Qu’est-ce que la CMMC ?

CMMC. Ou Certification du Modèle de Maturité de la Cybersécurité. Qu’est-ce qu’un modèle de maturité nous direz-vous ? Il s’agit tout simplement d’un modèle de référence évaluant le niveau de transition d’une entreprise au numérique. Ici, le CMMC va donc évaluer le niveau de transition des entreprises face à un élément des plus importants ces dernières années : la cybersécurité.

 

Définition, détails et influence du CMMC sur la lutte contre les cyberattaques, nos réponses dans la suite de cet article.

 

1. Définition de la CMMC

 

La Certification du Modèle de Maturité de la Cybersécurité est une norme mondiale mise en place par le ministère américain de la défense (le DoD) qui s’applique aux entreprises et sous-traitants disposant d’un contrat avec le DoD. Il s’agit d’une norme unifiée et d’un nouveau modèle de certification visant à garantir que les entreprises du DoD protègent correctement les informations et données sensibles.

La CMMC veille à ce qu’elles sécurisent ces informations de la même manière que les départements militaires et les agences gouvernementales.

 

La CMMC est entrée en vigueur en décembre 2020. La mise en application complète est quant à elle prévue pour octobre 2025.

 

2. Comment fonctionne la CMMC ?

 

La CMMC comprend un système de notation à cinq niveaux.

 

Le niveau 1 correspond à une “cyber-hygiène” et des pratiques de cybersécurité basiques telles que la sauvegarde des données ou l’utilisation de l’authentification à double ou plusieurs facteurs par exemple.

 

Le niveau 2 exige de fournir une documentation des pratiques et politiques de cybersécurité pour guider la mise en œuvre des efforts en matière de CMMC. La documentation va permettre de reproduire les pratiques correctement. De même, ce niveau exige des pratiques supplémentaires en matière de cybersécurité pour se protéger de cyberattaques plus dangereuses.

 

Le niveau 3 exige d’établir un plan de gestion des activités et de mise en œuvre des pratiques. Ce plan peut contenir par exemple les missions, objectifs, ressources mais aussi les formations requises pour l’ensemble de l’entreprise. En matière de cybersécurité, le niveau 3 comprend les exigences de précédents niveaux ainsi que l’obligation de signaler les incidents. Ce niveau se concentre également sur la protection des données contrôlées mais non classifiées.

 

Le niveau 4 exige d’une entreprise ou organisation de mesurer l’efficacité de ses pratiques. A ce niveau, les entreprises peuvent prendre des mesures correctives si nécessaire. En matière de cybersécurité, la surveillance doit être proactive et les exigences de sécurité sont renforcées. Ces exigences permettent aux entreprises de réagir à l’évolution des techniques, tactiques et procédures utilisées par ce qu’on appelle, les menaces persistantes avancées (APT).

 

Enfin, le niveau 5 exige d’une organisation qu’elle normalise et optimise la mise en œuvre des processus dans l’ensemble de l’organisation.
En matière de cybersécurité, le niveau 5 met l’accent sur la protection des informations contrôlées non classifiées (CUI) contre les menaces persistantes avancées (APT). Les contrôles, pratiques et processus supplémentaires permettent d’obtenir une posture de cybersécurité plus approfondie et plus sophistiquée.

 

La CMMC et les MSP

 

Il est important pour les fournisseurs de services gérés d’être en conformité avec la CMMC. En effet, de plus en plus d’entreprises, organisations ou sous-traitants, sont amenés à contracter avec le ministère américain de la Défense. Il est donc important d’être à jour et au fait des nouvelles règles et dernières exigences.

Les MSP ont pour responsabilité de faire entrer leurs clients en conformité avec l’ensemble des règles en vigueur et tout particulièrement en matière de cybersécurité.

 

En général, les entreprises font appel à des MSP car ils ont besoin de partenaires et d’experts qui peuvent soutenir leurs objectifs stratégiques.

 

Les MSP quant à eux se retrouvent à essayer de comprendre quel niveau de certification est nécessaire pour que leurs clients puissent leur faire confiance.
La première étape pour déterminer si un MSP doit être conforme à la CMMC réside dans les données clients qu’il collecte, transmet, traite ou stocke. Si un MSP doit gérer des données contrôlées, il doit être au niveau CMMC approprié.

 

Pour les MSP qui souhaitent conserver ou élargir leur clientèle, la CMMC peut être utilisée comme un facteur concurrentiel. Non seulement les MSP sont en mesure de prouver leur propre maturité en matière de cybersécurité, mais comprennent également le processus de certification.

 

Il y a plusieurs mesures que les MSP peuvent prendre :

 

  • Comprendre les exigences du CMMC en matière de documentation, d’attestation et d’audit et savoir comment leurs services répondent à ces exigences.
  • Présenter ces avantages aux clients
  • Aider les clients à mettre en place les bons contrôles pour répondre aux exigences de documentation, d’attestation et d’audit du CMMC.

 

La  » conformité en tant que service  » (CaaS) n’est pas une nouveauté pour les MSP. Dans cette optique, les MSP devraient commencer à comprendre comment les technologies qu’ils utilisent avec leurs clients les aident à conserver et à développer leur clientèle.