Ce que les organisations gouvernementales doivent savoir sur la certification du modèle de maturité de la cybersécurité (CMMC)

Au début de l'année, le ministère de la Défense (DoD) a publié la version 1.0 de la Cybersecurity Maturity Model Certification (CMMC), une norme unifiée très attendue destinée à sécuriser la vaste chaîne d'approvisionnement de l'agence. Lorsque les tensions avec d’autres pays augmentent, par exemple, nombreux sont ceux qui craignent que les représailles ne se produisent pas seulement via le cyberespace, mais également via des « entreprises de défense potentiellement vulnérables ».

Le CMMC, tel qu’il a été déployé sur une période de cinq ans, vise à réduire, voire à éliminer, ces vulnérabilités et à répondre à un défi critique en matière de sécurité nationale. La base industrielle de défense (DIB) comprend plus de 300 000 entreprises, sur lesquelles il y a eu un manque flagrant de surveillance jusqu'à présent. Ces entreprises accèdent et stockent des informations de défense sensibles sur leurs propres systèmes. La CMMC représente une étape importante vers la protection de ces informations.

Malgré les avantages à long terme, la CMMC peut entraîner une confusion à court terme pour de nombreux entrepreneurs. En fonction de leur travail, les entrepreneurs doivent respecter l’un des cinq nouveaux niveaux de sécurité. Cependant, la ligne de départ pour améliorer sa posture de sécurité est plus ou moins la même.

Préparation au CMMC

Pour ceux qui cherchent à se mettre à niveau en matière de meilleures pratiques de sécurité à la suite de la CMMC, le cadre de cybersécurité du National Institute of Standards and Technology ( NIST ), qui met l'accent sur la sécurité continue, est un bon point de départ. Le cadre du NIST est segmenté en cinq groupes ou fonctions : identifier, protéger, détecter, répondre et récupérer.

Le premier seau est, bien sûr, la fondation. Afin d’identifier les menaces, les entreprises doivent d’abord être en mesure d’identifier l’étendue de leurs propres systèmes, ce qui peut s’avérer difficile à l’ère du BYOD et du shadow IT. Il n’existe aucun moyen de sécuriser un système si vous n’avez pas une compréhension complète de vos employés, de vos actifs et de vos données. Il existe de nombreux outils permettant de faire de cette visibilité une réalité, depuis la visualisation centrée sur les applications jusqu'à la visibilité SSL . Ce dernier décrypte et recrypte le trafic pour garantir qu'il ne contient pas de logiciels malveillants.

Surveillance continue

Ce n’est qu’en ayant une visibilité complète sur les systèmes et les données que les entreprises peuvent mettre en place les mesures de protection nécessaires, telles que la protection contre les exploits Web courants, les adresses IP malveillantes et les types d’attaques coordonnées . La gestion des accès , comme l’authentification unique, le VDI sécurisé et accès utilisateur privilégié, offre un moyen de se protéger contre les mauvais acteurs. En termes simples, le gouvernement fédéral doit être en mesure de vérifier que les entrepreneurs sont bien ceux qu’ils prétendent être et d’accorder le niveau d’accès approprié en conséquence.

Mais la sécurité ne peut pas s’arrêter à la porte. Même après l’authentification des utilisateurs, les entreprises doivent continuer à surveiller et à enregistrer leurs activités pour réaliser le troisième élément du cadre NIST : la détection rapide. L’analyse comportementale, intelligence artificielle et l’apprentissage automatique peuvent être utilisés à cette fin, en analysant le trafic et en signalant les comportements risqués ou inhabituels.

Sans ces trois premières étapes, les deux dernières – élaborer un plan d’intervention et un plan de restauration des systèmes et des actifs impactés – sont presque impossibles. Bien entendu, l’objectif du CMMC est de faire de ces deux dernières étapes une rareté. Grâce à une surveillance continue, l’objectif est d’empêcher toute compromission des entrepreneurs et sous-traitants du DoD.

L'essentiel

À court terme, les entreprises de la chaîne d’approvisionnement du DoD devraient investir dans des technologies qui favorisent la visibilité, la protection et la détection rapide. Cela posera les bases nécessaires à la certification et à la sécurité. Bien que de nombreux entrepreneurs puissent trouver la perspective du CMMC intimidante, la réalité est qu’il s’agit d’une réponse nécessaire à des années de négligence.

Il est toutefois important que ce nouveau niveau de sécurité n’évince pas les petits sous-traitants , qui jouent également un rôle crucial dans la chaîne d’approvisionnement. La bonne nouvelle est que le DoD a estimé que la plupart des entrepreneurs n’auront besoin que d’une certification de niveau 1, centrée sur l’hygiène informatique de base. Il s’agit de bonnes pratiques que les entreprises devraient mettre en place même si elles n’accèdent pas à des données gouvernementales sensibles. Pour ceux qui travaillent dans l’industrie de la défense, le temps de la protection et de la détection est révolu.