Certification du modèle de maturité de la cybersécurité (CMMC) et CUI

Qu'est-ce que c'est ? Qu'est-ce que le CUI ? Comment pouvez-vous vous mettre en conformité ?

Demandez une démonstration Regardez une démo

Certification du modèle de maturité de la cybersécurité (CMMC) et CUI

Qu'est-ce que le programme de certification du modèle de maturité de la cybersécurité ?

Le CMMC met en place des mécanismes d'évaluation pour vérifier que les entreprises de défense respectent les exigences de sécurité du ministère de la défense (DoD) en matière de protection des informations sensibles.

Tout fournisseur direct du DoD qui traite des informations contractuelles fédérales (FCI) ou des informations non classifiées contrôlées (CUI) devra atteindre l'un des trois niveaux CMMC, comme spécifié dans son contrat, pour être autorisé à effectuer des travaux liés à la défense.

Qu'est-ce qu'un FCI ou un CUI ?

FCI - Il s'agit d'informations qui ne sont pas destinées à être rendues publiques et qui sont fournies par le gouvernement ou générées pour lui dans le cadre d'un contrat de développement ou de fourniture d'un produit ou d'un service au gouvernement. Il peut s'agir, par exemple, de détails ou de dispositions contractuelles, de données sur les performances du contractant, de rapports ou de produits livrables élaborés dans le cadre de contrats fédéraux, d'informations financières ou de gestion de projet en rapport avec le contrat.

CUI - Les informations protégées par CUI ne sont pas classifiées mais doivent être contrôlées afin d'empêcher la diffusion d'informations non classifiées qui, si elles sont publiquement associées à des missions de défense ou regroupées avec d'autres sources d'information, révèleront souvent des informations exploitables à des adversaires ou violeront des exigences statutaires.

Les CUI doivent être marqués pour avertir les destinataires qu'un traitement spécial peut être nécessaire pour se conformer à la loi, à la réglementation ou à la politique du gouvernement.

Les 3 niveaux du CMMC 2.0

Le CMMC 2.0 comporte trois niveaux. Le niveau auquel vous devez vous conformer est indiqué dans votre contrat avec le gouvernement fédéral. Le niveau d'évaluation correspond au type d'informations que votre organisation est amenée à traiter :

Niveau 1 - Fondamental - FCI uniquement (auto-évaluation)

Ce niveau s'adresse aux organisations qui ne traitent que des informations confidentielles et se fonde sur les 17 contrôles prévus par la FAR 52.204-21 "Basic Safeguarding of Covered Contractor Information", qui met l'accent sur la protection des informations confidentielles. Les entreprises et les organisations de ce niveau doivent procéder à une auto-évaluation annuelle pour prouver qu'elles sont en conformité avec la législation afin d'obtenir leur certification.

Niveau 2 - Avancé - CUI (évalué par une tierce partie)

Les exigences de niveau 2 sont en parfaite adéquation avec les exigences de la norme NIST SP 800-171. En ce qui concerne la certification, les organisations de ce niveau sont divisées en deux groupes :

CUI avec acquisitions prioritaires : Les organisations qui détiennent des CUI avec des acquisitions prioritaires, c'est-à-dire des informations jugées essentielles pour la sécurité nationale, devront se soumettre à des évaluations tierces en vue d'une certification tous les trois ans.

CUI avec acquisitions non prioritaires : Les CUI sans acquisitions prioritaires, c'est-à-dire les informations qui ne sont pas essentielles à la sécurité nationale, peuvent procéder à une auto-évaluation annuelle de leur certification en suivant le même processus que les organisations de niveau 1.

Niveau 3 - Expert - CUI critique (évalué par le DoD)

Officiellement, à l'heure où nous écrivons ces lignes (septembre 2024), le niveau 3 est toujours inscrit sur la liste "à déterminer", car l'élaboration des règles est toujours en cours. Cependant, nous savons que le niveau 3 utilisera les exigences de la norme NIST SP 800-171 et un sous-ensemble des exigences de la norme NIST SP 800-172. Les organisations de niveau 3 feront toujours l'objet d'une évaluation gouvernementale en vue d'une certification tous les trois ans.

CMMC 2

Conformité CUI et Fortra Data Classification Suite (DCS)

Les niveaux 2 et 3 contiennent des règles pour identifier et contrôler les CUI (comme AC.L2.3.1.1), et il existe des normes sur les marques à apposer pour permettre de l'identifier et de le gérer correctement.

Fortra Data Classification Suite dispose d'un modèle CUI prédéfini qui permet aux entreprises de déposer et de charger des CUI en quelques minutes dans les principaux outils Microsoft Office. Il suffit d'installer l'agent DCS et de former les personnes clés qui gèrent le contenu CUI.

Voici les principaux aspects des normes de marquage des CUI :

1. Exigences de base en matière de marquage des CUI

  • Marquage de l'en-tête/du pied de page : Chaque page d'un document contenant des CUI doit être marquée du terme "CONTROLLED" ou "CUI" dans l'en-tête et/ou le pied de page pour indiquer la présence de CUI.
  • Marquage des parties : Bien que facultatif, le marquage des parties (par exemple, le marquage de paragraphes ou de sections spécifiques avec "(CUI)") est encouragé pour identifier les parties spécifiques d'un document qui contiennent des CUI.
  • Marquage de la bannière : Une indication claire en haut de la première page ou du premier écran indiquant "Controlled Unclassified Information" ou "CUI" est nécessaire.
  • Marques de décontrôle : Lorsque le statut des CUI change, le document doit le refléter, par exemple en ajoutant la phrase "Decontrolled" avec la date de décontrôle.

2. Marquage des catégories

  • Les CUI peuvent relever de différentes catégories (par exemple, vie privée (PII), finances, application de la loi). Les normes de marquage permettent d'inclure des abréviations de catégorie (par exemple, "CUI//PRIV") pour spécifier le type de CUI.
  • Les documents CUI peuvent inclure des instructions de sauvegarde ou de diffusion plus spécifiques, le cas échéant (par exemple, "CUI//NOFORN" pour restreindre la diffusion à l'étranger).

3. Instructions de manutention

  • Les documents peuvent également contenir des instructions telles que "CUI//SP-Export Control" ou d'autres règles de sauvegarde spécifiques pour indiquer les exigences de protection spéciales en vertu de lois ou de politiques particulières.

4. Décontrôle des CUI

  • Lorsque les CUI ne sont plus considérés comme sensibles et doivent être décontrôlés, la date de décontrôle doit être clairement indiquée. Une ligne peut être tracée à travers les marques CUI, ou une note peut être ajoutée pour indiquer que l'information a été décontrôlée.

5. Marquage de transmission et de stockage

  • Les fichiers électroniques contenant des CUI doivent être marqués de la même manière, avec des indicateurs visibles sur les courriels, les disques partagés ou le stockage en nuage.
  • Lors de la transmission de CUI, les fichiers physiques ou numériques doivent être étiquetés afin de s'assurer que les destinataires sont conscients de leurs responsabilités en matière de protection des informations. Ces normes de marquage permettent de garantir un traitement et une diffusion appropriés, réduisant ainsi le risque de divulgation non autorisée tout en promouvant l'uniformité entre les différentes entités gouvernementales et les contractants. Les normes sont guidées par le programme CUI de la National Archives and Records Administration (NARA).

Fortra vous permet d'obtenir la composante CUI de votre certification CMMC

La clé d'une gestion réussie des données CUI est l'application électronique. Vous ne pouvez pas appliquer la loi si les informations appropriées ne sont pas en place dans votre contenu non structuré pour que vos barrières électroniques puissent les lire et agir (comme un système de prévention de la perte de données, ABAC, ou un système de cryptage).

Les normes CUI ont changé et changeront, vous avez donc besoin d'un outil flexible pour répondre à ces changements d'un simple clic de souris plutôt que d'attendre que les fournisseurs fassent des changements pour répondre aux nouvelles normes. Le DCS de Fortra a fait ses preuves dans la base industrielle de défense (DIB) en tant qu'outil clé pour fournir la flexibilité dont nos clients DIB ont besoin, et la capacité de fournir les audits nécessaires pour maintenir votre certification à jour tout en minimisant les frais généraux pour maintenir votre programme individuel approuvé.

En savoir plus sur Fortra Data Classification Suite et sur notre voie rapide vers la conformité CUI

Découvrez comment nous vous facilitons l'application précise et sécurisée des marquages CUI pour vous aider à vous conformer aux réglementations et aux exigences, telles que le CMMC, afin de protéger de manière appropriée les informations gouvernementales sensibles.

En savoir plus

Fortra est-elle certifiée FedRAMP ?

Maintenant que le programme CMMC a été finalisé, il précise que les outils de soutien qui permettent la certification CMMC ne sont pas tenus d'être certifiés FedRAMP.  Notre produit de classification des données fonctionne comme une extension de vos applications Office et s'exécute sur les appareils et les terminaux de votre organisation. Nous n'avons donc pas besoin d'être certifiés FedRAMP pour vous aider à vous conformer à la CMMC. Notre outil d'administration peut être hébergé localement dans un environnement en nuage qui peut être certifié FedRAMP, ou sur site en fonction des exigences de votre entreprise.

Ressources

En savoir plus sur Fortra Data Classification

Découvrez comment la classification flexible des données de Fortra peut vous aider à vous conformer à un grand nombre de réglementations et d'exigences.

Conformité réglementaire

Si vous êtes prêt pour une démonstration, nous pourrons discuter de la manière dont nous pouvons vous aider à répondre à vos besoins spécifiques en matière de conformité.

DEMANDEZ UNE DÉMONSTRATION