Mise en conformité CMMC dans le domaine manufacturier : ce que vous devez savoir
Mise en conformité CMMC (Cybersecurity Maturity Model Certification) dans le domaine manufacturier: ce que vous devez savoir
Une nouvelle certification de sécurité est en préparation par le Ministère de la Défense des États-Unis (Departement of Defense, DoD). Cette certification appelée CMMC (Cybersecurity Maturity Model Certification) rentrera en vigueur aux alentours de septembre 2020 et s’appliquera à tous les contractants et fournisseurs qui font affaire par DoD, qu’ils soient aux USA, au Canada ou partout ailleurs.
L’entrée en vigueur de la certification CMMC va avoir plusieurs implications. Désormais toutes les compagnies qui ont des contrats en cours ou qui souhaitent avoir des contrats avec DoD devront détenir la certification CMMC, qui devient de facto un critère éliminatoire pour les appels d’offres de DoD.
Quel est l’objectif de la certification CMMC?
La certification CMMC a été conçue pour permettre au DoD de s’assurer que ses contractants prennent des mesures de cybersécurité raisonnables et adéquates pour protéger les informations qui leur sont confiées dans le cadre de leur relation d’affaires. Ce sont :
Les Informations sur les contrats fédéraux (FCI)
Informations non classifiées contrôlées (CUI)
Quels sont les impacts immédiats?
À partir de juin 2020 DoD inclura graduellement les exigences du CMMC dans ses demandes d’informations et ses appels d’offres, ce qui va éliminer de facto les manufacturiers et contractants qui n’ont pas pris les mesures nécessaires pour se préparer à la certification CMMC.
Quel est le périmètre couvert par la certification CMMC?
Votre mise en conformité CMMC doit couvrir minimalement la portion de votre réseau qui collecte, traite, stocke ou transmet les informations sur les contrats fédéraux (FCI) et les informations non classifiées contrôlées (CUI)
Une compagnie peut-elle être exemptée si elle est conforme aux exigences du Ministère de la Défense du Canada?
Non. DoD a ses propres règles et vous devez vous conformer au CMMC pour être éligible aux contrats de DoD.
Quelles sont les prochaines étapes?
Si vous êtes contractant de DoD ou si vous souhaitez faire affaire avec DoD, il est impératif que vous enclenchiez rapidement le processus de mise en conformité CMMC.
CMMC comporte 171 pratiques provenant de 17 domaines de la cybersécurité. Ces pratiques sont découpées en 5 niveaux de certification auxquels sont associés des niveaux de maturité de processus.
Niveau 1 / De base (17 pratiques respectées) : Les pratiques sélectionnées sont documentées lorsque requis;
Niveau 2 / Intermédiaire (72 pratiques respectées) : toutes les pratiques concernées sont documentées;
Niveau 3 / Bon (130 pratiques respectées) : les pratiques concernées sont documentées, réutilisables et maintenues;
Niveau 4 / Proactif (156 pratiques respectées) : les pratiques concernées sont documentées, réutilisables et maintenues. Les activités sont révisées et mesurées.
Niveau 5 / Avancé / Progressif (171 pratiques respectées) : les pratiques concernées sont documentées, réutilisables et maintenues. Les activités sont révisées et mesurées. La méthode devient un standard qui est utilisé par toutes les divisions de l’entreprise.
Les 17 domaines couverts par CMMC sont les suivants :
Le contrôle d’accès
La gestion des actifs informationnels
L’audit et l’imputabilité
La sensibilisation et la formation des utilisateurs
La gestion de la configuration des systèmes
L’identification et l’authentification des utilisateurs
La réponse aux incidents de cybersécurité
La maintenance des systèmes
La protection des médias et supports de stockage d’information
La sécurité du personnel
La sécurité physique
Le recouvrement et les sauvegardes
La gestion des risques
L’évaluation de la sécurité
La connaissance de la situation (sécurité opérationnelle, surveillance de la sécurité et chasse aux cybermenaces)
La protection des systèmes et des communications
L’intégrité des systèmes et des informations
Y’a-t-il un lien entre CMMC et NIST 800-171?
Oui. Le Niveau 2 à 5 de CMMC inclut des exigences du NIST 800-171 ainsi que des requis additionnels. Si vous êtes déjà conforme au NIST 800-171, vous êtes bien partis pour la mise en conformité CMMC.
Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC?
StreamScan est spécialisé en cybersécurité dans le domaine manufacturier et travaille déjà avec des clients dans le domaine de la Défense/militaire. Nous avons l’habitude de travailler avec des standards de cybersécurité élevés tels que NIST 800-171, CIS, NIST 800-53, etc.
Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC.
La première étape de notre intervention consiste à faire une analyse d’écarts afin d’identifier notre niveau de conformité actuelle. Ceci permet de ressortir vos forces et faiblesses actuelles ainsi que les pratiques à mettre en place pour vous conformer à CMMC. Avec notre support, vous pourrez ensuite apporter les corrections nécessaires pour vous conformer à CMMC.
Contactez-nous si vous souhaitez discuter de votre mise en conformité CMMC.