Conformité avec le CMMC : Ce qu'il faut savoir

La certification du modèle de maturité de la cybersécurité (CMMC) devient rapidement un terme familier dans la communauté des technologies de l'information et de la sécurité. Pourquoi ? La nouvelle norme de sécurité concerne plus de 300 000 entreprises dans le monde.

Dans ce blog, nous verrons de quoi il s'agit, qui a besoin de la certification CMMC et pourquoi elle est importante pour l'état général de la sécurité dans les chaînes d'approvisionnement complexes qui soutiennent le ministère américain de la défense (DoD) et la sécurité nationale.

Le CMMC est une procédure de certification développée par le DoD pour certifier que ses contractants disposent de contrôles adéquats pour protéger les données sensibles, y compris les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI), contre toute divulgation non autorisée. Le modèle CMMC s'appuie sur les meilleures pratiques issues de diverses normes de cybersécurité, notamment NIST SP 800-171, NIST SP 800-53 et ISO 27001, et les harmonise.

Auparavant, les pouvoirs adjudicateurs et les maîtres d'œuvre étaient responsables de la mise en œuvre et de la certification de la sécurité de leurs propres systèmes d'information. Les contractants restent responsables de la mise en œuvre des contrôles de sécurité, mais le CMMC exige désormais des évaluations par des tiers pour garantir la conformité avec les pratiques et procédures obligatoires.

Le CMMC a été créé en réponse au nombre croissant de cybermenaces visant les sous-traitants du ministère de la défense. La mission et les opérations du DoD dépendent largement de chaînes d'approvisionnement étendues et complexes. Les lacunes dans les politiques et les pratiques de cybersécurité mises en œuvre par ce vaste réseau de fournisseurs du DoD constituent un risque cybernétique considérable.

La base industrielle de défense (BID) compte plus de 300 000 entrepreneurs, fabricants et même petites entreprises. Il s'agit à la fois de contractants "principaux" qui collaborent directement avec le ministère de la défense et de sous-traitants qui peuvent exécuter des travaux pour le compte de contractants principaux.

Le DoD a commencé à intégrer les exigences du CMMC dans certains appels d'offres et demandes de renseignements à partir du 30 novembre 2020. D'ici l'année fiscale 2026, tous les contrats attribués par le DoD nécessiteront au moins un certain niveau de certification CMMC.

Le cadre CMMC évalue la maturité de la cybersécurité selon cinq niveaux de maturité. Chaque niveau du CMMC consiste en un ensemble de processus et de pratiques qui sont mis en correspondance avec le type, la sensibilité et les risques des informations qui doivent être protégées. Les processus sont organisés en domaines, tandis que les pratiques sont alignées sur un ensemble de capacités par domaine.

Le cadre du CMMC comporte 17 domaines allant du contrôle d'accès à l'intégrité des systèmes et des informations. Chaque domaine représente un groupe de pratiques de sécurité qui doivent être respectées par l'organisation. Les entreprises sont certifiées sur la base de cinq niveaux de conformité dans l'ensemble de ces domaines de sécurité.

Le violet clair représente les domaines où PKI et les identités des machines jouent un rôle important.

Le modèle du CMMC comporte 171 pratiques qui couvrent les 17 domaines. Ces pratiques sont associées à cinq niveaux de maturité. Des pratiques plus avancées sont nécessaires pour atteindre des niveaux de maturité plus élevés.

Chaque niveau de maturité comprend des processus, et le fournisseur doit démontrer la maturité des processus en intégrant les activités dans les opérations de l'organisation. L'hygiène cybernétique de base commence au niveau 1 et chaque niveau exige la conformité avec des pratiques, des procédures et des capacités supplémentaires jusqu'à l'hygiène cybernétique avancée au niveau 5.

Garantir la confidentialité et l'intégrité des informations non classifiées contrôlées (CUI) est un élément clé de la conformité au CMMC. Une fois que les sous-traitants du ministère de la défense ont identifié et classifié leurs données, ils doivent les protéger par cryptographie, tant au repos qu'en transit.

• La pratique SC.3.185 exige la mise en œuvre de mécanismes cryptographiques pour empêcher la divulgation non autorisée de CUI pendant la transmission.
• La pratique SC.3.191 demande aux sous-traitants du ministère de la défense de protéger la confidentialité des CUI au repos.

Outre la protection de la confidentialité et de l'intégrité des CUI, il est également essentiel de protéger l'authenticité des communications.

• La pratique SC.3.190 détermine que l'authenticité des communications doit être protégée contre les attaques de l'homme du milieu, le détournement de session et l'insertion de fausses informations. Cette exigence établit la confiance aux deux extrémités des sessions de communication quant à l'identité des parties et à la validité des informations transmises.

Toutefois, ces contrôles ne seront pas suffisants s'ils ne sont pas complétés par un mécanisme efficace de gestion du cycle de vie des identités des machines, comme les clés cryptographiques et les certificats numériques.

• La pratique SC.3.187 exige que les contractants du DoD gèrent les clés cryptographiques utilisées pour sécuriser les CUI et authentifier les communications.

Selon le CMMC, les organisations doivent "développer des processus et des mécanismes techniques pour protéger la confidentialité, l'authenticité et l'utilisation autorisée des clés cryptographiques conformément aux normes et réglementations du secteur".

En d'autres termes, les entreprises de défense et les entreprises de la chaîne d'approvisionnement de la défense doivent mettre en place une infrastructure à clé publique robuste (PKI) afin d'émettre des clés et des certificats fiables, à jour et conformes aux normes établies. 

En outre, elles doivent s'assurer qu'elles disposent d'un inventaire complet de tous les actifs cryptographiques, appliquer des politiques normalisées concernant leur utilisation et automatiser le cycle de vie des clés et des certificats afin d'éviter la perte, la compromission ou l'utilisation abusive.

Nous n'avons abordé ici que quelques-unes des pratiques les plus importantes de PKI et de gestion de l'identité des machines dans le cadre du modèle CMMC. Cependant, il ne suffit pas de quelques pratiques pour protéger chaque identité de machine dans la chaîne d'approvisionnement de la défense.

Compte tenu des chaînes d'approvisionnement vastes et complexes qui soutiennent la mission et les opérations du DoD, il est essentiel d'assurer une bonne sécurité. Il suffit de réfléchir à l'impact des attaques de SolarWinds pour comprendre pourquoi les entrepreneurs du DoD ont besoin d'une stratégie solide pour gérer l'identité de chaque machine - y compris SSL/TLS, SSH et les certificats de signature de code.

De plus en plus de machines, telles que les conteneurs, les charges de travail dans le nuage, IoT, et les appareils mobiles, sont introduites dans la chaîne d'approvisionnement, ce qui augmente le risque de compromission de l'identité des machines. Se conformer aux exigences du CMMC est un début, mais il faut plus que des cases à cocher pour s'assurer que votre organisation est protégée contre les pannes coûteuses et les risques de sécurité.

Vous souhaitez en savoir plus sur la manière dont vous pouvez contrôler les identités des machines et garantir la conformité avec les exigences de sécurité du CMMC ? Demandez une démonstration dès aujourd'hui.