CMMC

Modèle de maturité en cybersécurité

La méthode EBIOS Risk Manager poursuit son déploiement et son adoption s’accélère. En parallèle, le Department of Defense spécifie un modèle de cybersécurité qui sera adopté au niveau international. Découvrez ici ce qu’est le CMMC en un coup d’œil et comment EBIOS Risk Manager peut aider dans les différentes phases de maturité cyber.

Introduction

Un modèle de maturité est une approche générale, visant à améliorer la posture d’une organisation sur un thème en particulier, étape par étape. Le modèle historique et le plus connu est le CMMI, s’intéressant à la gestion de projet informatique. Ce principe a depuis été décliné et adapté à d’autres activités et secteurs. Le CMMC (Cybersecurity Maturity Model Certification) s’intéresse en particulier à la cybersécurité. Il est construit à partir des NIST 800-171 et 800-53. Ces deux référentiels représentaient jusqu’ici le socle sur lequel s’engageaient les industriels sous-traitants des institutions américaines, principalement la défense mais pas uniquement. Ces deux référentiels fournissent des mesures de sécurité précises et relativement complètes, mais la démarche repose essentiellement sur du déclaratif : chaque structure doit s’évaluer elle-même et valider sa conformité, ou définir un plan de remédiation pour y parvenir. La multiplication des incidents cyber ces dernières années montre clairement la limite de ce type de démarche : le DoD (Department of Defense) a donc décidé de basculer sur un modèle de certification obligatoire et contraignant assuré par un tiers de confiance, à renouveler régulièrement.

CMMC

CMMC en un clin d'oeil

Qui est concerné ?

L’ensemble des sous-traitants (directs ou indirects) du DoD sont potentiellement concernés. Plus formellement, ceux amenés à manipuler :

  • des données contrôlées non classifiées (les données classifiées sont couvertes par d’autres référentiels),
  • des informations fournies par le DoD dans le cadre d’un contrat et qui ne sont pas destinées à être diffusées au public.

Le seul cas d’exclusion possible à ce stade concerne les sous-traitants fournissant des produits sur étagère. Dans les faits, cette exclusion semble compliquée à mettre en œuvre car l’un des deux types de données précitées est souvent impliqués dans la relation, autour du support, de la contractualisation ou de l’accompagnement.  
 
Cela représente aujourd’hui une chaine de près de 300 000 entreprises à travers le monde entier. L’introduction de l’exigence de certification va se faire par étape, mais la montée en puissance sera très rapide. Dans 5 ans (2026), elle sera devenue une clause par défaut pour l’intégralité des contrats initiés par le DoD.
 
Lorsqu’un donneur d’ordre de cette taille met en œuvre de nouvelles contraintes, se pose immédiatement la question de la propagation au-delà du cercle initial. Certains acteurs étatiques américain hors défense, l’éducation nationale par exemple, ont clairement indiqué s’intéresser à cette certification et à la possibilité de l’inclure dans leurs propres contrats à moyen terme. De plus, les budgets de certification des différents acteurs étant limités, il est probable que le CMMC viennent cannibaliser petit à petit d’autres normes, et le nombre d’acteurs impactés sera de facto bien plus large que le cercle initialement identifié.

Principes généraux

Le CMMC est construit autour d’un ensemble de process et de bonnes pratiques à mettre en œuvre, organisé autour de 17 domaines (principalement issus du NIST 800-171) et à travers 5 niveaux de maturité. Les deux sont indissociables : pour pouvoir prétendre à un niveau de certification, il faudra à la fois valider la partie process et la partie mise en œuvre des mesures de sécurité.

Les process, très proche dans l’esprit de ce que propose le CMMI, visent à garantir l’intégration pro active de la cyber sécurité dans l’ADN de la structure certifiée. Ils vont permettre, étape par étape, de passer d’un état où les activités sont faites mais non pilotées et documentées, à une démarche industrialisée complète, suivie et optimisée.

Les différents niveaux sont décrits dans la figure ci-dessous et expliquent comment les attentes relatives au processus et aux pratiques évoluent.

1 - BASIC SAFEGUARDING OF FCI
Processus : Appliqué

Les actions nécessaires sont mises en œuvre, mais ne sont pas documentées ou spécifiquement pilotées.


Mesures : Basiques

Les mesures à mettre en œuvre sont des mesures de base, centrées sur la protection de données de type "informations fournies par le DoD dans le cadre d'un contrat et qui ne sont pas destinées à être diffusées au public".

2 - TRANSITION TO PROTECT CUI
Processus : Documenté

Les actions menées et les règles en vigueur sont documentées, par domaine.


Mesures : Intermédiaires

Les mesures associées sont des mesures de transition permettant de passer de manière structurée du niveau 1 au niveau 3. Elles intègrent certaines règles concernant les données contrôlées non classifiées.

3 - PROTECT CUI
Processus : Suivi

La politique de cyber sécurité est concrètement pilotée : ressources identifiées, plan d'action et de formation défini, etc.


Mesures : Bonnes

Les mesures complètent la protection nécessaire pour les  données contrôlées non classifiées.

4 - PROTECT AGAINST ATP
Processus : Revues

Un mécanisme d'évaluation est mis en place pour analyser la politique cyber et permettre sa remise en cause régulière.


Mesures : Proactives

Les mesures cherchent en particulier à mettre en œuvre une défense efficace face à des menaces avancées (type APT).

5 - PROTECT AGAINST ADVANCED ATP
Processus : Optimisés

L'approche est standardisée et optimisée pour l'ensemble de la structure, par domaine.


Mesures : Avancées

Les mesures complètent et approfondissent la protection face aux APT.

EBIOS Risk Manager & CMMC

L’analyse de risques est une composante élémentaire de toute politique de sécurité des systèmes d’information. C’est aussi une partie importante et transversale de la mise en œuvre de CMMC. Elle est principalement citée dans le domaine « Risk Management », et son intégration devient explicite dès le niveau 2 via la pratique « RM.2.141 » : Les risques pour les activités de l’organisation doivent être évalués régulièrement. La démarche attendue devient ensuite plus précise, niveau par niveau. La méthodologie à employer n’est pas imposée, mais le parallèle entre EBIOS RM et les mesures proposées est assez directe.
 
Pour rappel, et sans entrer dans les détails, la démarche proposée par EBIOS RM s’appuie sur 5 ateliers :

  • L’atelier 1 : définition du périmètre et de ce qu’on souhaite protéger, identification de ce qui est redouté, définition du socle de sécurité.
  • L’atelier 2 : identification des attaquants et de leur motivation.
  • L’atelier 3 : focus sur l’écosystème, et sa possible exploitation.
  • L’atelier 4 : définition et évaluation de la vraisemblance d’un succès en cas d’attaque.
  • L’atelier 5 : remédiation.

 

EBIOS Risk Manager workshops

Diagramme extrait du guide officiel de la méthode EBIOS RM

CMMC and EBIOS Risk Manager correspondence

Correspondance entre les niveaux CMMC et les ateliers EBIOS Risk Manager

La lettre et l’esprit d’EBIOS RM mettent l’accent sur l’agilité et la communication. Ces deux principes font écho de manière directe à la notion de niveaux exploités dans CMMC. Chaque atelier d’EBIOS RM pourra en effet être exploité et construit au fur et à mesure que la démarche CMMC se met en œuvre, et servir de fil conducteur à son déploiement.
 
De manière plus concrète :

  • La démarche d’inventaire organisationnel (RM.2.141) est directement couverte par les activités de l’atelier 1 : Que souhaite t on protéger? Quel impact sur les missions de l’organisation ? Le travail de vérification de la conformité et de remédiation associée est très naturellement réalisé à travers la réflexion autour du socle de sécurité. Il faut néanmoins y voir ici une approche extensive, car le risque involontaire n’est pas écarté explicitement dans CMMC.
  • L’identification des typologies de risques, de leurs sources, et la définition des règles d’évaluation (RM.3.144) est couverte en particulier par l’atelier 2, et de manière générale par l’analyse de risques en elle-même.
  • Le travail autour de l’écosystème (atelier 3 & 4) recouvre le besoin d’identifier et d’intégrer la sous-traitance à la mise en œuvre du modèle de maturité (RM.4.148).  

 

 

Références

Essayez

Agile Risk Manager!

Version d’évaluation disponible !

Demande de démonstration

    Protégé par reCAPTCHA ; la politique et les conditions de Google s'appliquent.


    Logo Agile Risk Manager

    Agile Risk Manager

    Pour découvrir rapidement notre outil Agile Risk Manager, labellisé par l’ANSSI pour EBIOS Risk Manager, n’hésitez pas à réserver directement un créneau d’une heure en ligne avec notre expert !