Traiter les informations non classifiées et contrôlées (CUI) dans le cadre de votre programme de lutte contre les risques liés aux initiés

Dans cet article, nous approfondissons la question des informations non classifiées contrôlées (CUI), l'un des principaux types de données que la CMMC est censée protéger.

Qu'est-ce qu'une information non classifiée contrôlée (CUI) ?

Les informations non classifiées contrôlées (CUI) sont définies par le guide CMMC comme "des informations qui nécessitent des contrôles de sauvegarde ou de diffusion conformément aux lois, aux règlements et aux politiques gouvernementales, à l'exclusion des informations classifiées en vertu du décret 13526, Classified National Security Information, du 29 décembre 2009, ou de tout autre décret qui le précède ou le remplace, ou de l'Atomic Energy Act de 1954, tel qu'amendé".

Il est important de noter que, bien que les CUI ne soient ni classifiés ni réglementés au niveau fédéral, ils sont toujours considérés comme sensibles pour les intérêts du gouvernement et de l'armée des États-Unis. À ce titre, le CMMC exige que des contrôles soient effectués sur les CUI afin d'assurer une protection et une diffusion adéquates.

Quels sont les exemples de CUI ?

L'IUC est divisé en catégories. Les CUI peuvent varier en ce qui concerne les niveaux de sensibilité, mais ils nécessitent tous le même niveau de protection.

Voici quelques exemples de CUI :

• Données et analyses en matière de défense
• Plans d'infrastructures critiques
• Contrôles des importations/exportations
• Activités policières et de renseignement
• Recherche financée par le gouvernement fédéral et informations sur les projets

Existe-t-il d'autres types d'informations qui doivent être protégées par le CMMC ?

Oui, les informations relatives aux contrats fédéraux (FCI) sont également destinées à être protégées par le CMMC. Le guide du CMMC définit la FCI comme "des informations fournies par le gouvernement ou produites pour lui dans le cadre d'un contrat qui ne sont pas destinées à être rendues publiques".

Le niveau 1 de la CMMC répond aux exigences de protection des FCI. Toutefois, il peut y avoir un chevauchement entre les CUI et les FCI, les informations pouvant être classées dans les deux catégories, ce qui oblige les contractants à satisfaire aux exigences des niveaux 2 et 3 de la CMMC.

Comment un programme de lutte contre le risque d'initiés contribue-t-il à la protection des données CUI ?

La sécurité des informations sensibles partagées avec les contractants ou gérées par eux est au cœur de tout programme de lutte contre les risques d'initiés. Avec les exigences du CMMC, l'accent est mis sur la protection des CUI et des FCI. Le cadre du CMMC ne traite pas spécifiquement du risque d'initié dans un single domaine. Au lieu de cela, les exigences et les contrôles du programme de lutte contre le risque d'initiés sont répartis entre plusieurs domaines du CMMC. 

Un programme efficace de lutte contre le risque d'initié aide les entreprises à détecter, à réagir et à prévenir l'accès non autorisé ou le partage d'informations centrales, qu'ils soient intentionnels ou accidentels. En sensibilisant les employés, les sous-traitants et les fournisseurs à la sécurité, les entreprises peuvent réduire le risque de perte de données internes et se conformer aux exigences de la base industrielle de défense (BID) en matière de cybersécurité.

Évaluations CUI et CMMC

Les évaluations du CMMC sont un processus formel conçu pour vérifier si une organisation traitant des CUI ou des FCI a mis en œuvre des contrôles de cybersécurité adéquats. Ces évaluations mesurent la conformité à des cadres tels que NIST SP 800-171 et DFARS 252.204-7012, qui définissent tous deux des exigences de base pour la protection des informations contrôlées.

Au cours d'une évaluation, des évaluateurs tiers examinent les systèmes, les processus et la documentation d'une organisation, y compris les politiques, la formation et les mesures de réponse aux incidents. Les résultats sont ensuite téléchargés dans le système SPRS (Supplier Performance Risk System), où les scores de conformité permettent de déterminer l'éligibilité à de futures attributions de contrats au sein de la chaîne d'approvisionnement de la défense.

Les organisations peuvent trouver des conseils supplémentaires sur des sites web officiels tels que

• Le Cyber AB (l'organisme officiel d'accréditation du CMMC)
• Le site web du CMMC du ministère de la défense (DoD)
• Le registre CUI du NIST

Ces sites fournissent les informations les plus récentes sur les étapes de la certification, les mises à jour des politiques et les organismes d'évaluation reconnus.

Comment les sous-traitants et les employés contribuent au maintien de la conformité

Le respect de la CMMC ne s'arrête pas au niveau du maître d'œuvre. Les sous-traitants qui traitent ou stockent des CUI doivent également respecter les mêmes exigences en matière de protection et de cybersécurité. Il est essentiel de s'assurer que chaque maillon de la chaîne d'approvisionnement respecte ces obligations pour parvenir à une conformité totale.

Cela nécessite une formation continue de sensibilisation, un suivi et des rapports afin de s'assurer que tous les employés et sous-traitants comprennent leur rôle dans la protection des CUI. Des canaux de communication clairs et des structures de responsabilité renforcent une culture de la protection conforme aux principes du CMMC.

Un programme de lutte contre les risques liés aux initiés peut renforcer cette approche en encourageant des comportements responsables en matière de traitement des données et en permettant une détection précoce des menaces potentielles liées aux initiés avant qu'elles n'aient un impact sur la conformité ou l'éligibilité à un contrat.

Le bilan

La protection des informations non classifiées contrôlées représente une responsabilité fondamentale pour chaque organisation de la base industrielle de défense. Bien que les CUI ne soient pas classifiés, leur sensibilité pour les intérêts du gouvernement et de l'armée des États-Unis exige la même protection rigoureuse que les types de données plus restreints. En mettant en œuvre des programmes complets de lutte contre le risque d'initiés et en maintenant des cadres de cybersécurité solides, les organisations s'assurent que les CUI restent protégés à tous les points de contact, de la réception initiale par le contractant à la manipulation par les sous-traitants et à l'élimination finale.

Les exigences du CMMC continuant à évoluer, l'attention portée à la protection des CUI ne fera que s'intensifier. Les organisations qui excellent dans l'identification, le suivi et la protection des CUI tout au long de leurs opérations et dans l'ensemble de leur chaîne d'approvisionnement se positionnent comme des partenaires de confiance dans l'écosystème de la défense. Cela signifie qu'il faut aller au-delà de la conformité de base pour créer une culture dans laquelle chaque employé, contractant et système traite les CUI avec la vigilance qu'ils méritent. 

"La <a href=\"\">plateforme de Human Risk Management de Mimecast aide les organisations à maintenir une visibilité continue sur la manipulation et le mouvement des CUI, permettant une détection proactive des risques d'exposition potentiels avant qu'ils ne compromettent votre statut de conformité CMMC. " En automatisant la surveillance des CUI et en fournissant des alertes en temps réel sur les violations de la politique, vous pouvez démontrer aux évaluateurs et aux partenaires gouvernementaux que vos mesures de protection des CUI dépassent les exigences.

Passez à l'étape suivante de la protection de vos informations contrôlées et non classifiées. Demandez une démonstration de la plateforme de gestion des Human Risk de Mimecast dès aujourd\'hui.