Le Cybersecurity Maturity Model Certification (CMMC) est un framework conçu pour protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI) telles que définies par l’Ordre Exécutif 13556, partagées avec les sous-traitants (ou fournisseurs) du Département de la Défense (DoD) dans le cadre de programmes d’acquisition.

La règle proposée pour le CMMC 2.0, publiée le 26 décembre 2023, représente la dernière évolution du modèle de cybersécurité CMMC.

Le 27 juin 2024, après avoir traité près de 2 000 commentaires suite à une période de consultation publique de 60 jours, le DoD a soumis un projet de la Règle Finale CMMC 2.0 (32 CFR) au Bureau de la gestion et du budget (OMB) à la Maison Blanche, suggérant qu’elle devrait entrer en vigueur à la fin du T3 ou début du T4.

Comme cela représente la dernière étape avant que la règle ne soit publiée dans le Federal Register, les regards se tournent vers la chronologie de l’entrée en vigueur de la réglementation.

Avant d’aborder cette question, il est essentiel de comprendre que les exigences de sécurité sur lesquelles le niveau 2 du CMMC 2.0 est fondé (NIST SP 800-171) sont obligatoires pour les sous-traitants du DoD manipulant des informations sensibles depuis décembre 2017, date à laquelle la clause DFARS 252.204-7012 a été incluse dans les contrats du DoD. Cependant, pendant cette période, la conformité reposait principalement sur l’auto-attestation sans mécanisme de contrôle robuste, empêchant ainsi le DoD de vérifier la conformité. En conséquence, de nombreux sous-traitants du DoD ont négligé de mettre en œuvre pleinement les contrôles requis.

Pour remédier à ce problème, le DoD a lancé le programme CMMC, qui sert essentiellement de mécanisme par lequel le DoD vérifiera la conformité avec les exigences énoncées dans la clause DFARS 252.204-7012 (NIST SP 800-171), mandatées dans les contrats depuis 2017.

Comme le dit le DoD : « Une différence clé entre les exigences de la clause DFARS 252.204-7012 et celles du niveau 2 du CMMC est que la conformité avec le NIST SP 800-171 sous DFARS 252.204-7012 n’a pas été systématiquement vérifiée. Avec le CMMC, la conformité sera vérifiée par des évaluateurs tiers indépendants certifiés par le DoD. »

Le changement significatif introduit par le CMMC est que les sous-traitants du DoD devront obtenir une certification par le biais d’évaluations menées par une Organisation d’Évaluation Tiers CMMC (C3PAO) pour démontrer leur conformité afin de conserver et de sécuriser les contrats du DoD.

Chronologie du processus réglementaire CMMC 

La chronologie réglementaire CMMC est résumé ci-dessous à partir des informations publiquement disponibles en date du 17 juillet 2024.

Comme pour toutes les réglementations fédérales, le CMMC nécessite une base légale pour sa mise en œuvre. Par conséquent, pour déterminer quand la réglementation CMMC 2.0 entrera en vigueur, nous devons comprendre le processus de réglementation derrière le CMMC 2.0, qui implique deux règles du Code des règlements fédéraux : 32 CFR et 48 CFR.

Pour que le CMMC 2.0 entre en vigueur, deux conditions doivent être remplies :

1. La règle finale du 32 CFR CMMC doit entrer en vigueur. Cela formalisera le programme CMMC et permettra le début des évaluations tierces du CMMC, connu sous le nom de « market rollout ».

La règle finale CMMC du 32 CFR devrait être publiée au plus tard le 26 octobre 2024, après un examen par l’OIRA pouvant durer jusqu’à 120 jours, et entrera en vigueur environ 60 jours plus tard, soit fin T3 ou début T4 2024.

2. La règle finale du 48 CFR CMMC doit entrer en vigueur. Cela révisera la clause DFARS 252.204-7021 pour pointer vers le programme CMMC (32 CFR), introduisant ainsi progressivement la conformité au CMMC comme clause contractuelle sur 3 ans, connu sous le nom de « phased rollout ».

La règle du 48 CFR a été soumise à l’OIRA (Office of Information and Regulatory Affairs) en mai 2024. Après une revue réglementaire de 90 à 120 jours et une période initiale de consultation de 60 jours, la règle proposée fera l’objet d’une autre période de consultation de 60 jours, suivie d’un processus de révision et d’adjudication de la règle finale, estimé entre 150 et 280 jours ouvrables. La règle finale devrait entrer en vigueur vers le T3 ou le T4 de 2025, mais elle pourrait être adoptée plus tôt, car elle révise une clause existante (la clause DFARS 252.204-7021).

Le 32 CFR est le coup de départ pour la course au CMMC

Alors que la date d’entrée en vigueur de la Règle Finale du 48 CFR (prévue au T3 ou T4 2025) déterminera quand la réglementation CMMC 2.0 sera obligatoirement intégrée dans les contrats, connue sous le nom « phased rollout », il est erroné de considérer que l’étape cruciale marquant le début de la course au CMMC est la date d’entrée en vigueur du 48 CFR.

En réalité, le coup d’envoi de la course au CMMC sera déterminé par la date d’entrée en vigueur de la Règle Finale du 32 CFR (prévue fin T3 ou début T4 2024), et non par la Règle Finale du 48 CFR.

En effet, la Règle Finale du 32 CFR déclenchera le « market rollout », ce qui permettra le début des évaluations CMMC. Une fois ces évaluations disponibles, les « prime contractors » (ex : Lockheed Martin, Boeing, Raytheon) exigeront probablement que les sous-traitants obtiennent la certification CMMC dès que possible, bien avant que le DoD ne le fasse par le biais du « phased rollout », pour maintenir leur avantage concurrentiel et réduire le risque que des fournisseurs non certifiés compromettent leur statut de certification.

Le phénomène de « Midnight Rulemaking » et CMMC 2.0

Au cours des 6 derniers mois, il y a eu une accélération notable dans le processus réglementaire CMMC. Cela est évident à travers plusieurs jalons importants, notamment la proposition d’un CFR CMMC en décembre 2023, la soumission d’une proposition de règle 48 CFR à l’OIRA en mai 2024, et plus récemment, la soumission de la règle finale 32 CFR à l’OIRA en juin 2024. Ce phénomène est souvent désigné sous le nom de « Midnight Rulemaking », qui décrit la précipitation pour finaliser les réglementations dans les derniers mois avant la fin d’une administration présidentielle.

Ainsi, si nous anticipons que la règle finale 32 CFR sera finalisée et entrera en vigueur à la fin du T3 ou au début du T4 2024, étant donné la forte motivation du Département de la Défense à achever les réglementations CMMC avant les élections américaines de 2024, il y a une très forte possibilité qu’elle entre en vigueur avant le 5 novembre 2024.

Pourquoi ne faut-il pas attendre le coup d’envoi pour commencer votre parcours de conformité CMMC ?

Le DoD anticipe qu’il faudra deux ans pour que les entreprises ayant des contrats existants deviennent certifiées CMMC, en supposant qu’elles aient déjà mis en œuvre les exigences du NIST SP 800-171 Rev. 2, comme mandaté par la clause DFARS 252.204-7012. Cette chronologie prolongée est due à plusieurs facteurs :

1. Une fois le 32 CFR en vigueur, les évaluations tierces du CMMC pour le niveau 2 du CMMC commenceront. Les organisations devront atteindre un résultat de 100% à l’auto-attestation avant de subir une évaluation. Cette phase préparatoire demandera un temps et des efforts significatifs.
2. En moyenne, les organisations nécessitent entre 12 et 18 mois à se préparer pour une évaluation de niveau 2 du CMMC.
3. En raison d’une pénurie d’évaluateurs CMMC, les organisations peuvent s’attendre à devoir patienter environ 9 à 15 mois (3 à 5 trimestres) pour une évaluation du CMMC.

Par conséquent, pour être prêtes aux futures opportunités de contrat du DoD et maintenir un avantage concurrentiel, il est recommandé aux organisations de commencer dès aujourd’hui leur processus de conformité au CMMC.

N’hésitez pas à nous contacter pour discuter de votre parcours CMMC avec nous et découvrir comment #Wavestone peut vous aider à naviguer dans le paysage complexe de la conformité au CMMC 2.0, soutenant votre chemin vers la certification et transformant votre posture cybersécurité en un avantage stratégique.

Nous proposons les services d’accompagnement à la conformité CMMC 2.0 suivants :

1. Identification des CUI :
   • Nous vous aidons à identifier les Informations Non Classifiées Contrôlées (CUI) au sein de votre organisation pour garantir la conformité aux exigences du CMMC.
2. Identification du périmètre CMMC :
   • Nous vous aidons à définir et à minimiser votre périmètre CMMC pour rester rentable et pragmatique. En identifiant clairement le périmètre, nous nous assurons que tous les systèmes et processus nécessaires sont inclus tout en évitant la complexité et les coûts inutiles.
3. Analyse des écarts CMMC Niveau 1 et Niveau 2 :
   • Nos experts réalisent des analyses des écarts pour les niveaux CMMC 1 et 2, évaluant votre état actuel par rapport aux objectifs d’évaluation respectifs (NIST SP 800-171A) afin de vous fournir des recommandations pragmatiques.
4. Définition de la feuille de route de conformité CMMC :
   • Nous travaillons avec vous pour définir une feuille de route claire pour atteindre la conformité CMMC, adaptée à vos besoins, que ce soit pour les scénarios de « clusters CMMC » ou « full-in ».
5. Support à la mise en œuvre CMMC :
   • Nous vous fournissons des conseils et un soutien tout au long de la phase de mise en œuvre, vous aidant à intégrer efficacement les contrôles requis pour atteindre la conformité CMMC.

Cet article Mise à jour : Chronologie de la Réglementation CMMC 2.0 et le Phénomène du « Midnight Rulemaking » est apparu en premier sur RiskInsight.

Paradoxalement à cela, seulement 35 % des organisations considèrent comme efficace leur processus de gestion de la sécurité des fournisseurs (selon une étude menée par l’institut Ponemon).

Alors, comment définir une stratégie efficace de gestion de la sécurité de vos fournisseurs ? Quels sont les facteurs clés de succès ?

Adopter une stratégie de gestion des fournisseurs par les risques

Qu’il s’agisse de partenaires métier, de sous-traitants ou de prestataires de services informatiques, nombre de vos fournisseurs gèrent ou ont accès à vos actifs. Ils constituent une source de risques pour votre organisation et il est donc clé de vous assurer qu’ils s’engagent à respecter un niveau de sécurité conforme à vos exigences.

Selon le périmètre métier sur lequel vos fournisseurs interviennent et le type de service qu’ils fournissent, le niveau de risque pour votre organisation est plus ou moins élevé. Notre recommandation est donc de classifier vos fournisseurs afin d’adapter la manière de gérer la sécurité selon le niveau de risque qu’ils portent.

Vos fournisseurs pouvant se compter en milliers, cette classification vous permettra également de prioriser et de garder une charge de travail acceptable pour vos équipes.

Pour ce faire, notre premier conseil est de cartographier vos fournisseurs. Nous remarquons sur le terrain que peu d’organisations possèdent une cartographie exhaustive et que sa réalisation constitue un projet fastidieux qui nécessite l’intervention de nombreux acteurs (achats, département juridique, métier…). Ainsi, nous vous conseillons de commencer par définir un processus pour capter vos nouveaux fournisseurs ainsi que de recenser en priorité vos fournisseurs intervenant sur des activités métiers identifiées comme critiques dans vos BIA (Business Impact Assessment). Ensuite, vous pourrez élargir progressivement aux autres fournisseurs.

À partir de cette cartographie, vous pourrez évaluer la criticité sécurité de vos fournisseurs et les classifier selon une échelle à plusieurs niveaux. Pour cela, nous vous suggérons de notamment prendre en compte les critères suivants :

• La criticité métier du projet ou de l’actif sur lequel le fournisseur intervient ;
• Le degré d’interconnexion du fournisseur à votre SI ;
• L’accès du fournisseur à des données sensibles ou confidentielles ;
• L’exposition du service fourni sur Internet.

Cependant, nous constatons auprès de nos clients qu’il n’est pas toujours évident d’appliquer ces critères par manque d’informations sur certains fournisseurs. Ainsi, nous vous suggérons de faire valider « à dire d’expert » votre classification par vos équipes sécurité, vos responsables informatiques et votre métier.

Exemple de classification sécurité des fournisseurs, selon une échelle à 3 niveaux

Intégrer la sécurité tout au long du cycle de vie

Nous constatons sur le terrain que la plupart des organisations évaluent leurs fournisseurs avant de contractualiser et intègrent des clauses de sécurité dans les contrats. Toutefois, la sécurité des fournisseurs n’est pas toujours prise en compte par la suite.

Nous recommandons d’intégrer la sécurité tout au long du cycle de vie des fournisseurs en les responsabilisant et en adoptant une position de contrôle.

Cycle de vie de la gestion des fournisseurs

Durant la contractualisation

Durant la contractualisation, l’objectif est de s’assurer que le fournisseur choisi par votre métier réponde à vos exigences de sécurité. Pour ce faire, nous vous conseillons d’intégrer la sécurité lors de chaque étape du choix d’un fournisseur :

• Inclure la sécurité dans vos appels d’offres, c’est-à-dire expliciter vos exigences de sécurité et vos modalités d’évaluation ;
• Évaluer le niveau de maturité sécurité des fournisseurs dans le cadre de l’analyse des réponses à l’appel d’offres ;
• Fournir une recommandation de sécurité à votre métier en fonction de la sensibilité du projet et du risque porté par le fournisseur ;
• Inclure dans le contrat avec le fournisseur choisi des clauses de sécurité adaptées à sa criticité et au service fourni.

Pendant la durée du contrat

Afin de s’assurer que vos fournisseurs garantissent un niveau de sécurité conforme à l’état de l’art et respectent vos exigences de sécurité pendant toute la durée du service fourni, nous suggérons de :

• Intégrer vos fournisseurs dans vos méthodologies d’analyse de risques lorsqu’ils interviennent sur un projet. Ceci est d’ailleurs mis en place dans la méthodologie EBIOS RISK MANAGER qui permet de recenser l’ensemble des parties prenantes intervenant sur un projet puis d’établir un plan d’actions de mise sous contrôle de l’écosystème. Un suivi de l’implémentation de ces mesures doit être mené auprès du fournisseur ;
• Mettre en place des revues de sécurité à des fréquences adaptées aux risques et donc au niveau de classification du fournisseur. Ainsi, les fournisseurs les plus critiques pourront être revus a minima annuellement tandis que les moins critiques le seront uniquement lors du renouvellement du contrat ;
• Définir au sein de votre organisation un processus dédié à la gestion des incidents de sécurité impliquant un fournisseur et disposer de fiches réflexes sur les incidents avec des tiers ;
• Auditer le fournisseur en cas de besoin (par exemple à la suite d’un incident de sécurité majeur ou de l’identification d’un risque critique).

À la fin du contrat

Un renouvellement de contrat constitue une occasion pour réaliser une nouvelle évaluation de la posture sécurité du fournisseur et éventuellement mettre à jour les exigences contractuelles.

En cas d’arrêt du contrat, vous pourrez activer vos clauses de réversibilité et il est important de vous assurer que la sécurité est bien prise en compte dans le décommissionnement du service fourni.

Industrialiser l’évaluation des fournisseurs grâce à des solutions du marché

Nous constatons sur le terrain que beaucoup d’organisations évaluent et contrôlent la sécurité de leurs fournisseurs à l’aide de questionnaires propriétaires, non automatisés et qui nécessitent de nombreuses ressources externes. De plus, les fournisseurs de taille importante peuvent refuser de remplir ces questionnaires tandis que les plus petits ne répondent pas toujours correctement.

Par ailleurs, nous remarquons également que très peu d’organisations ont pour le moment adopté une approche d’évaluation massive.

Afin de rationaliser l’approche, nous vous suggérons donc d’abandonner ces solutions d’évaluations historiques pour adopter des solutions adaptées au niveau de criticité des fournisseurs et pouvoir passer à l’échelle.

Pour les fournisseurs les plus critiques

Nous conseillons d’opter pour une démarche d’évaluation co-constructive avec vos fournisseurs les plus critiques, tout en adoptant une position de contrôle. Ceci se traduit par les actions suivantes tout au long du cycle de vie :

• Evaluer vos fournisseurs les plus critiques sur la base de leurs certifications cybersécurité et de leurs rapports de conformité sur le périmètre du service fourni ;
• Etablir un Plan d’Assurance Sécurité contractuel afin de définir la gouvernance sécurité de la prestation ;
• Organiser des revues de sécurité (a minima annuelles) pour contrôler le niveau de sécurité de vos fournisseurs sur la base des indicateurs définis dans le Plan d’Assurance Sécurité (maintien des certifications, incidents de sécurité, audits, roadmap sécurité…). Ces comités sont également l’occasion d’instaurer une relation de confiance avec vos fournisseurs, par exemple en discutant des actualités et évènements de sécurité ainsi que des conférences que vous pourriez faire en commun.

Pour les fournisseurs présentant une criticité moyenne à faible

Afin d’adopter une approche massive dans l’évaluation et la revue de la sécurité de vos fournisseurs non critiques, des solutions du marché peuvent être utilisées.

En effet, des éditeurs et des startups (tels que CyberVadis, CyberGRX, Risk Ledger) sont positionnés sur l’industrialisation des évaluations de sécurité des fournisseurs. Ceci fera l’objet de l’un de nos prochains articles.

Leurs solutions sont basées sur des questionnaires de maturité dont les résultats sont partagés entre l’ensemble de leurs clients. Plus concrètement, ces plateformes fonctionnent de la manière suivante :

Fonctionnement des solutions d’évaluation de la maturité d’un fournisseur

Bien que ces solutions soient pour le moment peu personnalisables selon des exigences spécifiques à votre organisation, elles vous permettront notamment de :

• Obtenir des évaluations de sécurité adaptées à des fournisseurs non critiques ;
• Réduire la charge de vos équipes sécurité ;
• Partager les évaluations fournisseurs avec d’autres clients et donc pouvoir disposer très rapidement d’évaluations déjà réalisées ;
• Adopter une approche gagnant-gagnant avec vos fournisseurs qui partageront un unique questionnaire pour l’ensemble de leurs clients et se verront proposer des plans d’actions afin de remédier aux écarts constatés ;
• Vulgariser la sécurité des fournisseurs auprès de votre métier ou de vos équipes achat grâce à des scores didactiques sur différentes thématiques.

S’assurer de l’efficacité de votre processus de gestion de la sécurité des fournisseurs

Des interlocuteurs métiers aux chefs de projets informatiques et en passant par les équipes achats et juridiques, la gestion de la sécurité des fournisseurs implique un nombre important d’acteurs de votre organisation. Elle ne peut être un succès que si votre processus est connu et appliqué par tous. Ainsi, il est clé de former et sensibiliser l’ensemble des parties prenantes.

Afin de s’assurer de la bonne mise en application de votre processus, il est important de définir et mettre en place des contrôles couvrant l’ensemble des étapes du cycle de vie de gestion des fournisseurs. Dans un premier temps, nous vous recommandons de définir des cibles réalistes en vous concentrant sur vos fournisseurs les plus critiques. Au fil du temps, ces cibles pourront évoluer pour prendre en compte vos fournisseurs présentant des niveaux de criticité plus faibles.

Vos contrôles peuvent notamment porter sur la classification de vos fournisseurs, leur évaluation ainsi que leur revue à une fréquence adaptée pendant la durée du contrat.

Inscrire la sécurité des fournisseurs dans une démarche « Know Your Supplier »

A la manière de la démarche KYC (Know Your Customer) dans le B2C, nous suggérons d’inscrire la sécurité des fournisseurs dans un esprit KYS (Know Your Supplier) où l’objectif est de prendre en compte l’ensemble des risques fournisseurs de manière consolidée.

Les évaluations de sécurité et notamment les plateformes d’évaluation de maturité pourront être intégrées au sein des outils de gestion des fournisseurs (source to contract), au même titre que notamment les évaluations financières, RSE, impact environnemental, anti-corruption et anti-blanchiment d’argent. Ceci permettra de faciliter l’intégration de la sécurité dans vos processus de sourcing et de revues des fournisseurs.

Rendez-vous au prochain épisode pour un article sur les solutions du marché permettant d’automatiser l’évaluation de la sécurité de vos fournisseurs.

Cet article Comment définir une stratégie efficace de gestion de la sécurité des fournisseurs ? est apparu en premier sur RiskInsight.