Il existe en informatique de nombreuses normes auxquelles les entreprises doivent se conformer, telles que la Cybersecurity Maturity Model Certification (Certification du modèle de maturité de la cybersécurité, abrégé le plus souvent en CMMC). Cet article est là pour vous expliquer ce qu’est la CMMC, son importance, ses différents niveaux et si oui ou non toutes les entreprises en ont besoin.
Définition générale
La certification du modèle de maturité de la cybersécurité, mieux connue sous le nom de CMMC, est une norme unifiée implémentée par le ministère américain de la Défense pour améliorer la posture de la base industrielle de défense aux États-Unis en matière de cybersécurité. Elle se compose d’un ensemble de pratiques et de processus de cybersécurité destinés à protéger les données sensibles, en particulier les Federal Contract Information (informations contractuelles fédérales, abrégé en FCI) et les Controlled Unclassified Information (informations non classifiées contrôlées, abrégé en CUI) circulant au sein de la DIB.
Sa première itération, la CMMC 1.0, est sortie le 31 janvier 2020. Cette dernière comportait cinq niveaux de maturité différents, allant de la cyberhygiène de base aux pratiques avancées ou progressives.
Toutefois, après avoir mené un examen en interne en réponses aux nombreux retours négatifs de l’industrie concernant la complexité et le coût de la version 1.0, le ministère de la Défense a décidé sortir un nouveau cadre, la CMMC 2.0.
Publiée en octobre 2024, elle est la version simplifiée de la version 1.0, ne comportant par exemple que trois niveaux de contrôle, contre cinq niveaux de maturité dans la version 1.0.
Niveaux de la CMMC 2.0 : aperçu rapide
Les cinq niveaux de maturité de la version 1.0 ont été ramenés à trois dans le cadre 2.0.
Niveau 1 : Foundational (les bases)
Ce niveau se concentre sur les mesures de cybersécurité de base et est une exigence pour les entreprises travaillant avec des Federal Contract Information (FCI). Il comprend les 15 contrôles de sécurité décrits dans la Federal Acquisition Regulation (FAR) 52.204-21.
Ces précautions de sécurité de base, comme s’assurer que seules les bonnes personnes ont accès à vos informations (un peu comme quand vous fermez la porte à clé chez vous et ne laissez entrer que les personnes que vous connaissez) constituent le point de départ de la cybersécurité.
Niveau 2 : Advanced (avancé)
Les contractants qui manipulent des Controlled Unclassified Information (CUI) doivent atteindre ce niveau de certification. Cette étape va au-delà des simples garanties exigées au niveau 1. Il s’agit d’élaborer un manuel de cybersécurité contenant des processus et des stratégies bien documentés.
En clair, il s’agit d’installer un système de sécurité complet.
Niveau 3 : Expert
Destiné aux contractants ayant les programmes les plus prioritaires avec des CUI, le niveau 3 se concentre sur la cyberdéfense proactive. Seule une poignée de contractants du ministère de la Défense devra atteindre ce niveau de conformité.
Chacun de ces niveaux repose sur le précédent, ce qui signifie que pour atteindre le niveau 2 de conformité, il faut remplir le niveau 1.
Toutes les entreprises doivent-elles se conformer à la CMMC ?
Toutes les entreprises qui ont des contrats avec le ministère américain de la Défense doivent se conformer à ce cadre, qu’importe leur taille.
L’attribution ou la continuation d’un contrat avec le ministère de la Défense dépend fortement de la conformité des entités concernées aux exigences de la CMMC 2.0, ce qui signifie qu’une entreprise doit y être conforme pendant toute la durée de son contrat.
Toutefois, compte tenu de l’augmentation des cybermenaces, toute entreprise qui accorde de l’importance à la sécurité des données pourrait trouver avantageux d’en adopter les pratiques.
Pourquoi est-elle importante ?
Alors que les cybermenaces sont de plus en plus fréquentes, la Certification du modèle de maturité de la cybersécurité constitue un cadre essentiel pour garantir des mesures de cybersécurité solides. Il ne s’agit pas seulement d’une certification, il s’agit aussi de l’engagement d’une entreprise à sécuriser les données et de sa capacité à protéger les informations sensibles.
Plus important encore, ce cadre offre aux MSP l’occasion idéale d’aider leurs clients à adopter des mesures de cybersécurité plus strictes.
Conclusion
La CMMC est plus qu’une simple norme de cybersécurité : elle témoigne de l’engagement d’une entreprise en faveur de la protection des données. Bien qu’elle ne soit à l’heure actuelle obligatoire que pour les contractants du ministère de la Défense, ses principes sont universellement applicables et peuvent améliorer considérablement la posture de toute entreprise en matière de cybersécurité.
En prenant le temps d’en comprendre le fonctionnement, les entreprises peuvent évaluer leur posture en matière de cybersécurité et déterminer si l’implémentation du cadre peut renforcer leurs activités avant de chercher à obtenir la certification.
