CMMC 2.0 – Connaître l’évolution de la certification de la DoD en matière de cybersécurité
Par rapport à CMMC 1.0, la Certification du modèle de maturité de la cybersécurité (CMMC) 2.0 (Cybersecurity Maturity Model Certification) rationalise les exigences de cybersécurité du Département de la défense des États-Unis (DoD) en les ramenant à trois niveaux et en alignant les exigences de chaque niveau sur les normes de cybersécurité du NIST, bien connues et largement acceptées. Dans cet article, nous passerons en revue les bases du CMMC 2.0 et ce que nous savons jusqu’à présent sur la manière dont il impactera les contrats avec le DoD.
Les entreprises canadiennes qui travaillent dans les secteurs de la défense ou de la finance savent déjà que des méthodes rigoureuses de traitement des informations sensibles sont d’une importance capitale. Avec la mise à jour de la certification de cybersécurité qui sera bientôt exigée de tous les contractants du DoD, la façon dont vous protégez vos données déterminera si vous pouvez accéder aux opportunités lucratives du marché militaire américain.
Qu’est-ce que la Certification du modèle de maturité de cybersécurité (CMMC)?
La Certification du modèle de maturité en cybersécurité (CMMC) est un cadre conçu pour améliorer les méthodes de cybersécurité des entreprises travaillant avec le DoD. Il a été développé par le DoD pour faire face aux menaces croissantes posées par les cyberattaques et pour protéger les informations et les données sensibles associées aux contrats de défense.
La CMMC combine les nombreuses normes de cybersécurité actuelles – notamment celles du National Institute of Standards and Technology, de l’Organisation internationale de normalisation, de l’Aerospace Industries Association et d’autres – en une norme unique et unifiée pour la cybersécurité. Le DoD dispose ainsi d’un mécanisme plus simple pour évaluer et vérifier la compétence des contractants en matière de cybersécurité, notamment leur capacité à protéger les informations protégées stockées et transmises sur leurs réseaux.
Pour se conformer aux exigences de la CMMC, les organisations doivent se soumettre à des évaluations de leurs méthodes de cybersécurité et leur attribuer un niveau de maturité en s’appuyant sur leurs conclusions. Le niveau de maturité spécifique requis dépend de l’implication de l’organisation dans les contrats du DoD et de la sensibilité des informations qu’elle traite.
Conformément à la section 4.1901 du Federal Acquisition Regulation (FAR), les Federal Contract Information (FCI) sont définies comme des informations, non destinées à être rendues publiques, qui sont fournies par ou générées pour le gouvernement dans le cadre d’un contrat visant à développer ou à livrer un produit ou un service au gouvernement, à l’exclusion des informations fournies par le gouvernement au public (telles que celles figurant sur les sites web publics) ou des simples informations transactionnelles, telles que celles nécessaires au traitement des paiements.
Les informations non classifiées contrôlées (CUI) sont des informations que le gouvernement crée ou possède, ou qu’une entité crée ou possède pour le gouvernement ou en son nom, et qu’une loi, un règlement ou une politique gouvernementale exige ou autorise une agence à traiter en utilisant des contrôles de sauvegarde ou de diffusion. Le registre CUI fournit des informations sur les catégories et sous-catégories spécifiques de CUI et peut être consulté sur les sites web des Archives nationales et du DoD.
À propos de la CMMC 2.0
La Certification du modèle de maturité en cybersécurité (CMMC) 2.0 est la dernière version du cadre de cybersécurité du DoD. La CMMC 2.0 se concentre sur la protection et la sécurisation des informations des contrats fédéraux (FCI) et des informations non classifiées contrôlées (CUI). Il exige des organisations qu’elles adhèrent à un ensemble de processus et de procédures pour protéger leurs données contre les acteurs malveillants.
Le programme La CMMC 2.0 présente trois caractéristiques essentielles :
Modèle à plusieurs niveaux : La CMMC exige que les entreprises auxquelles sont confiées des informations relatives à la sécurité nationale mettent en œuvre des normes de cybersécurité à des niveaux progressivement plus avancés, en fonction du type et de la sensibilité des informations. Le programme prévoit également un processus pour exiger la protection des informations transmises aux sous-traitants.
Exigence en matière d’évaluation : Les évaluations de la CMMC permettent au DoD de vérifier la mise en œuvre de normes de cybersécurité claires.
Mise en œuvre par le biais de contrats : Une fois la CMMC pleinement mise en œuvre, certains contractants du DoD qui traitent des informations sensibles non classifiées du DoD seront tenus d’atteindre un niveau particulier de la CMMC comme condition d’attribution du contrat.
Dans les sections ci-dessous, nous fournissons plus d’informations sur ces caractéristiques.
CMMC 2.0 model
Avec la mise en œuvre de la CMMC 2.0, le DoD a l’intention de réduire le nombre de niveaux de 5 niveaux progressifs à 3 niveaux progressifs. Le DoD a publié, à titre d’information, le modèle CMMC 2.0 pour les niveaux 1 et 2, les guides d’évaluation qui leur sont associés et les orientations relatives (en anglais) au champ d’application. Les informations relatives au niveau 3 seront publiées dès qu’elles seront disponibles.
| CMMC 1.0 | CMMC 2.0 |
5 niveaux de plus en plus progressifs :
| 3 niveaux de plus en plus progressifs :
|
En raison de l’alignement de la CMMC sur les normes du NIST, les exigences du DoD continueront d’évoluer au fur et à mesure des changements apportés aux exigences sous-jacentes des normes NIST SP 800-171 et NIST SP 800-172.
CMMC 2.0 – Évaluations
La CMMC 2.0 met en œuvre des exigences d’évaluation de niveau s’appuyant sur la sensibilité des informations partagées avec un contractant. Contrairement à la CMMC 1.0, qui exigeait de tous les contractants du DoD qu’ils fassent l’objet d’une évaluation de la CMMC par une tierce partie, pour la mise en œuvre de la CMMC 2.0 :
- Les contractants qui ne traitent pas d’informations jugées critiques pour la sécurité nationale (niveau 1 et un sous-ensemble du niveau 2) seront tenus de procéder à des auto-évaluations annuelles par rapport à des normes de cybersécurité clairement formulées.
- Les contractants qui gèrent des informations critiques pour la sécurité nationale seront tenus de se soumettre à des évaluations de niveau 2 de la CMMC par une tierce partie.
- Les programmes de défense les plus prioritaires et les plus critiques (niveau 3) devront faire l’objet d’évaluations menées par le gouvernement.
| CMMC 1.0 | CMMC 2.0 |
Exigences de tous les contractants du DoD en matière d’évaluation de la conformité à la CMMC par une tierce partie |
|
Niveau 1. Fondamental – Auto-évaluation annuelle
Pour les exigences de niveau 1 de la CMMC 2.0 et les exigences de niveau 2 qui ne concernent pas des informations critiques pour la sécurité nationale, des auto-évaluations suffiront. Celles-ci seront exigées sur une base annuelle, accompagnées d’une déclaration annuelle d’un haut responsable de l’entreprise attestant que l’entreprise satisfait aux exigences.
Le DoD a l’intention d’exiger des entreprises qu’elles enregistrent les auto-évaluations et les affirmations dans le système de gestion des risques liés aux performances des fournisseurs (Supplier Performance Risk System – SPRS).
Niveau 2. Avancé – Évaluations par des tiers
Une fois que la CMMC 2.0 sera mise en œuvre, les contractants seront tenus d’obtenir une évaluation de niveau 2 de la CMMC par une tierce partie pour un sous-ensemble d’acquisitions qui impliquent des informations critiques pour la sécurité nationale.
L’organisme d’accréditation du CMMC (The Cyber AB) accréditera les organismes d’évaluation de tierces parties de la CMMC (C3PAO) et l’organisme de certification des évaluateurs et des instructeurs de la CMMC (CAICO). Les C3PAO accrédités seront répertoriés sur The Cyber AB Marketplace.
La Defense Industrial Base (DIB) company (y compris pour les entreprises canadiennes) sera entièrement responsable de l’obtention de l’évaluation et de la certification nécessaires, y compris de la coordination et de la planification de l’évaluation de la CMMC. Une fois l’évaluation de la CMMC terminée, le C3PAO téléchargera le rapport d’évaluation dans le système EMASS de la CMMC, auquel le DoD pourra accéder.
Niveau 3. Expert – Évaluations menées par le gouvernement
Ce niveau de conformité est requis pour tous les contractants qui traitent des informations non classifiées contrôlées utilisées dans les programmes les plus prioritaires du DoD. La plupart des leaders de l’industrie de la défense doivent satisfaire aux exigences de ce niveau.
Étant donné que ce niveau exige la sécurité la plus stricte, les évaluations ne sont nécessaires que tous les trois ans et le Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) doit être impliqué dans ce processus.
CMMC 2.0 – Mise en œuvre
Une fois la CMMC 2.0 mise en œuvre, le niveau de CMMC requis pour les contractants et les sous-traitants sera spécifié dans l’appel d’offres et dans les demandes d’information (RFI). Le DoD prévoit de permettre aux entreprises de recevoir des contrats avec un plan pour répondre aux exigences de la CMMC. Toutefois, il se peut que le DoD ne permette pas que certaines exigences CMMC soient remplies après l’attribution du contrat.
| CMMC 1.0 | CMMC 2.0 |
Pas d’allocation pour le plan d’actions et d’étapes (POA&M) pour répondre aux exigences de la CMMC |
|
Dans le cadre de la CMMC 2.0, le DoD a l’intention d’autoriser une procédure de dérogation limitée afin d’exclure les exigences de la CMMC des acquisitions pour certaines exigences essentielles à une mission. Les exigences du DoD à l’égard des gestionnaires de programme souhaitant obtenir une dérogation à la CMMC devront être approuvées par les hauts dirigeants du DoD et la durée de la dérogation sera limitée.
| CMMC 1.0 | CMMC 2.0 |
Il n’y a pas de dérogation possible. |
|
Se préparer pour la CMMC 2.0
En juin 2023, aucune annonce officielle n’a été faite quant au moment où l’industrie devra se conformer aux exigences de la CMMC 2.0.
Étant donné que tous les fournisseurs du DoD devront être certifiés au niveau approprié de la CMMC pour continuer à faire des affaires avec le DoD, les experts de l’industrie conseillent aux organisations de démarrer tôt. Rhia Dancel, praticienne agréée pour la CMMC, et Tony Giles, évaluateur provisoire de la CMMC auprès de NSF International Strategic Registrations (NSF-ISR) ont formulé les recommandations suivantes dans un article récent publié sur nsf.org (en anglais).
- Mettre en œuvre et évaluez les processus de sécurité de l’information – Élaborez un plan de sécurité des systèmes et procéder à une auto-évaluation selon les normes NIST 800-171.
- Améliorez les processus et soumettez votre note – En vous appuyant sur les résultats de votre auto-évaluation, créez un plan d’actions et d’étapes avec des dates cibles afin d’obtenir une note maximale de 110. Soumettez ensuite votre note au système de gestion des risques liés aux performances des fournisseurs (Supplier Performance Risk System – SPRS) du DoD.
- Identifiez votre champ d’application – Décidez du niveau qu’il vous est nécessaire d’atteindre pour votre entreprise, votre unité d’organisation ou votre enclave de programme. Notez que le Cyber-AB, l’organisme d’accréditation autorisé à superviser toutes les évaluations et formations de la CMMC, n’a publié jusqu’à présent que le guide d’évaluation des niveaux 1-2 de la CMMC 2.0.
- Obtenez une évaluation préliminaire des lacunes – Envisagez d’obtenir une évaluation préliminaire des lacunes auprès d’un organisme d’évaluation tiers accrédité afin d’identifier les lacunes dans votre processus de sécurité de l’information.
- Remédiez aux conclusions de l’évaluation des lacunes – Corrigez les lacunes identifiées en matière de sécurité de l’information et mettez en œuvre ces changements au sein de votre organisation.
- Choisissez un C3PAO – Utilisez The Cyber AB Marketplace pour identifier un C3PAO et planifier votre évaluation CMMC.
- Effectuez l’évaluation de la CMMC – Effectuez l’évaluation de la CMMC avec le C3PAO que vous avez choisi.
- Obtenez la certification – Cyber-AB examine l’évaluation soumise par le C3PAO et prend une décision finale sur la certification de votre organisation. En cas d’approbation, votre organisation reçoit une certification CMMC de trois ans.
La CMMC pour les Canadiens
Pour les exportateurs canadiens, l’enjeu est simple : si vous obtenez un niveau de certification plus élevé en matière de cybersécurité, vous aurez accès à un plus grand nombre d’opportunités du DoD. Plus important encore, si vous n’obtenez pas de certification, vous ne pourrez pas soumissionner pour des contrats du DoD.
De nombreux contractants n’auront probablement rien à faire de nouveau par rapport à ce qu’ils font actuellement en termes de cybersécurité, surtout s’ils n’ont besoin que de satisfaire aux deux premiers niveaux de certification de la CMMC 1.0.
Pour la plupart des entreprises canadiennes, le cadre de la CMMC est un mécanisme plus formel de reconnaissance des meilleures méthodes qu’elles ont déjà mises en place. C’est peut-être aussi le début d’une approche plus large de la cybersécurité pour tous les contrats passés avec le gouvernement américain.
Ce billet a été mis à jour le 20 juin 2023.
Cet article vous guidera à travers tout ce que vous devez savoir sur les acquisitions du ministère de la défense.
Découvrez comment les entreprises canadiennes bénéficient d’une relation unique avec le marché du DoD américain qui leur permet de rivaliser sur un pied d’égalité avec les entreprises américaines.
Laissez-nous vous aider à explorer les moyens par lesquels le gouvernement du Canada peut vous aider à remporter davantage de marchés internationaux.
