La conformité au CMMC exige plus qu'un simple cryptage

Le programme CMMC établit des mécanismes d'évaluation pour vérifier que les entreprises de défense respectent les exigences du ministère de la défense en matière de protection des données.

Tout fournisseur direct du DoD qui traite des informations contractuelles fédérales (FCI) ou des informations non classifiées contrôlées (CUI) devra atteindre l'un des trois niveaux CMMC, comme spécifié dans son contrat, pour être autorisé à effectuer des travaux liés à la défense.

Niveau 1 - Fondamental - FCI uniquement (auto-évaluation)

Ce niveau s'adresse aux organisations qui ne traitent que des informations confidentielles et se fonde sur les 17 contrôles prévus par la FAR 52.204-21 "Basic Safeguarding of Covered Contractor Information", qui met l'accent sur la protection des informations confidentielles. Les entreprises et les organisations de ce niveau doivent procéder à une auto-évaluation annuelle pour prouver qu'elles sont en conformité avec la législation afin d'obtenir leur certification.

Niveau 2 - Avancé - CUI (évalué par une tierce partie)

Les exigences de niveau 2 sont en parfaite adéquation avec les exigences de la norme NIST SP 800-171. En ce qui concerne la certification, les organisations de ce niveau sont divisées en deux groupes :

CUI avec acquisitions prioritaires: Les organisations qui traitent des CUI avec des acquisitions prioritaires, c'est-à-dire des informations jugées essentielles pour la sécurité nationale, sont tenues de se soumettre à des évaluations tierces en vue d'une certification tous les trois ans.

CUI avec acquisitions non prioritaires: Les CUI sans acquisitions prioritaires, c'est-à-dire les informations qui ne sont pas considérées comme essentielles pour la sécurité nationale, peuvent procéder à une auto-évaluation annuelle de leur certification en suivant le même processus que les organisations de niveau 1.

Niveau 3 - Expert - CUI critique (évalué par le DoD)

Le niveau 3 du CMMC consiste en un ensemble sélectionné d'exigences de sécurité (24) dérivées de la norme NIST SP 800-172. En outre, le niveau 3 ne s'applique qu'aux systèmes qui ont déjà atteint un statut CMMC final de niveau 2 (C3PAO) et qui ont donc satisfait aux exigences de sécurité spécifiées dans la norme NIST SP 800-171. Selon le ministère de la défense, le niveau 3 ne s'appliquera qu'à environ 1% des contrats qui soutiennent "ses programmes et technologies les plus critiques".

Outre les exigences du niveau 2, le niveau 3 fournit des protections supplémentaires contre les menaces persistantes avancées (APT) et donne au ministère de la défense l'assurance qu'une organisation souhaitant obtenir une certification peut protéger les CUI de manière adéquate, à un niveau correspondant au risque d'adversité, notamment en protégeant les flux d'informations avec le gouvernement et avec les sous-traitants dans une chaîne d'approvisionnement à plusieurs niveaux. Les organisations de niveau 3 feront toujours l'objet d'une évaluation gouvernementale en vue d'une certification tous les trois ans.

FCI - Informations sur les contrats fédéraux

Les FCI sont des informations qui ne sont pas destinées à être rendues publiques et qui sont fournies par le gouvernement ou générées pour lui dans le cadre d'un contrat de développement ou de fourniture d'un produit ou d'un service au gouvernement. Il peut s'agir, par exemple, de détails ou de dispositions contractuelles, de données sur les performances du contractant, de rapports ou de produits livrables élaborés dans le cadre de contrats fédéraux, ou encore d'informations financières ou de gestion de projet en rapport avec le contrat.

CUI - Controlled Unclassified Information (informations non classifiées contrôlées)

Les informations protégées par les CUI ne sont pas classifiées mais doivent être contrôlées pour empêcher la diffusion d'informations non classifiées qui, si elles sont publiquement associées à des missions de défense ou regroupées avec d'autres sources d'information, révèleront souvent des informations exploitables à des adversaires ou violeront des exigences statutaires.

Les CUI doivent être marqués pour avertir les destinataires qu'un traitement spécial peut être nécessaire pour se conformer à la loi, à la réglementation ou à la politique du gouvernement.

1. Exigences de base en matière de marquage des CUI

• Marquage de l'en-tête/du pied de page: Chaque page d'un document contenant des CUI doit être marquée du terme "CONTROLLED" ou "CUI" dans l'en-tête et/ou le pied de page pour indiquer la présence de CUI.
• Marquage des parties: Bien que facultatif, le marquage des parties (par exemple, le marquage de paragraphes ou de sections spécifiques avec "(CUI)") est encouragé pour identifier les parties spécifiques d'un document qui contiennent des CUI.
• Marquage de la bannière: Une indication claire en haut de la première page ou du premier écran indiquant "Controlled Unclassified Information" ou "CUI" est nécessaire.
• Marques de décontrôle: Lorsque le statut des CUI change, le document doit le refléter, par exemple en ajoutant la phrase "Decontrolled" avec la date de décontrôle.

2. Marquage des catégories

• Les CUI peuvent relever de différentes catégories (par exemple, vie privée (PII), finances, application de la loi). Les normes de marquage permettent d'inclure des abréviations de catégorie (par exemple, "CUI//PRIV") pour spécifier le type de CUI.
• Les documents CUI peuvent inclure des instructions de sauvegarde ou de diffusion plus spécifiques, le cas échéant (par exemple, "CUI//NOFORN" pour restreindre la diffusion à l'étranger).

3. Instructions de manutention

• Les documents peuvent également contenir des instructions telles que "CUI//SP-Export Control" ou d'autres règles de sauvegarde spécifiques pour indiquer les exigences de protection spéciales en vertu de lois ou de politiques particulières.

4. Décontrôle des CUI

• Lorsque les CUI ne sont plus considérés comme sensibles et doivent être décontrôlés, la date de décontrôle doit être clairement indiquée. Une ligne peut être tracée à travers les marques CUI, ou une note peut être ajoutée pour indiquer que l'information a été décontrôlée.

5. Marquage de transmission et de stockage

• Les fichiers électroniques contenant des CUI doivent être marqués de la même manière, avec des indicateurs visibles sur les courriels, les disques partagés ou le stockage en nuage.
• Lors de la transmission de CUI, les fichiers physiques ou numériques doivent être étiquetés afin de s'assurer que les destinataires sont conscients de leurs responsabilités en matière de protection des informations. Ces normes de marquage permettent de garantir un traitement et une diffusion appropriés, réduisant ainsi le risque de divulgation non autorisée tout en promouvant l'uniformité entre les différentes entités gouvernementales et les contractants. Les normes sont guidées par le programme CUI de la National Archives and Records Administration (NARA).

Maintenant que le programme CMMC a été finalisé, il a précisé que les outils de soutien permettant la certification CMMC ne sont pas tenus d'être certifiés FedRAMP. Notre produit de classification des données agit comme une extension de vos applications Office et s'exécute sur les appareils et les terminaux de votre organisation. Il n'est donc pas nécessaire que notre produit soit certifié FedRAMP pour vous aider à vous conformer à la CMMC. Notre outil d'administration peut être hébergé localement dans un environnement en nuage qui peut être certifié FedRAMP, ou sur site en fonction des exigences de votre organisation.