la défense américaine, la certification CMMC représente un enjeu considérable, comme évoqué dans notre précédent article à ce sujet, puisqu’elle conditionnera leur collaboration avec le Department of Defense (DoD).

Le CMMC ayant vocation à être appliqué à un nombre grandissant d’organisations, quelles sont les dernières actualités et les bonnes pratiques pour la mise en conformité CMMC v. 2.0?

Qu’en est-il de la CMMC aujourd’hui ?

Les premiers cas de mise en œuvre du CMMC touchent le secteur aérospatial, la stratégie 2022 de défense nationale américaine ayant mis en évidence les préoccupations relatives à la protection des satellites commerciaux américains contre les cyber-menaces émergentes.

La mise en œuvre du CMMC concerne aussi les entreprises fournissant aussi bien des services que des logiciels. C’est notamment le cas de Xendee, l’éditeur d’un logiciel de support à la gestion de microréseaux électriques utilisés dans différents lieux stratégiques du DoD comme la base navale de San Diego.

Ces mises en œuvre restent cependant rares : selon une étude menée sur 300 sous-traitants du Pentagone par l’entreprise CyberSheath, seuls 13% d’entre eux respectent un « niveau suffisant » du NIST SP800-171, c’est-à-dire 70 des 110 pratiques.

Le niveau 2 du CMMC v 2.0 représentant le respect de l’ensemble des 110 pratiques du NIST SP800-171, cette étude implique donc que la majorité des sous-traitants n’a actuellement pas la maturité nécessaire pour être conforme à la nouvelle version du CMMC, dont l’entrée en vigueur est prévue pour mai 2023. Ce sujet reste donc aux prémices d’un déploiement à grande échelle pour les prestataires du DoD.

CMMC v2.0 - Niveaux et modèle

Les bonnes pratiques pour une certification CMMC efficace

Contrairement à d’autres certifications ou homologations qui prévoient des mesures intermédiaires ou compensatoires, le CMMC est dans une logique de fail or pass. L’échec entrainant une impossibilité pour l’organisation de collaborer avec le DoD, il est important de bien se préparer pour cette certification. Voici quelques bonnes pratiques à retenir :

Une définition précise du périmètre des données à protéger

Dans le cadre de la certification CMMC, trois types de données sont à prendre en compte : les informations publiques, les Informations des Contrats Fédéraux (FCI) et les Informations non-classifiées contrôlées (CUI).

Votre rendez-vous cyber-sécurité : Ne manquez pas la NoSuchCon !
Trending
Votre rendez-vous cyber-sécurité : Ne manquez pas la NoSuchCon !

Il est nécessaire de qualifier toutes les données reçues, traitées ou générées lors de son activité. L’erreur dans la qualification d’une donnée n’est pas sans conséquences. En effet, les exigences de sécurité sur les données CUI sont plus élevées que celle sur les données FCI.

  • Traiter une donnée FCI comme une donnée CUI aura un impact économique dû au surcoût des mesures de sécurité non nécessaires mises en place mais n’aura pas d’impact sur la certification CMMC.
  • Traiter une donnée CUI comme une donnée FCI est, en revanche, plus lourd de conséquences. En effet, le risque est que la donnée CUI ne soit pas sécurisée à hauteur des exigences CMMC. Cela impliquerait donc la perte ou le rejet de la certification CMMC et la fin de toute relation contractuelle avec le DoD.

Un fort sponsoring de la part du top management

Les transformations induites par la mise en conformité vis-à-vis du CMMC pouvant être conséquentes, un bon niveau d’implication de la part du top management est indispensable à la réussite du processus de certification :

  • Aspects budgétaires : Le coût de la certification et des mesures nécessaires à celle-ci sont principalement à la charge des organisations souhaitant obtenir la certification CMMC. Selon le niveau de maturité de l’entité et le niveau de certification souhaité, il faudra intégrer dans son budget les coûts liés à la mise en conformité CMMC.
  • Pouvoir décisionnaire : Il faut également s’assurer d’intégrer au programme de mise en conformité des représentants du top management pour prendre les décisions et les responsabilités nécessaires à la bonne conduite du projet.

L’anticipation

Toute entité souhaitant contracter avec le DoD devra être certifiée CMMC avant 2025. Selon le contexte, la mise en conformité peut représenter un effort important : pour une certification de niveau 3, l’entité devra démontrer le respect de plus de 110 pratiques et exigences de sécurité.

La charge de travail est donc importante et se faire accompagner lors de la préparation à la certification est un atout non négligeable.

L’expertise HeadMind Partners

À travers ses activités, HeadMind Partners exécute et réalise des projets complexes à grande échelle, tel que peut représenter la mise en conformité d’une organisation vis-à-vis du CMMC. En effet, nous avons réussi à créer une approche permettant de nous adapter aux spécificités de la Défense française et tenant compte des enjeux de souveraineté nationale. Ceci nous a déjà permis d’accompagner nos clients à travers les différentes phases menant à la conformité CMMC.

Ainsi chez HeadMind Partners nous avons les ressources nécessaires pour travailler de manière efficace et pertinente, afin d’accompagner et d’aider nos clients à adopter la CMMC, pour leur permettre de conserver leurs activités ou bien d’acquérir de nouveaux marchés avec le DoD.

Ecrit par Léo Pichon, Gabriel Vaterkowski et Alexandre Poirmeur, avec l’aide d’Audrey Fournies et de Sarah Tedeschi.

Derniers articles

Catégories

Veuillez saisir votre adresse email pour vous abonner. Envoyer