Le département de la Défense des États-Unis a récemment publié le le cadre Cybersecurity Maturity Model Certification (CMMC), un mécanisme de vérification conçu pour évaluer le niveau de maturité des organisations en matière de protection des informations. Il s’agit de la dernière évolution du programme du DoD visant à protéger les informations non classifiées contrôlées (CUI) du gouvernement.
Le DoD (département de la Défense des États-Unis) applique les exigences par le biais de clauses contractuelles dans le cadre du DFARS, le supplément de la réglementation fédérale sur l'acquisition de la défense des États-Unis. Si votre société fournit des équipements ou des services au DoD (directement ou par l'intermédiaire d'un de ses fournisseurs), vous devez accepter ces clauses.
Les clauses contractuelles du DoD incluent des exigences de gestion des CUI, et celles-ci ont évolué au cours des dernières années :
La clause DFARS 252.204-7012 décrit les exigences de base en matière de protection des CUI. Elle reprend 110 contrôles de la norme NIST 800-171. Les organisations doivent confirmer qu'elles respectent la plupart de ces contrôles et fournir un POAM (Plan d'action avec jalons) pour le reste d’entre eux. Cette clause exige également que l’organisation avise son client en cas de cyber-incident impliquant un risque pour les CUI du gouvernement.
La clause -7012 a été introduite pour la première fois en 2017. En 2023, le gouvernement a introduit trois nouvelles clauses relatives aux CUI : la -7019, la -7020 et la -7021.
La clause DFARS 252.204-7019 élargit les exigences de la 7012 en matière de reporting. Les organisations sont tenues de réaliser une évaluation de leurs systèmes afin d’obtenir un score. Ce score doit être communiqué sur le site du SPRS (le système d’évaluation de l’exposition au risque des fournisseurs), où les organismes gouvernementaux et les principaux acteurs économiques pourront le consulter. Ces évaluations et scores doivent être mis à jour tous les 3 ans.
La clause DFARS 252.204-7020 prévoit différents niveaux d'évaluation pour la clause -7019. Selon le type des CUI utilisées, l'évaluation peut être réalisée par l'organisation ou par une équipe gouvernementale. Cette clause stipule que l'organisme gouvernemental pourra procéder aux évaluations à sa propre discrétion.
La clause DFARS 252.204-7021 met en place le programme CMMC. Ce programme définit 3 niveaux pour les fournisseurs, chacun ayant ses propres exigences en matière d'évaluation. Les fournisseurs de niveau 1 doivent satisfaire à 15 contrôles de base de la norme NIST 800-171. L'évaluation est alors réalisée par l’organisation concernée. Les fournisseurs de niveau 2 doivent satisfaire à l'ensemble des 110 contrôles et être évalués par une C3PAO, une organisation d'évaluation de tiers accréditée par le CMMC. Les fournisseurs de niveau 3 seront évalués directement par des fonctionnaires. Dans une lettre de clarification, le DoD a confirmé que le CMMC s'alignera sur la norme NIST 800-171 rév. 2, même si la rév. 3 a été publiée en 2024.
Le programme complet du CMMC a été lancé fin de 2024. Les premiers contrats soumis à la clause -7021 ont été émis début 2025.
Le CMMC a un impact évident sur les équipes informatiques. En effet, elles doivent s'assurer que les systèmes de données de l'organisation (e-mail, stockage des données, outils bureautiques et de développement) sont conformes aux exigences du CMMC. Dans la plupart des entreprises, l’équipe informatique est responsable de la conformité CMMC, de l’obtention des évaluations et de la validation des déclarations de conformité.
Au cours des dernières décennies, les systèmes de test ont été exclus de bon nombre de ces programmes de sécurité. Pourtant, ces systèmes traitent des données gouvernementales sensibles, et notamment des CUI. Les systèmes de test se connectent aux systèmes déployés sur les réseaux gouvernementaux. Ainsi, toute attaque malveillante contre un système de test compromet les systèmes gouvernementaux. Les systèmes de test sont au cœur des systèmes de défense et doivent être inclus dans l’évaluation CMMC.
En d’autres termes, ils doivent être conformes aux contrôles de la norme NIST 800-171. Mais le respect de ces contrôles doit être abordé différemment par rapport aux systèmes informatiques traditionnels. Les contrôles informatiques impliquent par exemple des mises à jour fréquentes afin de garantir l’actualisation des systèmes. Or, les systèmes de test ne peuvent pas être mis à jour à la même fréquence : les MAJ doivent être testées intégralement pour garantir la continuité des opérations, et être appliquées entre les tests. Leur application au cours d’un test peut entraîner des retards, voire des problèmes de sécurité.
Pour tenir compte de ces différences, les équipements de test sont regroupés avec les technologies opérationnelles (OT/TO) et non pas avec les technologies de l’information (IT/TI). La norme NIST 800-82 (Guide sur la sécurité des technologies opérationnelles (OT) apporte des éclairages sur les différences entre les systèmes IT et OT en matière de sécurité. Il s’agit d’un document important pour les équipes informatiques qui créent une stratégie de sécurité pour les systèmes de test.
NI travaille en étroite collaboration avec les équipes de test du monde entier pour sécuriser leurs systèmes contre les attaques malveillantes. Les équipes performantes mettent en œuvre les principes de sécurité suivants :
Créer un canal de communication clair et ouvert avec l’équipe de sécurité informatique dès que possible. Travailler pour comprendre leurs mandats et directives, et prendre le temps de leur présenter le fonctionnement des opérations de test.
Adopter un framework de développement sécurisé dans votre processus de développement. La norme NIST 800-218 fournit un ensemble de pratiques que votre équipe doit suivre pour produire des solutions sécurisées.
Travailler avec des fournisseurs réputés qui peuvent vous fournir les fonctionnalités et la documentation dont vous aurez besoin. Il est beaucoup plus facile de démontrer que votre système est sécurisé si les composants proviennent de sociétés qui prennent la sécurité au sérieux. En choisissant un fournisseur en mesure de fournir des documents tels que des SBOM, des lettres de volatilité, des matrices de conformité et des guides de mise en œuvre sécurisés, vous réduirez votre charge administrative.
Développer une culture de la sécurité et former votre équipe à prendre cet aspect au sérieux.
Générer un plan de sécurité continue. La mise à jour des systèmes de test constitue une charge bien réelle pour votre équipe de test. Le test des workflows implique des interruptions. Une revalidation du système peut s’imposer. Pour ces mises à jour, vous devez prévoir une stratégie en continu qui correspond à votre flux opérationnel. Vous devez également vous assurer que votre client ou votre entreprise est prêt à financer ces mises à jour continues.
Apprendre des autres. Deux fois par an, NI organise le Test System Security Summit, un sommet dédié à la sécurité des systèmes de test. Nous publions les présentations sur le Test System Security Forum. Prenez part à ces réunions pour poser vos questions et vous familiariser avec les meilleures pratiques de l’industrie.
Pour en savoir plus sur les exigences décrites par la norme NIST 800-171, consultez les exigences du CMMC.
La marque Linux® est utilisée selon les termes d’une sous-licence de LMI, le détenteur exclusif de la licence de Linus Torvalds, propriétaire de la marque au niveau mondial.