À mesure que le paysage des menaces évolue, les attaquants ciblent de plus en plus les organisations qui travaillent en étroite collaboration avec les infrastructures nationales critiques et les agences gouvernementales. Avec plus de 300,000 XNUMX entreprises fournissant le ministère de la Défense américain (DoD), toute violation pourrait constituer une menace importante pour la sécurité nationale. Les organisations, en particulier celles impliquées dans cette chaîne d’approvisionnement tentaculaire, doivent savoir exactement qui accède aux données confidentielles et les partage, tout en équilibrant disponibilité et sécurité.
Pour répondre à ces défis de sécurité, le ministère américain de la Défense a créé la certification du modèle de maturité de la cybersécurité (CMMC) pour aider à renforcer la posture de sécurité des sous-traitants et des agences fédérales. Dans cet article, vous découvrirez le cadre CMMC et comment Silverfort peut aider les organisations à s’aligner sur ses sécurité d'identité exigences. Nous nous concentrerons sur le modèle CMMC 1.0 puisque le cadre CMMC 2.0 devrait être rendu public d'ici la fin de 2024.
Qu'est-ce que le cadre CMMC ?
Le cadre CMMC a été créé par le DoD américain en 2020 et est basé sur les normes de pointe du secteur établies par le Institut national des normes et de la technologie (NIST). Il a été créé pour protéger deux types clés d'informations non classifiées diffusées dans l'ensemble de la base industrielle de défense (DIB) et de la chaîne d'approvisionnement du DoD :
- Informations sur les contrats fédéraux (FCI) :
« Informations fournies par ou générées pour le gouvernement dans le cadre d'un contrat et non destinées à être rendues publiques », tel que défini par le DoD.
- Informations contrôlées non classifiées (CUI) :
« Informations qui nécessitent des contrôles de sécurité de diffusion conformément aux lois, aux réglementations et aux politiques gouvernementales », tel que défini par le DoD.
Le cadre CMMC se compose de 5 niveaux de certification que les entrepreneurs des secteurs DIB doivent être respectées pour remporter des offres sur les prochains contrats :
Niveau 1 : Cyberhygiène de base
Ce niveau se concentre sur la mise en œuvre de pratiques fondamentales avec 17 contrôles de sécurité, notamment des mesures de sécurité de base telles que la mise à jour régulière des mots de passe, l'utilisation de solutions anti-programme malveillant et des habitudes de navigation sécurisées. L'objectif est de garantir que les entreprises mettent en place des contrôles de sécurité essentiels pour protéger les FCI des menaces courantes.
Niveau 2 : Cyberhygiène intermédiaire
En tant qu'étape de transition, ce niveau introduit des pratiques de cybersécurité plus avancées avec 110 contrôles dérivés de NISTSP 800-171. Il couvre les aspects de sécurité tels que le contrôle d'accès, la réponse aux incidents et la gestion des risques. L'objectif est de commencer à protéger les CUI et de construire une base de sécurité plus solide pour atteindre des niveaux de conformité plus élevés.
Niveau 3 : Bonne cyberhygiène
À ce stade, les organisations doivent mettre en œuvre un ensemble de pratiques de cybersécurité matures, comprenant 130 contrôles conçus pour gérer et atténuer les risques plus élevés liés aux CUI. L’objectif est d’établir des processus de sécurité cohérents et reproductibles pour garantir une sécurité efficace des CUI dans tous les environnements.
Niveau 4 : Cyberhygiène proactive
Avec 156 contrôles de sécurité, ce niveau met l'accent sur les mesures proactives de cybersécurité, notamment la capacité de détecter et de répondre aux attaques sophistiquées liées à l'identité telles que mouvements latéraux et les ransomwares. L'objectif est d'assurer une amélioration continue des pratiques de cybersécurité, permettant aux organisations de s'adapter à des menaces plus évolutives et de maintenir des contrôles de sécurité CUI robustes.
Niveau 5 : Cyberhygiène avancée/progressive
Le niveau le plus élevé comprend 171 contrôles et se concentre sur l'optimisation continue des pratiques de cybersécurité, la surveillance constante et l'atténuation des menaces en temps réel. L'objectif est de fournir un niveau de sécurité optimal pour les informations sensibles, en veillant à ce que les organisations soient entièrement équipées pour prévenir, détecter et répondre aux APT et autres menaces sophistiquées.
Concentrons-nous sur les aspects de sécurité des identités du cadre CMMC.
Les aspects de sécurité de l'identité de CMMC
Avec l’augmentation de la fréquence et de la complexité des cyberattaques visant les sous-traitants de DIB, sécuriser l’accès aux données sensibles n’a jamais été aussi crucial pour la sécurité nationale. L’un des éléments clés du cadre CMMC consiste à contrôler l’accès aux systèmes et informations classifiés en appliquant des contrôles de sécurité robustes. Cela comprend la mise en œuvre de Multi-Factor Authentification (MFA), en appliquant les principes du moindre privilège et en surveillant régulièrement les activités des utilisateurs pour empêcher tout accès non autorisé.
Des mesures efficaces de sécurité des identités aident les organisations à répondre aux exigences de la CMMC, protégeant ainsi leurs environnements contre les menaces internes et les cyberattaques externes. Pour répondre à l'importance de la sécurité des identités, le cadre CMMC fournit les directives suivantes aux organisations :
Contrôle d'accès (CA)
Les organisations doivent établir des politiques de sécurité qui limitent l'accès à tous les systèmes et ressources aux seuls utilisateurs, appareils et processus autorisés en fonction de leurs rôles :
- Les organisations doivent définir et gérer les politiques de sécurité pour les autorisations et les permissions d'accès des utilisateurs conformément à la moindre privilège.
- Les organisations doivent gérer toutes les authentifications d’accès à distance en les acheminant via des points de contrôle d’accès sécurisés.
- Les organisations doivent appliquer des contrôles de session utilisateur, notamment la fin des sessions et la prévention de l’exécution non autorisée de fonctions privilégiées.
Audit et Responsabilité (AU)
Les organisations doivent s’assurer que toutes les actions des utilisateurs sur les systèmes d’information sont traçables et vérifiables afin de maintenir la responsabilité :
- Les organisations doivent activer la journalisation d'audit du système avec protection des journaux contre les accès et modifications non autorisés du système pour garantir la traçabilité des actions des utilisateurs.
- Les organisations doivent examiner et analyser régulièrement les journaux d’audit et automatiser les alertes en cas d’activités suspectes ou non autorisées.
- Les organisations doivent limiter la gestion des journaux d’audit aux utilisateurs privilégiés et s’assurer que les journaux sont examinés et mis à jour systématiquement pour une surveillance précise.
Identité et authentification (IA)
Les organisations doivent identifier et authentifier les utilisateurs, les appareils et les processus pour garantir que seules les identités vérifiées peuvent accéder aux systèmes sensibles :
- Les organisations doivent vérifier tous les types d’utilisateurs, y compris les humains, les machines à machines et identités non humaines, d'accorder l'accès aux systèmes uniquement aux utilisateurs autorisés.
- Les organisations devraient permettre authentification multi-facteurs pour les comptes privilégiés et les accès réseau non privilégiés.
- Les organisations utilisent des mécanismes d’authentification résistants à la réplication pour protéger les comptes privilégiés et non privilégiés contre tout accès non autorisé.
Réponse aux incidents (IR)
Pour couvrir l'intégralité du cycle de vie d'un incident, y compris la préparation, la détection, l'analyse et la récupération, les organisations doivent établir un processus de gestion des incidents robuste :
- Les organisations doivent effectuer une analyse des causes profondes et utiliser des données médico-légales pour enquêter sur les incidents tout en protégeant l’intégrité de ces données.
- Les organisations doivent combiner des réponses manuelles et automatisées pour traiter et atténuer rapidement les activités anormales correspondant aux modèles d’incident.
Protection du système et de la configuration (SC)
Les organisations doivent protéger l’intégrité et l’authenticité des sessions de communication et s’assurer que les fonctions de gestion du système sont isolées des fonctions utilisateur :
- Les organisations doivent surveiller et contrôler le trafic réseau en appliquant des politiques de refus et en protégeant l’authenticité des communications.
Les organisations doivent appliquer des protections aux limites et veiller au respect des protocoles réseau et de l’utilisation des ports pour sécuriser les communications système.
Devenez conforme à la CMMC avec Silverfort
1. Contrôle d'accès (AC)
Silverfort permet aux administrateurs d'attribuer des politiques de contrôle d'accès à chaque utilisateur, en définissant les ressources, les périphériques ou les services auxquels l'utilisateur peut accéder. Ces politiques peuvent être appliquées en temps réel en fonction de rôles d'utilisateur spécifiques, notamment comptes privilégiés, scénarios de risque et politiques de sécurité organisationnelles.
SilverfortLes politiques de contrôle d'accès de peuvent être appliquées à chaque authentification au sein de l'environnement organisationnel. En appliquant des politiques prédéfinies, des alertes, une authentification multifacteur ou un blocage d'accès peuvent être activés pour protéger l'authentification non sécurisée aux ressources critiques.
2. Audit et Responsabilité (AU)
Chez Silverfort vous pouvez obtenir une visibilité sur tous les journaux d'activités d'authentification et d'accès dans tous les environnements. Grâce aux intégrations avec les outils SIEM, Silverfort fournit une surveillance et un examen continus de tous les événements enregistrés, garantissant que les journaux sont régulièrement analysés pour détecter les anomalies ou les incidents de sécurité.
Silverfort permet aux administrateurs de personnaliser et de mettre à jour les politiques du journal d'audit, garantissant que les nouveaux types d'événements ou de menaces sont capturés et que les journaux d'audit sont conformes à l'évolution des exigences de sécurité.
3. Identité et authentification (IA)
Silverfort authentifie l'identité de chaque utilisateur en appliquant une MFA forte sur tous les systèmes, même ceux qui ne prennent pas en charge nativement les protocoles d'authentification modernes. Cela garantit que chaque utilisateur doit vérifier son identité avant d'accéder aux ressources. En appliquant la MFA et en enregistrant toutes les activités des utilisateurs dans tous les environnements, Silverfort garantit qu'aucun accès n'est accordé sur la base de mots de passe uniquement, et les utilisateurs sont tenus de s'authentifier via MFA pour vérifier qu'ils sont bien ceux qu'ils prétendent être.
Aussi, les Silverfort fournit un inventaire d'identité approfondi qui affiche les types d'utilisateurs et de ressources dans l'environnement de l'organisation. Cela permet aux organisations de détecter et de répondre rapidement aux activités malveillantes, notamment en bloquant l'accès de tout compte présentant un comportement anormal.
4. Réponse aux incidents (IR)
Silverfort aide à l'analyse des incidents en fournissant des journaux détaillés de toutes les activités d'authentification et d'accès. Cela permet aux équipes de sécurité de comprendre ce qui s'est passé lors d'un incident et d'en déterminer la cause profonde. En utilisant des données complètes sur les demandes d'accès et les comportements des utilisateurs, Silverfort facilite une enquête complète et une compréhension des événements qui ont précédé et suivi un incident de sécurité.
SilverfortLes capacités de surveillance en temps réel de permettent de détecter les anomalies et les activités suspectes, offrant ainsi un aperçu du déroulement d'un incident. Grâce à cette analyse détaillée, il est possible d'identifier la nature et l'origine exactes du problème, facilitant ainsi une correction efficace et renforçant la sécurité globale.
5. Protection du système et de la configuration (SC)
Silverfort surveille chaque événement d'accès, y compris l'accès aux limites externes et internes des systèmes d'information. Il offre une visibilité sur ces événements d'accès et permet la configuration de politiques pour contrôler et protéger ces communications avec des contrôles d'accès avancés et une authentification sécurisée.
Vous voulez en savoir plus sur la façon dont Silverfort peut vous aider à aborder les aspects de sécurité des identités du cadre CMMC ? Télécharger le livre blanc or planifier un appel avec l'un de nos experts.