Contribution de Gilad David Maayan
La certification du modèle de maturité de la cybersécurité (CMMC) est une norme unifiée de cybersécurité conçue pour garantir que les entreprises du secteur de la base industrielle de défense (BID) protègent de manière adéquate les informations et les données sensibles. Elle a été élaborée par le ministère américain de la Défense (DoD) en collaboration avec d’autres organisations gouvernementales, des partenaires industriels et le monde universitaire.
Le CMMC est conçu pour évaluer et améliorer la posture de cybersécurité des entrepreneurs de la défense en fournissant un cadre clair et normalisé pour évaluer leur capacité à protéger les informations sensibles.
Le processus de certification implique une évaluation par un tiers des pratiques de sécurité d’une entreprise, qui se voient ensuite attribuer un niveau de maturité allant de 1 (basique) à 5 (avancé).
En obtenant la certification CMMC, les entreprises peuvent non seulement démontrer leur engagement en matière de cybersécurité, mais aussi obtenir un avantage concurrentiel sur le marché des contrats de défense.
La nécessité d’un cadre de cybersécurité normalisé
Avant l’introduction du CMMC, les entrepreneurs du secteur de la défense étaient tenus d’autocertifier leur conformité avec les normes suivantes exigences en matière de sécurité de l’information. décrites dans le Defense Federal Acquisition Regulation Supplement (DFARS). Cependant, ce processus d’auto-certification s’est avéré insuffisant, car il a entraîné des incohérences et des lacunes dans les pratiques de sécurité dans l’ensemble du secteur.
La nécessité d’un cadre de cybersécurité plus rigoureux et normalisé est devenue évidente à mesure que les cybermenaces continuaient d’évoluer et de se sophistiquer. Le CMMC a été élaboré pour répondre à ce besoin en fournissant un ensemble clair et cohérent d’exigences que les entrepreneurs de la défense doivent respecter pour démontrer leur engagement à protéger les informations sensibles.
En adoptant le cadre du CMMC, le DoD vise à créer une chaîne d’approvisionnement plus sûre, à réduire le risque de cyberattaques et de violations de données et, en fin de compte, à protéger la sécurité nationale.
Les cinq niveaux du CMMC
Le cadre du CMMC comprend cinq niveaux de maturité distincts, chacun ayant son propre ensemble d’exigences et de pratiques. Ces niveaux sont conçus pour fournir une progression claire que les organisations peuvent suivre lorsqu’elles s’efforcent d’améliorer leur position en matière de cybersécurité et de mettre en place un système efficace de gestion de la sécurité. centre d’opérations de sécurité.
Niveau 1 : Hygiène cybernétique de base : Au niveau 1, les organisations doivent faire preuve de pratiques de cyberhygiène de base, telles que la protection des informations contractuelles fédérales (FCI) et la mise en œuvre de contrôles de sécurité de base. Ce niveau comprend un total de 17 pratiques, qui s’alignent sur les exigences énoncées dans le règlement d’acquisition fédéral (FAR).
L’obtention de la certification de niveau 1 est le point de départ pour de nombreuses organisations, car elle représente la norme minimale pour participer à la base industrielle de défense. Elle convient aux entreprises dont les besoins en matière de cybersécurité sont limités et à celles qui ne traitent pas d’informations sensibles.
Niveau 2 : Hygiène cybernétique intermédiaire : La certification de niveau 2 s’appuie sur les pratiques de base en matière de cyberhygiène établies au niveau 1, en introduisant des exigences et des contrôles supplémentaires pour protéger les informations non classifiées contrôlées (CUI). Ce niveau comprend un total de 72 pratiques, qui s’alignent sur les exigences énoncées dans la publication spéciale 800-171 du National Institute of Standards and Technology (NIST).
Les organisations qui cherchent à obtenir une certification de niveau 2 sont généralement impliquées dans le traitement des CUI et doivent faire preuve d’une posture de cybersécurité plus solide pour protéger ces informations sensibles.
Niveau 3 : bonne cyber-hygiène : Au niveau 3, les organisations doivent faire preuve de bonnes pratiques de cyber-hygiène et de la capacité à protéger efficacement les CUI. Ce niveau comprend un total de 130 pratiques, qui englobent toutes les exigences énoncées dans la norme NIST SP 800-171 ainsi que des pratiques supplémentaires provenant d’autres sources.
L’obtention de la certification de niveau 3 est une étape importante pour les organisations, car elle témoigne d’un engagement fort en faveur de la cybersécurité et de la capacité à protéger efficacement les informations sensibles.
Niveau 4 : proactif : La certification de niveau 4 est conçue pour les organisations ayant des besoins avancés en matière de cybersécurité et exige une approche proactive de l’identification et de l’atténuation des menaces. Ce niveau comprend un total de 156 pratiques, qui se concentrent sur les capacités avancées de détection et de réponse aux menaces.
Les organisations qui souhaitent obtenir la certification de niveau 4 doivent démontrer leur capacité à s’adapter à l’évolution des menaces et à protéger les informations sensibles contre des cyberadversaires sophistiqués.
Niveau 5 : avancé / progressif : Au niveau le plus élevé de la certification CMMC, les organisations doivent démontrer des pratiques de cybersécurité avancées et la capacité de protéger les informations sensibles contre des menaces très sophistiquées. La certification de niveau 5 comprend un total de 171 pratiques, qui se concentrent sur les capacités avancées de chasse aux menaces et de réponse.
L’obtention de la certification de niveau 5 est une réussite importante, car elle représente le summum de la maturité en matière de cybersécurité et la capacité à protéger les informations sensibles contre les cyberadversaires les plus avancés.
Comment les organisations obtiennent-elles la certification du CMMC ?
La première étape pour obtenir la certification CMMC consiste à effectuer une auto-évaluation des pratiques actuelles de ton organisation en matière de cybersécurité. Cela t’aidera à identifier les lacunes et les domaines à améliorer, ce qui te permettra d’élaborer une feuille de route pour atteindre le niveau de maturité souhaité.
Ensuite, tu devras mettre en œuvre les pratiques et les contrôles nécessaires pour répondre aux exigences du niveau de CMMC que tu vises. Cela peut impliquer d’apporter des changements aux politiques, aux procédures et à l’infrastructure technologique de ton organisation.
Une fois que tu auras mis en œuvre les pratiques requises, tu devras faire appel à un organisme d’évaluation tierce partie du CMMC (C3PAO) pour réaliser une évaluation indépendante de tes pratiques en matière de cybersécurité. Le C3PAO évaluera ton organisation par rapport au cadre du CMMC et déterminera si tu réponds aux exigences de la certification.
Si ton organisation est jugée conforme aux exigences du CMMC, tu recevras le niveau de certification approprié. Cette certification sera valable pendant trois ans, après quoi tu devras te soumettre à une réévaluation pour conserver ton statut de certification.
En conclusion, l’obtention de la certification du modèle de maturité de la cybersécurité est une étape importante pour démontrer l’engagement de ton organisation en matière de cybersécurité et de protection des informations sensibles. En comprenant le cadre du CMMC et en travaillant à l’obtention de la certification, tu peux obtenir un avantage concurrentiel sur le marché des contrats de défense et contribuer à la sauvegarde de la sécurité nationale.
Gilad David Maayan est un rédacteur spécialisé dans les technologies qui a travaillé avec plus de 150 entreprises technologiques, notamment SAP, Imperva, Samsung NEXT, NetApp et Check Point, produisant du contenu technique et de leadership éclairé qui élucide les solutions techniques pour les développeurs et les responsables informatiques. Il dirige aujourd’hui Agile SEO, la principale agence de marketing dans l’industrie technologique.
Image : Freepik
Tu pourrais aussi lire ce qui suit :
Neuf types de solutions modernes de sécurité réseau:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S’inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
