Le référentiel CMMC
Les risques de cybersécurité liés à la sous-traitance font l’objet à juste titre d’une attention accrue. En Europe, DORApour les institutions financières et NIS 2 pour les entités importantes et essentielles fixent un cadre légal qui prend ce risque très au sérieux. La norme ISO 27036 propose des bonnes pratiques de SCRM. Le département de la défense américain fait appel à de nombreux sous-traitants. CMMC (Cybersecurity Maturity Model Certification) est un programme fédéral pour renforcer le niveau de cybersécurité de la chaîne de sous-traitance pour protéger les informations de défense non classifiées. La chaîne de sous-traitance comprend plus de 220 000 entreprises qui contribuent à la recherche, à l'ingénierie, au développement, à l'acquisition, à la production, à la livraison, au soutien et aux opérations des systèmes, réseaux, installations, capacités et services de la défense américaine.
Aperçu
Le programme CMMC présente trois caractéristiques essentielles :
- Un modèle à trois niveaux. Le CMMC exige que les entreprises auxquelles sont confiées des informations relatives à la sécurité nationale mettent en œuvre des mesures de cybersécurité à des niveaux progressivement plus élevés, en fonction du type et de la sensibilité des informations. Le programme prévoit également un processus pour exiger la protection des informations transmises aux sous-traitants. Le niveau à atteindre est indiqué dans le cahier des charges.
- Exigences d'évaluationpour que le département de la défense américain puisse vérifier la mise en œuvre de ces mesures.
- Contrats. Certains sous-traitants sont tenus d'atteindre un niveau CMMC comme condition d'attribution du contrat.
Le CMCC couvre deux catégories d’informations :
- Les informations relatives aux contrats non destinées à être rendues publiques.
- Les informations non classifiées mais néanmoins sensibles.
Source : dodcio.defense.gov
Standards
Le niveau 1 est axé sur la protection des informations relatives aux contrats et comprend 15 exigences de base spécifiées dans les clauses FAR (Code of Federal Regulations 52.204-21, Basic Safeguarding of Covered Contractor Information Systems, Federal Acquisition Regulation)
Le niveau 2 se focalise sur la protection des informations sensibles non classifiées avec l’application des 110 exigences issues du NIST 800-171.
Le niveau 3 englobe un sous-ensemble des exigences de sécurité du NIST SP 800-172 avec des paramètres approuvés par le département de la défense.
Domaines
CMMC se compose de 14 domaines alignés sur les familles du NIST SP 800 171 :
- Contrôle d’accès.
- Sensibilisation et formation.
- Audit.
- Gestion des configurations.
- Identification et authentification.
- Réponse aux incidents.
- Maintenance.
- Protection des supports.
- Sûreté.
- Sécurité physique.
- Évaluation des risques.
- Tests.
- Protection des systèmes et des communications.
- Intégrité des systèmes et des informations.