Qu’est-ce que le CMMC (Certification du modèle de maturité de la cybersécurité)?
Le programme CMMC, Cybersecurity Maturity Model Certification, a été lancé par le ministère américain de la défense pour mesurer et vérifier le niveau de mise en œuvre des processus et des pratiques dans le domaine de la cybersécurité chez ses fournisseurs.
L’objectif ultime du CMMC, à travers ses niveaux de maturité (voir ci-dessous), est de servir de mécanisme de vérification pour les fournisseurs de la base industrielle de défense (DIB) afin de mettre en œuvre des processus et des pratiques de cybersécurité pour protéger deux types d’informations:
- Les informations non classifiées contrôlées, telles que mentionnées dans le document NIST 800-171, sont des informations qui nécessitent une protection ou des contrôles de divulgation conformément aux lois et politiques gouvernementales, mais qui ne sont pas classifiées. En bref, il s’agit d’informations sensibles, pertinentes pour les intérêts des États-Unis, mais qui ne sont pas strictement réglementées par le gouvernement fédéral.
Le gouvernement américain tient à jour un registre CUI avec des catégories et sous-catégories de ce type d’informations:
|
|
- Informations relatives aux contrats fédéraux(FCI) sont des informations non publiques fournies ou générées par le gouvernement dans le cadre d’un contrat visant à développer ou à fournir un produit ou un service au gouvernement.
L’image suivante montre la relation entre FCI, CUI et l’information publique:
À un niveau élevé, ce modèle est une collection de processus et de pratiques provenant d’autres normes et règlements tels que NIST, FAR, et DFARS entre autres. Le tableau suivant présente un résumé de la couverture du CMM par rapport à d’autres normes, notamment la norme NIST 800-171.
À qui s’applique-t-elle et pourquoi est-elle importante?
Cette certification s’applique à la fois aux contractants principaux du ministère de la Défense et à leurs sous-traitants. Elle est entrée en vigueur en novembre 2020 et un certain niveau de certification sera requis pour tous les contrats à partir de 2026. Le coût de la cybercriminalité dans le monde dépasse 1 000 milliards de dollars, et a augmenté de 50 % depuis 2018, soit plus de 1 % du PIB générant des pertes mondiales de 600 milliards de dollars. 75 % de celles des pertes sont liées au vol de propriété intellectuelle et à la criminalité financière. Le coût de la cybercriminalité devrait continuer à augmenter et, selon d’autres analyses, atteindre 10 500 milliards de dollars par an d’ici 2025.
En mai 2021, le président américain Joe Biden a signé un décret visant à améliorer la cybersécurité des États-Unis à la suite de l’attaque informatique dont a été victime l’oléoduc Colonial, le plus important du pays, qui a dû être fermé pour protéger les systèmes d’exploitation. Ce décret prévoit l’établissement de normes de cybersécurité de base pour tous les logiciels achetés par le gouvernement afin d’améliorer la sécurité tout au long de la chaîne d’approvisionnement. Entre autres, le décret exige le déploiement de l’utilisation du cryptage par le gouvernement dans un délai très court (6 à 9 mois).
C’est pourquoi la CMMC et la conformité aux normes de cybersécurité deviendront de plus en plus importantes dans les années à venir pour tous les fournisseurs du gouvernement américain.
Le modèle CMMC et ses 5 niveaux
Le CMMC et sa relation avec le NIST 800-171
L’une des normes sur lesquelles repose le CMMC est la norme 800-171 créée par le NIST pour aider à protéger fondamentalement les informations contrôlées non classifiées (CUI) dans les organisations non fédérales ou gouvernementales. La norme NIST 800-171 a été élaborée après la loi FISMA (Federal Information Security Management Act), qui a donné lieu à différentes directives et normes de sécurité. La réussite d’un audit CMMC ne signifie pas qu’une organisation respecte ou est « conforme » à la norme NIST 800-171. Le CMMC se concentre uniquement sur les contrôles liés aux informations non classifiées contrôlées (CUI), mais le NIST 800-171, en plus des 110 contrôles CUI, comprend 63 contrôles de type NFO (Non-Federal Organization).
Contrairement à la norme NIST SP 800-171, le, the modèle CMMC comporte cinq niveaux. Le modèle est cumulatif, de sorte que chaque niveau comprend des pratiques et des processus ainsi que ceux spécifiés dans les niveaux inférieurs. Le modèle CMMC comprend des pratiques de cybersécurité supplémentaires qui s’ajoutent aux exigences de sécurité spécifiées dans la norme NIST SP 800-171. Outre l’évaluation de la mise en œuvre des pratiques de cybersécurité d’une entreprise, le CMMC évalue également les processus de maturité de l’entreprise. Le niveau 3 du modèle CMMC comprend les 110 exigences de sécurité spécifiées dans la norme NIST SP 800-171. Le modèle CMMC intègre également des pratiques et des processus supplémentaires issus d’autres normes, références et/ou ressources, tels que NIST SP 800-53, Aerospace Industries Association(AIA) National Aerospace Standard (NAS) 9933 « CriticalSecurity Controls for Effective Capability in Cyber Defense », et let Computer Emergency Response Team (CERT) Resilience Management Model (RMM). Le tableau suivant présente les normes ou les cadres sur lesquels se fonde le CMMC:
FAR Clause 52.204-21 |
NIST SP 800-171 Rev 1 |
Draft NIST SP 800-171B |
CIS Controls v7.1 |
NIST Framework for Improving Critical Infrastructure Cybersecurity (CSF) v1.1 |
CERT Resilience Management Model (CERT RMM) v1.2 |
NIST SP 800-53 Rev 4 |
D’autres comme “UK NCSC Cyber Essentials” o “AU ACC Essential Eight” |
Les composantes du CMMC
Le modèle CMMC est organisé en processus et en meilleures pratiques de sécurité dans un sous-ensemble de domaines. Les éléments du modèle sont:
- 17 Domaines composés de Pratiques, organisées à leur tour en Capacités.
- 43 Capacités ou collections de pratiques de cybersécurité.
- 171 Pratiques de cybersécurité.
- 5 Processus qui sont évalués pour les niveaux de maturité 1 à 5.
- 5 niveaux de certification correspondant aux 5 niveaux de maturité.
Chaque niveau comporte un ensemble de processus et de pratiques ainsi qu’un objectif pour chacun d’entre eux en relation avec les domaines applicables à ce niveau. Par exemple, atteindre le niveau 3 signifie qu’une organisation a atteint l’objectif de disposer de processus gérés et de pratiques d’un bon niveau de cybersécurité. Le tableau suivant présente un résumé des niveaux en fonction de la maturité des processus et des pratiques:
La figure suivante montre pour chaque niveau les pratiques requises par la norme NIST 800-171 et d’autres normes et règlements:
En résumé, la liste des pratiques par niveau est la suivante:
Le tableau suivant montre la relation entre les domaines, et les pratiques de chaque domaine qui se réfèrent à chaque niveau.
Cible ou objectif des processus de maturité en fonction du type d’information
Le modèle CMMC permet d’améliorer l’alignement des pratiques de cybersécurité et des processus de maturité sur le type et la sensibilité des informations à protéger et sur les types de menaces. À cet égard, les niveaux peuvent également être caractérisés par leur orientation:
- Niveau 1: Sauvegarde des informations du contrat fédéral (FCI).
- Niveau 2: sert d’étape transitoire pour protéger les CUI.
- Niveau 3: PProtéger les informations non classifiées contrôlées (CUI).
- Niveau 4-5: protéger les CUI et réduire les risques liés aux menaces persistantes avancées (APT).
Modèle de confiance zéro et CMMC
Le modèle de sécurité « confiance zéro » part du principe qu’un attaquant est présent dans le réseau de l’organisation et qu’un environnement ou un réseau appartenant à l’organisation n’est pas différent, ou pas plus fiable, qu’un environnement ou un réseau n’appartenant pas à l’organisation. L’objectif de ce modèle est d’empêcher l’accès non autorisé aux données en rendant le contrôle d’accès aussi granulaire que possible. En d’autres termes, les sujets autorisés et approuvés (combinaison d’utilisateur, d’application, de service et de dispositif) peuvent accéder aux données à l’exclusion de tous les autres sujets (c’est-à-dire les attaquants). Depuis plus de dix ans, les agences fédérales du gouvernement américain encouragent les organisations à adopter un modèle de sécurité fondé sur les principes de confiance zéro , en développant des capacités et des politiques telles que la loi sur la modernisation de la sécurité des informations fédérales (FISMA). Les principes du modèle de confiance zéro sont:
- Veillez à ce que les données soient accessibles en toute sécurité, quel que soit leur emplacement: Toute connexion à des données n’est pas fiable jusqu’à preuve du contraire, quel que soit le lieu d’où elle est établie.
- Adoptez la stratégie du « modèle d’accès au moindre privilège » et appliquez des contrôles d’accès stricts: Un individu ne devrait avoir accès qu’aux ressources dont il a besoin pour effectuer son travail et empêcher l’accès au reste.
- Inspectez et enregistrez tout: L’activité doit être inspectée non seulement au point d’accès au réseau mais aussi à l’intérieur du réseau, en essayant d’identifier les comportements anormaux.
Il s’agit d’un modèle de sécurité centré sur les données, où la sécurité des données est au cœur du dispositif. Gardez à l’esprit que le but ultime de la sécurité n’est pas de protéger le réseau, les systèmes ou les dispositifs, mais de protéger ce qui a le plus de valeur, à savoir les données sensibles.
La CMMC accorde une importance particulière aux organisations qui mettent en œuvre des processus et des pratiques de cybersécurité pour protéger deux types d’informations, comme indiqué ci-dessus : les données relatives aux informations non classifiées contrôlées (CUI) et les données relatives aux contrats fédéraux (FCI). Dans le CMMC ou le NIST 800-171, la confiance zéro n’est pas explicitement mentionnée, mais par exemple, dans la partie sur la gestion de la configuration (CM), il est demandé aux organisations d’utiliser le principe du meilleur accès privilégié. En juillet 2021, l’administration américaine a publié un mémo visant à créer de nouvelles pratiques de cybersécurité pour les infrastructures critiques, telles que les secteurs de l’électricité, du gaz naturel et de l’eau. Ces nouvelles pratiques seront basées sur les normes du NIST, notamment la publication 800-207, « Zero Trust Architecture (ZTA) ». Selon certaines sources, un mémo sur le CMMC et l’architecture de confiance zéro pour la DIB (Defense Indutrial Base) est en préparation.
L’approche de la sécurité centrée sur les données de SealPath dans le contexte du CMMC
Une approche de la sécurité centrée sur les données repose sur la sécurisation du contenu le plus précieux de l’organisation afin de le protéger contre un départ non autorisé du réseau ou du cloud ou contre une fuite de données. Nous pouvons savoir où se trouvent les informations sensibles de l’organisation, ainsi que leur niveau de classification, mais cela ne servira pas à grand-chose si nous ne mettons pas en place des mesures pour protéger ces informations partout où elles circulent. SealPath, avec une approche de la sécurité centrée sur les données, permet à la documentation et aux fichiers de l’organisation de voyager en étant protégés en permanence. La protection accompagne le document partout et peut être contrôlée:
- Qui accède au document (identité).
- Avec quelles permissions telles que visualiser, modifier, imprimer, etc. (niveau d’accès).
- Jusqu’à quand (temporalité de l’accès).
- De quels sous-réseaux et IP (lieu d’accès).
SealPath s’aligne sur une stratégie de sécurité fondée sur le modèle de la confiance zéro, SealPath s’aligne sur une stratégie de sécurité fondée sur le modèle de la confiance zéro, de sorte que les utilisateurs n’ont accès qu’aux informations dont ils ont besoin, quand ils en ont besoin et avec les autorisations d’accès minimales requises. SealPath facilite la mise en œuvre de différentes pratiques de sécurité CMMC. Nous présentons ci-dessous un tableau organisé par domaines et capacités dans lesquels SealPath, avec son approche de la sécurité centrée sur les données, peut apporter son aide. Le niveau CMMC auquel la pratique en question se réfère est également indiqué. Il est important de noter qu’une solution logicielle ne permet pas à elle seule de se conformer à une norme telle que la norme NIST 800-171 ou d’obtenir la certification d’un audit CMMC, mais que cet objectif est atteint grâce à la mise en œuvre de différents processus, pratiques et outils.
Les sections suivantes, organisées par domaine, détaillent dans quelles capacités et pratiques la solution de sécurité centrée sur les données de SealPath peut contribuer à la conformité. Une référence à l’exigence NIST 800-171 liée à la pratique est également incluse. Seules les pratiques pour lesquelles SealPath peut contribuer à la conformité sont indiquées (encadrées en bleu). Bien que le détail soit montré en indiquant comment SealPath peut aider, le tableau suivant a comprend un résumé de la cartographie des pratiques, avec sa référence à l’exigence NIST 800-171 où SealPath peut aider.
Contrôle d’accès (CA)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- AC.1.001 / AC.2.002 – SealPath peut limiter et contrôler qui accède aux fichiers sensibles. Seuls les utilisateurs autorisés peuvent accéder et avec les permissions attribuées par le propriétaire du fichier (seulement visualiser, modifier, imprimer, etc.).
- AC.2.005 – SealPath fournit des avertissements de sécurité sur les fichiers protégés indiquant la politique de protection, la description, les filigranes dynamiques, etc.
- AC.2.006 – L’information voyage protégée, qu’elle soit sur un dispositif portable ou un système de stockage externe. L’accès sera contrôlé et limité de manière égale en fonction des permissions attribuées à l’utilisateur.
- AC.2.007 – Seuls les utilisateurs sont autorisés à accéder à ce à quoi ils doivent avoir accès et pas plus. Le principe du moindre privilège s’applique, qui est limité par la politique de protection des fichiers.
- AC.2.008 – Les comptes privilégiés ne sont pas nécessaires pour accéder aux informations sensibles protégées. En outre, certains utilisateurs peuvent accéder aux données sans que les utilisateurs administrateurs aient eux-mêmes accès aux données.
- AC.2.009- SealPath a une politique de nombre maximum de tentatives avec la possibilité de bloquer l’information si un certain nombre est dépassé.
- AC.2.016 – L’ensemble du cycle de vie des CUI est contrôlé en fonction des autorisations délimitées dans la politique, et l’accès à l’information n’est possible que si l’autorisation correspondante est disponible.
- AC.3.017 – SealPath permet une séparation des tâches de sorte qu’une distinction est faite entre les administrateurs qui peuvent accéder à la gestion de l’infrastructure, et les gestionnaires de données qui contrôlent les politiques ou les utilisateurs qui peuvent accéder aux informations sensibles.
- AC.3.019 – Il est possible de bloquer les sessions d’accès à la documentation sensible en forçant une réinitialisation des informations d’identification ou en supprimant simplement les utilisateurs des politiques d’accès à la documentation ou de la documentation elle-même.
- AC.3.022 – Les informations restent cryptées sur les PC, les appareils mobiles, les plateformes en nuage. Le contrôle d’accès à l’information et la protection des fichiers voyagent avec les documents.
AUDIT & RESPONSABILITÉ (AU)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- AU.2.041 – SealPath surveille l’accès aux documents sensibles protégés afin que vous puissiez vérifier qui y accède, quand, à partir de quelles IP, et les autorisations avec lesquelles ils y accèdent.
- AU.2.042 – SealPath conserve les journaux de surveillance dans une base de données, qui peut être conservée dans le temps en élargissant simplement l’espace. D’autre part, les journaux peuvent être envoyés à un SIEM afin qu’ils puissent également être conservés dans ce système.
- AU.2.043 – Les journaux sont synchronisés avec l’heure de l’horloge du système. Toutes les entrées de journal incluent la date et l’heure.
- AU.2.044 – L’administrateur a accès aux journaux de contrôle d’accès aux documents protégés qui peuvent être examinés et corrélés avec les journaux d’autres systèmes.
- AU.3.045 / AU.3.046 – Le protecteur des données et l’administrateur peuvent tous deux avoir accès aux personnes qui ont ouvert un document, à la date et à l’heure, etc. Egalement des alertes sur les tentatives d’accès bloquées, les tentatives de connexion échouées, les documents non protégés, etc.
- AU.3.049 / AU.3.50 – Seul un utilisateur qui a protégé un document a accès aux informations de surveillance de ce document. L’administrateur est la seule personne qui peut en outre accéder à ces journaux. Ces journaux ne sont pas modifiables et sont stockés dans une base de données à laquelle, dans un déploiement sur site, seul l’administrateur de la base de données a accès.
- AU.3.051 – Les journaux sont horodatés et peuvent être corrélés avec des événements survenant dans d’autres systèmes. Il est possible de différencier le type d’alerte : tentative d’accès à un document sans autorisations, déprotection de documents, invitations d’utilisateurs, etc.
- AU.3.052 – Les événements ou les journaux sont post-traités et affichés à l’administrateur sous la forme de graphiques de synthèse de l’activité. D’autre part, les informations peuvent être envoyées à un SIEM pour être analysées avec d’autres événements. A partir du SIEM, il est possible de générer des rapports spécifiques et de les envoyer à une ou plusieurs personnes.
SENSIBILISATION ET FORMATION (AT)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- AT. 3.058 – L’une des parties fondamentales du processus de mise en œuvre de SealPath consiste à sensibiliser les utilisateurs à la nécessité de protéger et de gérer de manière adéquate les informations sensibles de l’organisation. Cet article explique les étapes du déploiement, l’une des plus fondamentales étant « éduquer et communiquer ».
GESTION DE LA CONFIGURATION (CM)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- CM.2.062 – Suivant le modèle de confiance zéro, SealPath est basé sur le principe de donner aux utilisateurs un accès uniquement à ce dont ils ont besoin et uniquement à ce dont ils ont besoin.
- CM. 3.068 – Il est possible de restreindre ou de révoquer l’utilisation de documents protégés même s’ils ont déjà été partagés et se trouvent en dehors du réseau de l’organisation.
IDENTIFICATION ET AUTHENTIFICATION (IA)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- IA.1.076 / IA.1.077 – SealPath consiste en une combinaison de gestion des identités (vérifier qui accède aux informations), de gestion des permissions (ne laisser que les permissions nécessaires) et de cryptage (au repos, en transit et en utilisation). L’utilisateur qui accède ou tente d’accéder aux CUI est identifié à tout moment.
- IA.2.078 / IA.2.079 / IA.2.080 / IA.2.081 / IA.2.082 – SealPath permet de gérer différents niveaux de résistance des mots de passe, y compris des captchas après une première tentative erronée, de limiter le nombre de faux accès autorisés ou de forcer le changement des informations d’identification. Il y a une intégration avec AD pour établir ce type de politiques et si elles sont stockées dans une base de données, elles sont stockées cryptées.
- IA.3.083 / IA.3.084 – SealPath permet l’utilisation d’une authentification multifactorielle et de mécanismes d’authentification avancés, intégrés à AD Federation Services.
- IA.3.085 / IA.3.086 – Il est possible de bloquer ou de désactiver temporairement ou définitivement des identifiants d’utilisateurs afin qu’ils ne puissent pas accéder à la documentation protégée. D’autre part, il est possible de bloquer l’accès aux utilisateurs après une période d’inactivité de manière intégrée avec AD.
RÉPONSE AUX INCIDENTS (IR)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- IR.2.093 / IR.3.098 – Les événements de tentatives d’accès bloqué à des fichiers, de déprotection massive de documents, d’accès à des fichiers avec un journal des dates IP, etc. sont enregistrés. Ces événements sont disponibles pour le protecteur du document et pour l’équipe de sécurité. Les événements peuvent également être signalés par le biais d’un SIEM afin que, selon le niveau d’alerte, les actions de réponse puissent être priorisées.
MAINTENANCE (MA)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- MA.3.115 – SealPath ne détruit pas ou n’élimine pas les informations des équipements ou des dispositifs qui sont retirés. Cependant, les informations restent cryptées, avec un contrôle d’accès, pouvant révoquer l’accès à celles-ci à certaines IP, utilisateurs, etc. Cette révocation implique une destruction « virtuelle » de l’information, puisqu’elle reste inaccessible où qu’elle se trouve.
PROTECTION DES MÉDIAS (MP)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- MP.1.118 – Comme décrit dans l’exigence MA.3.115, SealPath ne détruit ni ne supprime les informations de type FCI ou CUI des dispositifs qui sont retirés. Cependant, les informations restent cryptées, le contrôle d’accès pouvant révoquer l’accès à celles-ci pour certaines IP, utilisateurs, etc. Cette révocation implique une destruction « virtuelle » des informations, puisqu’elles restent inaccessibles où qu’elles se trouvent.
- MP.2.119 / MP.2.120 / MP.3.124 – La documentation en format numérique CUI reste protégée et sous contrôle au repos, en transit et en utilisation. Il est possible de limiter qui peut y accéder, avec quelles permissions, jusqu’à quand il est possible d’y accéder, etc. Ceci est fait indépendamment du fait qu’il soit stocké sur un dispositif amovible tel qu’un disque dur. De même, lorsque ces dispositifs se trouvent en dehors des zones physiques contrôlées par l’organisation.
SÉCURITÉ DU PERSONNEL (PS)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- PS.2.128 – Lorsqu’une personne quitte l’organisation ou passe d’un ordinateur à un autre, il est possible de transférer les permissions qu’elle a sur certaines informations CUI à d’autres personnes ou simplement de restreindre son accès. Ce contrôle peut également être effectué de manière synchronisée avec AD, de sorte que lorsqu’un utilisateur est désactivé ou supprimé d’AD, il perd l’accès à la documentation.
RECOUVREMENT (RE)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- RE.2.138 – Les informations restent protégées non seulement sur les ordinateurs des utilisateurs ou les serveurs de fichiers mais aussi dans les sauvegardes. L’administrateur peut choisir de déprotéger les documents de sauvegarde si nécessaire, mais une piste d’audit est conservée des actions prises par l’administrateur.
GESTION DES RISQUES (RM)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- RM.2.141 / RM.2.143 – Les informations d’audit et de suivi des actions sur les documents, les alertes, etc. permettent d’analyser périodiquement si les politiques de sécurité définies par l’organisation sont respectées ou si des modifications des politiques sont nécessaires. Il est possible de remédier aux éventuelles déficiences constatées en modifiant les politiques de sécurité, en en créant de nouvelles, etc. Dans le cadre des étapes de déploiement d’une solution centrée sur les données telle que SealPath, il est recommandé « d’affiner et de faire évoluer » les politiques de sécurité comme indiqué dans cet article.
ÉVALUATION DE LA SÉCURITÉ (CA)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- CA.2.158 / CA.3.161 – Les contrôles de sécurité établis dans SealPath peuvent être revus périodiquement pour déterminer s’ils sont efficaces ou s’ils doivent être modifiés. Sur d’autre part, les alertes peuvent être contrôlées en permanence pour vérifier leur efficacité ou pour apporter des modifications en fonction des déficiences ou des alertes détectées.
SYSTEMS & PROTECTION DES SYSTÈMES ET DES COMMUNICATIONS (SC)
Comment SealPath aide-t-il à se conformer à ces pratiques?
- SC.1.175 – SealPath vous permet de protéger les pièces jointes ou les corps de messages envoyés à l’intérieur et à l’extérieur de l’organisation. Egalement la documentation qui est échangée avec des utilisateurs internes ou externes par n’importe quel moyen (systèmes de partage du Cloud, outils de collaboration, etc.). Cette documentation, ces courriels et ces pièces jointes peuvent être surveillés, et les autorisations d’accès et de révocation peuvent être contrôlées, en plus de voyager de manière cryptée.
- SC.3.177 / SC.3.185 / SC.3.187 – SealPath utilise des systèmes cryptographiques validés par la FIPS, y compris la possibilité de gérer les clés à l’aide d’un HSM. Les voyages de protection sont chiffrés et protégés au repos, en transit et en cours d’utilisation pour empêcher tout accès non autorisé.
- SC.3.181 – Les fonctionnalités de gestion de l’infrastructure et de gestion des politiques par l’administrateur sont séparées des fonctionnalités de l’utilisateur. Le fait qu’un utilisateur ait accès à certaines informations sensibles n’implique pas qu’un administrateur y ait également accès.
- SC.3.182 / SC.3.188 / SC.3.191 – La documentation voyage protégée et sous contrôle afin que seuls les utilisateurs autorisés puissent y accéder et avec les permissions attribuées, quel que soit l’endroit où la documentation est transférée. Cela inclut les appareils mobiles vers lesquels la documentation sensible est envoyée ou stockée. Cela protège également la confidentialité de l’accès aux CUI au repos, quel que soit l’endroit où se trouvent les CUI.
- SC.3.190 – Les communications pour le contrôle des autorisations d’accès sont effectuées par des protocoles HTTPS sécurisés utilisant un service de jetons de sécurité (STS). Le protocole utilisé pour délivrer les jetons de sécurité est basé sur WS-Trust, une spécification de service Web construite sur WS- Security.
Résumé
Une solution de protection centrée sur les données telle que SealPath permet de maintenir les informations protégées et sous contrôle dans n’importe quel environnement. Conformément aux principes de la confiance zéro, elle permet un accès granulaire aux documents confidentiels non classifiés (CUI) ainsi qu’aux informations confidentielles classifiées. Les utilisateurs ne sont autorisés à accéder qu’à ce dont ils ont besoin et uniquement à ce dont ils ont besoin, et elle permet de surveiller les comportements d’accès suspects aux informations critiques de l’organisation. Vous souhaitez en savoir plus sur la façon dont SealPath peut vous aider dans votre processus de certification CMMC, NIST 800-171 ou pour mettre en œuvre un modèle de sécurité Zéro Confiance? Contactez nous.