2 stratégies pour réduire vos coûts de mise en conformité CMMC
Lorsque vous démarrez votre projet de certification CMMC, il est très important d’identifier clairement la portée du projet, les systèmes et utilisateurs inclus et ceux qui doivent être hors portée. Si vous ne le faites pas, tout votre parc informatique et tous vos utilisateurs seront inclus dans la portée CMMC, ce qui va fortement augmenter vos coûts.
Voici deux (2) stratégies pour réduire vos coûts de mise en conformité CMMC.
Stratégie 1 : Mettre en place une enclave CMMC
Une fois que vous avez défini la portée de votre projet CMMC (les systèmes et utilisateurs inclus, les flows de CUI, les outils de sécurité mis en place pour protéger vos CUI, etc.), vous avez la possibilité d'isoler cet environnement du reste de votre réseau. L’isolation peut se faire de manière physique ou virtuelle.
Au final, vous créez une bulle (aussi appelée enclave CMMC) dont l’accès est limitée uniquement aux systèmes et utilisateurs ayant un besoin d’accès aux CUI. Aucun utilisateur et aucun système hors de l’enclave ne peut accéder aux CUI.
Il existe plusieurs manière de mettre en place une enclave CMMC, dont:
- Mise en place d’une enclave interne
- S’abonner chez un fournisseur d’enclave CMMC
- Etc.
Lors de votre audit de certification CMMC, l’auditeur verifiera uniquement cette enclave CMMC.
Stratégie 2 : Évaluer la possibilité d’avoir différentes certifications CMMC dans la même organisation
Dans une même organisation, il se peut que certaines lignes d’affaires utilisent uniquement des données de type FCI (Federal Contract Information) et d’autres les CUI (Controlled Unclassified Information).
- Si vous utilisez uniquement des FCI, vous devez vous conformer à CMMC niveau 1.
- Si vous utilisez des CUI, vous devez vous conformer à CMMC niveau 2 (ou 3)
Par défaut, dès qu’une équipe utilise des CUI, l’organisation doit se conformer au moins à CMMC niveau 2.
Il peut être pertinent de se demander s’il n’est pas plus économique pour votre organisation d’envisager l’obtention de la certification CMMC niveau 1 pour les lignes d’affaires qui utilisent uniquement des FCI, et une certification CMMC niveau 2 pour celles qui utilisent les CUI.
En effet, il y a peu de contrôles à mettre en place pour le CMMC niveau 1 (17 contrôles), contrairement au CMMC niveau 2 qui a 110 contrôles de sécurité!
Vous pourrez vous retrouver avec une portée CMMC niveau 2 plus réduite, ce qui a un impact direct sur les coûts de mise en conformité et de certification CMMC.
Vous devez donc évaluer cette option lorsque vous démarrez votre projet CMMC. On ne sait jamais, elle pourrait vous permettre de réaliser de belles économies.
Pour en savoir plus sur les FCI vs CUI, veuillez consulter cet article.
Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC
StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.
Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC.
Pour plus de détails sur notre service d'accompagnement CMMC, visitez ce lien
Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.