La CMMC pourrait être suspendue, mais les audits de cybersécurité devraient revenir : industrie et experts

WASHINGTON — Malgré la pause des audits par des tiers dans un programme du ministère de la Défense destiné aux sous-traitants, le Pentagone devra probablement revenir à une sorte de régime d’examen pour s’assurer qu’il n’y a pas de portes virtuelles déverrouillées par lesquelles les pirates informatiques adverses pourraient passer, selon des responsables et des experts de l’industrie.

Les dirigeants du ministère de la Défense et de l’Administration des petites entreprises ont annoncé lundi qu’ils faisaient une pause dans la phase II du programme de certification du modèle de maturité de la cybersécurité (CMMC), qui oblige les entreprises travaillant avec le DoD à se soumettre à des évaluations par des tiers pour s’assurer qu’elles sont conformes aux normes de cybersécurité.

La CMMC ne fixe pas les normes ; ceux-ci proviennent du NIST SP 800-171 Rev 2, qui décrit 110 exigences de cybersécurité pour protéger les informations non classifiées contrôlées (CUI). La CMMC s’efforce plutôt de garantir que tout entrepreneur soumissionnant pour une certaine capacité respecte lesdites normes.

Pendant cette pause, le Pentagone a déclaré qu’il continuerait à faire respecter la conformité de base en matière de cybersécurité par le biais d’auto-évaluations, qui, selon le département, se concentreront sur une cyberhygiène tangible plutôt que sur les frais administratifs.

La pause de la phase II du CMMC « ne devrait choquer personne », selon Katie Arrington, considérée comme la créatrice du CMMC. Mais, a-t-elle déclaré dans une vidéo publiée sur LinkedIn, en fin de compte, le Pentagone reviendra probablement à sa situation actuelle, réalisant « qu’il n’y a vraiment pas d’autre moyen d’obtenir la conformité ».

Les experts et les personnalités du secteur conviennent que même si la pause concernant la CMMC ne diminue pas en soi les attentes en matière de cybersécurité, elle laisse néanmoins un vide dans la manière dont le ministère peut obliger les entrepreneurs à respecter ces normes.

« Le problème fondamental identifié par l’inspecteur général du DoD il y a sept ans ce mois-ci est que la politique du DoD consistant à laisser les entrepreneurs évaluer leurs propres devoirs est un échec », a déclaré Jacob Horne, évangéliste en chef de la cybersécurité au Sommet 7, dans des réponses écrites à Breaking Defense. Summit 7 est un fournisseur de services informatiques et de cybersécurité gérés dont l’objectif est d’aider les entrepreneurs de la défense à répondre aux exigences de cybersécurité, y compris la conformité CMMC. « La question à laquelle on n’a jamais répondu est la suivante : « Comment le gouvernement peut-il savoir que ce que vous affirmez dans votre auto-évaluation est vrai ? »

Sans un certain type de mécanisme de validation par un tiers, Michael Brooks, évaluateur certifié CMMC chez A-LIGN, a déclaré que le Pentagone était obligé de s’appuyer davantage sur la parole des entrepreneurs.

« Cela peut accroître l’incertitude pour les bureaux du programme, les maîtres d’œuvre et les partenaires de la chaîne d’approvisionnement, tout en augmentant également le risque lié à la False Claims Act lorsque les affirmations en matière de cybersécurité ne peuvent être étayées », a-t-il déclaré. « Le ministère a toujours besoin de l’assurance que CUI est protégé, les maîtres d’œuvre ont toujours besoin de confiance dans leurs chaînes d’approvisionnement et le gouvernement a toujours besoin d’un moyen défendable d’évaluer les risques de cybersécurité dans l’ensemble de la base industrielle de défense. »

Georgianna Shea, technologue en chef au Centre pour la cybersécurité et l’innovation technologique de la Fondation pour la défense des démocraties, a suggéré que le DoD n’avait pas nécessairement besoin d’un tiers pour évaluer les normes de cybersécurité, mais qu’il avait besoin d’une sorte de preuve.

« La question politique centrale ne devrait pas être de savoir si les évaluations par des tiers sont universellement bonnes ou mauvaises. Il devrait s’agir de savoir si le ministère peut obtenir des preuves fiables de cybersécurité d’une manière proportionnelle au risque réel. Une certification sans preuves significatives peut devenir une industrie de conformité. L’auto-attestation sans vérification peut devenir un exercice papier. Le futur programme doit éviter les deux résultats », a-t-elle déclaré.

S’appuyer uniquement sur des auto-évaluations pour faire respecter les normes, a déclaré Emil Sayegh, PDG de Cybersheath, pourrait signifier que les entrepreneurs fonctionnent avec des lacunes en matière de conformité, même s’ils ne le souhaitent pas.

« La plupart (des organisations) croient sincèrement qu’elles sont conformes. Le défi est qu’il est difficile d’interpréter et d’évaluer objectivement les contrôles de cybersécurité, en particulier sans validation indépendante », a déclaré Sayegh, dont le cabinet fournit également des services de certification CMMC. « Les évaluations tierces n’ont jamais consisté uniquement à identifier les mauvais acteurs. Elles ont été conçues pour fournir une mesure objective de la maturité en matière de cybersécurité et créer une responsabilité dans un système qui, par ailleurs, repose fortement sur les auto-représentations des entrepreneurs. »

Quant à ce qui se passera ensuite, Sayegh a déclaré : « J’espère que le ministère utilisera les 60 prochains jours pour développer un cadre qui préserve les objectifs de sécurité de la CMMC tout en réduisant les coûts et la complexité inutiles, en particulier pour les petits et moyens entrepreneurs. »

Shea a déclaré qu’elle voyait le Pentagone peut-être alléger les évaluations tierces de type Phase II pour les rendre plus adaptées à leur objectif : des normes de certification plus strictes pour les travaux à plus haut risque.

« Je ne pense pas que la suspension de la phase 2 tue nécessairement le CMMC, mais elle pourrait mettre fin au CMMC en tant que programme largement appliqué et centré sur la certification. L’orientation signalée par le ministère semble être un modèle davantage basé sur les risques : des exigences plus légères et une auto-évaluation pour les contrats à faible risque, avec des preuves plus solides et une évaluation indépendante ou dirigée par le gouvernement réservée aux informations, aux systèmes et aux fournisseurs qui présentent de plus grandes conséquences sur la mission », a-t-elle déclaré. « Si cela est fait correctement, cela pourrait réduire les obstacles inutiles pour les petites entreprises non traditionnelles sans traiter chaque entrepreneur comme s’il présentait le même niveau de risque. La partie difficile sera de déterminer le risque de manière cohérente. »

A lire également