Les menaces de cybersécurité sont de plus en plus sophistiquées, ce qui crée des défis pour les organisations qui traitent des données sensibles. Pour les entreprises travaillant avec le département de la Défense des États-Unis, le maintien de niveaux élevés de cybersécurité n’est pas seulement une pratique exemplaire, mais aussi obligatoire pour la sécurité de l’infrastructure de défense du pays. C’est là qu’intervient la certification du modèle de maturité en cybersécurité (CMMC) pour appliquer des mesures de cybersécurité robustes et protéger les informations d’importance critique contre les cyberattaques de plus en plus sophistiquées. En veillant à ce que tous les entrepreneurs de la défense respectent des normes de sécurité plus élevées, le CMMC souligne son rôle essentiel dans la préservation de la sécurité nationale.

Ici, nous explorerons ce qu’est la conformité au CMMC et son importance, comment fonctionne le CMMC 2.0 nouvellement mis à jour, la mise en œuvre progressive du CMMC pour les entrepreneurs et comment CallTower peut aider les entrepreneurs à atteindre et à maintenir la coopérationavec Microsoft Teams GCC High.

Qu’est-ce que la conformité au CMMC et pourquoi est-elle importante

Le CMMC est un programme élaboré par le DoD pour s’assurer que les entrepreneurs et les sous-traitants de la Base industrielle de défense (BID) respectent les exigences de sécurité. Le programme vise à renforcer la cybersécurité de la BID, à améliorer l’application des mesures de sécurité déjà en place et à mieux protéger les renseignements sensibles, comme les renseignements sur les contrats fédéraux (FCI) ou les renseignements contrôlés non classifiés (CUI).

La conformité à la CMMC est essentielle pour protéger la sécurité nationale. La DIB est confrontée à des cyberattaques de plus en plus fréquentes et complexes, et les atteintes peuvent compromettre des données gouvernementales sensibles. En renforçant la cybersécurité et en améliorant l’application des mesures de sécurité existantes, le CMMC atténue les risques à tous les niveaux tout en veillant à ce que tous les entrepreneurs de la défense, quelle que soit leur taille, s’alignent sur des normes de sécurité strictes.

Le programme a été introduit pour la première fois en 2019 dans le cadre du CMMC 1.0. Après la publication initiale de ce cadre, le programme a fait l’objet d’importantes mises à jour à la suite des commentaires du public. Au début de 2021, le DoD a commencé à développer CMMC 2.0 pour renforcer les protocoles de sécurité et en simplifier la mise en œuvre.

Comment fonctionne CMMC 2.0

Le CMMC 2.0 est structuré en 3 niveaux de conformité, chacun ayant des exigences de plus en plus strictes pour les niveaux plus élevés de renseignements sensibles. Le CMMC 2.0 est structuré en trois niveaux de conformité, chacun conçu pour répondre à divers degrés d’exigences en matière de sécurité :

• Le niveau 1 met l’accent sur les mesures fondamentales pour protéger l’ICF avec 15 contrôles de sécurité. Les fournisseurs effectuent des auto-évaluations pour atteindre ce niveau de certification.
• Le niveau 2 traite de la protection de l’IUC en intégrant 110 contrôles de sécurité. Elle nécessite généralement des évaluations indépendantes effectuées par les organisations évaluatrices tierces (C3PAO) de la CMMC.
• Le niveau 3 est conçu pour les organisations qui traitent des informations hautement sensibles, ajoutant 24 contrôles avancés pour se défendre contre les menaces persistantes. Ces évaluations sont dirigées par des vérificateurs approuvés par le gouvernement.

Ce cadre révisé a fait l’objet d’un examen public et gouvernemental avant d’être publié en tant que règle proposée en décembre 2023. Le programme a ensuite été publié en tant que règle finale dans le Federal Register le 15 octobre 2024 et est devenu opérationnel le 16 décembre 2024, faisant de CMMC 2.0 le programme de cybersécurité officiel du DoD. Cela signifie que, contrairement à ses prédécesseurs, la conformité CMMC 2.0 est obligatoire pour tous les entrepreneurs de défense actuels et futurs, soulignant l’importance cruciale du programme pour sécuriser la chaîne d’approvisionnement du DoD.

Mise en œuvre progressive de la CMMC 2.0

Étant donné que la CMMC 2.0 est obligatoire pour tous les entrepreneurs et sous-traitants, le DoD a utilisé une mise en œuvre progressive pour s’assurer que tous les entrepreneurs sont conformes à la CMMC d’ici 2028. La mise en œuvre en 4 phases est la suivante :

• Phase 1 : Les autoévaluations pour les contrats de niveau 1 et de niveau 2 deviennent conditionnelles à l’admissibilité des contrats du DoD, et les entrepreneurs peuvent adopter des contrôles essentiels du CMMC pour les autoévaluations. Cette phase a commencé après l’entrée en service de CMMC 2.0 le 16 décembre 2024 et dure 6 mois.
• Phase 2 : Les entrepreneurs qui souhaitent obtenir des contrats de niveau 2 doivent réussir une évaluation de niveau 2 d’un C3PAO. Cette phase, qui débute à la mi-2025, dure 12 mois.
• Phase 3 : Les entrepreneurs qui souhaitent obtenir des contrats de niveau 3 doivent passer une évaluation dirigée par le gouvernement et menée par le Centre d’évaluation de la cybersécurité de la DIB. Cette phase débute à la mi-2026 et se poursuit pendant 12 mois.
• Phase 4 : L’intégration complète de CMMC 2.0 dans tous les contrats du DoD est prévue d’ici la mi-2028. À ce stade, les entrepreneurs doivent se conformer aux exigences du CMMC pour être admissibles aux contrats.

Actuellement, la phase 1 se termine et la phase 2 commence, ce qui rend essentiel pour les entrepreneurs du DoD de finaliser les auto-évaluations et de se préparer aux évaluations tierces pour obtenir la certification de niveau 2.

Comment Microsoft Teams GCC High soutient les entrepreneurs

La conformité à la CMMC nécessite le maintien de systèmes de communication sécurisés qui protègent les informations sensibles et garantissent des protocoles de cybersécurité rigoureux, ce qui peut être accablant pour les anciens et les nouveaux entrepreneurs. C’est là qu’intervient CallTower, un chef de file mondial des solutions de communication et de collaboration en nuage de classe entreprise. CallTower se spécialise dans l’unification des technologies de communication tout en assurant la conformité réglementaire, notamment par le biais de Microsoft Teams GCC High.

Microsoft Teams GCC High est une version spécialisée de la plateforme de Microsoft, conçue pour répondre aux normes rigoureuses du DoD. Elle adhère à des normes de conformité strictes, telles que le Federal Risk and Authorization Management Program (FedRAMP) et le Règlement sur le trafic international des armes (ITAR). Avec ses protections robustes pour FCI et CUI, Teams GCC High est une solution idéale pour les entrepreneurs qui ont besoin de systèmes de collaboration sécurisés et conformes.

L’avantage CalLTower

Pour les entrepreneurs, CallTower leur fournit non seulement les outils nécessaires à la conformité à la CMMC, mais offre également des avantages pour améliorer leur communication et leur efficacité opérationnelle. En tant que partenaire de confiance de Microsoft, CallTower a été le premier fournisseur de services de routage direct pour GCC High, permettant des appels vocaux, des conférences et des capacités PSTN sécurisées dans Microsoft Teams tout en respectant les normes de conformité. De plus, CallTower est le seul fournisseur de services vocaux offrant un routage direct basé sur le cloud dans GCC High pour prendre en charge Microsoft 365 GCC High (MSFT 365 GCCH) pour les entrepreneurs du DoD.

Parmi les autres avantages que CallTower offre aux entrepreneurs qui utilisent GCC High, mentionnons :

• Sécurité améliorée de bout en bout : La collaboration sécurisée est assurée par le respect des exigences strictes de CMMC et GCC High, soutenues par un cryptage robuste et une protection avancée des données.
• Réseau optimisé pour la voix : Une communication vocale de haute qualité est garantie grâce à un réseau spécialement conçu pour la clarté, la fiabilité et les appels à faible latence.
• Connexions redondantes et basculement : La continuité des activités est maintenue grâce à plusieurs systèmes redondants qui réacheminent le trafic de manière transparente en cas de panne ou de problème.
• Surveillance et soutien continus : La surveillance gérée par des experts et le soutien 24 heures sur 24 et 7 jours sur 7 assurent une détection et une résolution rapides des problèmes potentiels.
• Mise en œuvre simplifiée : Des processus simplifiés et des conseils d’experts minimisent la complexité du déploiement de Microsoft Teams GCC High pour la conformité.
• Évolutif et rentable : Les solutions flexibles s’adaptent aux besoins changeants tout en offrant une rentabilité et une valeur sans sacrifier la performance ou la conformité.

En conclusion

La conformité à la CMMC est essentielle pour sécuriser l’infrastructure de défense du pays, protéger les informations sensibles et atténuer les cyberattaques croissantes auxquelles la DIB est confrontée. Avec le déploiement progressif de CMMC 2.0, les entrepreneurs et les sous-traitants doivent adhérer à des normes de cybersécurité plus strictes pour maintenir l’admissibilité aux contrats du DoD. Cela permet non seulement d’assurer une protection uniforme des FCI et des CUI, mais aussi de renforcer la résilience globale de la chaîne d’approvisionnement du ministère de la Défense.

Pour les entrepreneurs qui naviguent dans la complexité de la conformité, des solutions comme Microsoft Teams GCC High, prises en charge par CallTower, fournissent des outils fiables pour répondre à des normes de cybersécurité strictes. L’expertise de CallTower en matière de technologies de communication, associée à son infrastructure robuste et conforme, simplifie le processus pour les entrepreneurs, assurant une communication sécurisée et une mise en œuvre simplifiée. Grâce à une sécurité de bout en bout, à des solutions évolutives et à un soutien d’experts, CallTower permet aux entrepreneurs du DoD de répondre efficacement aux exigences du CMMC. Ensemble, ces mesures renforcent la sécurité nationale contre l’évolution des cybermenaces tout en maintenant l’excellence opérationnelle.