La construction d'un seul avion F-22 Raptor nécessite des centaines de fournisseurs employant des milliers de personnes. Bien que le ratio réel soit inconnu, n’importe laquelle de ces personnes pourrait être ciblée par une attaque basée sur l’identité, ce qui démontre la nécessité de gérer les perturbations de manière proactive.
La réglementation exige que le département de la Défense des États-Unis (DoD) étende la sécurité de sa chaîne d’approvisionnement aux fournisseurs de services contractuels auxquels sont confiées des informations non classifiées sensibles, notamment le fabricant de pneus de l’avion de chasse. La protection de ces informations — que ce soit contre une gestion interne inappropriée ou des violations de données malveillantes — est impérative pour défendre la nation.
La Cybersecurity Maturity Model Certification (CMMC) est un mandat de conformité qui, une fois codifié par le biais d'une réglementation, garantira que les contractants et sous-traitants du ministère de la Défense (DoD) ont mis en œuvre les protections de sécurité applicables énoncées dans la DFARS 252.204-7012 et d'autres évaluations du programme de cybersécurité. Ce sera également une condition pour recevoir l'attribution d'un contrat du DoD.
Comment Okta peut vous aider
La mission principale d’Okta est l’identité. Il est donc naturel que nous soutenions les parcours de nos clients pour répondre aux contrôles CMMC en matière de contrôle d’accès (Access Control, AC) et d’identification et d’authentification (Identification and Authentication, IA). Okta prend également en charge les autres domaines et pratiques CMMC grâce à notre framework d’API ouvert, notre écosystème d’applications et nos frameworks de confiance pour une intégration facile avec d’autres fournisseurs prenant en charge d’autres exigences de pratique CMMC.
Consultez le tableau ci-dessous pour obtenir des informations sur les domaines critiques AC et IA de CMMC et sur la façon dont Okta aide les clients à répondre à ces exigences.
|
Domaine |
Niveau 1 |
Niveau 2 |
Comment Okta peut vous aider |
|
Contrôle des accès (CA) |
AC.L1-3.1.1 Contrôle d'accès autorisé
Limiter l’accès aux systèmes d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés ou aux appareils (y compris les autres systèmes d’information). |
Un processus formel d'enregistrement des accès et de provisionnement initial pour les employés et les tiers autorisés est en place pour qu'Okta attribue des droits d'accès à tous les types d'utilisateurs à tous les systèmes et services, conformément à la politique et aux normes. | |
|
AC.L1-3.1.2 Contrôle des transactions et des fonctions
Limiter l'accès au système d'information aux types de transactions et de fonctions que les utilisateurs autorisés sont autorisés à exécuter. | |||
|
AC.L2-3.1.3 Control CUI Flow Contrôlez le flux des informations CUI conformément aux autorisations approuvées. |
La communication organisationnelle et les flux de données sont cartographiés et appliqués. Des méthodologies de découverte de données peuvent être utilisées pour identifier, classer et suivre les données sensibles. Les flux de données sensibles sont régis par des politiques de contrôle de l'information définies par l'entreprise. | ||
|
AC.L2-3.1.4 Séparation des tâches Séparez les fonctions des personnes afin de réduire le risque d'activité malveillante sans collusion. |
Okta applique le principe du moindre privilège et de la séparation des tâches. L'accès autorisé est permis aux utilisateurs (ou aux processus agissant au nom des utilisateurs) affectés à des tâches conformément aux missions organisationnelles et aux fonctions commerciales. | ||
|
AC.L2-3.1.5 Moindre privilège Appliquez le principe du moindre privilège, y compris pour les fonctions de sécurité spécifiques et les comptes privilégiés. | |||
|
AC.L2-3.1.6 Utilisation d'un compte non privilégié Utilisez des comptes ou des rôles non privilégiés lorsque vous accédez à des fonctions non liées à la sécurité. | |||
|
AC.L2-3.1.7 Fonctions privilégiées Empêcher les utilisateurs non privilégiés d’exécuter des fonctions privilégiées et capturer l’exécution de ces fonctions dans les journaux d’audit. |
Les journaux sont configurés pour capturer les actions entreprises spécifiquement par des personnes disposant de privilèges d'utilisateur administratif. Les journaux sont sécurisés et examinés afin d'identifier et de détecter les comptes utilisés à mauvais escient. Les anomalies font l'objet d'une enquête et sont corrigées.
L'accès des utilisateurs privilégiés est établi et administré sur une base contrôlée, et est limité uniquement à ce qui est requis pour que les utilisateurs et les services exercent leurs fonctions. Les utilisateurs privilégiés se voient attribuer un compte privilégié dédié à utiliser uniquement pour les tâches nécessitant un accès privilégié. | ||
|
AC.L2-3.1.8 Tentatives de connexion infructueuses Limiter les tentatives de connexion infructueuses. |
Des fonctions de verrouillage sont activées pour restreindre l'accès après un certain nombre de tentatives de connexion infructueuses ou d'inactivité de l'utilisateur. Le compte est verrouillé pour une durée spécifique ou jusqu'à ce qu'un administrateur active le compte d'utilisateur. L'utilisateur est averti en cas de connexion réussie ou infructueuse. | ||
|
AC.L2-3.1.9 Avis de confidentialité et de sécurité Fournir des avis de confidentialité et de sécurité conformes aux règles CUI applicables. |
Les activités de traitement des données personnelles nécessitant ou s'appuyant sur le consentement sont identifiées, et des processus sont en place pour empêcher la collecte de ces données sans consentement. Des mécanismes pour obtenir, documenter, suivre et gérer le consentement sont définis et mis en œuvre conformément aux réglementations applicables, y compris le retrait du consentement. | ||
|
AC.L2-3.1.10 Verrouillage de session Utiliser le verrouillage de session avec des écrans de masquage de motif pour empêcher l'accès et la visualisation des données après une période d'inactivité. |
Des fonctions de verrouillage sont activées pour restreindre l'accès après un certain nombre de tentatives de connexion infructueuses ou d'inactivité de l'utilisateur. Le compte est verrouillé pour une durée spécifique ou jusqu'à ce qu'un administrateur active le compte d'utilisateur. L'utilisateur est averti en cas de connexion réussie ou non. | ||
|
AC.L2-3.1.11 Clôture de session Mettre fin (automatiquement) à une session utilisateur après une condition définie. | |||
|
AC.L2-3.1.12 Contrôler l'accès à distance Surveiller et contrôler les sessions d'accès à distance. |
L'accès à distance est contrôlé, surveillé et autorisé via un client VPN approuvé par Okta. | ||
|
AC.L2-3.1.13 Confidentialité de l'accès à distance Utilisez des mécanismes cryptographiques pour protéger la confidentialité des sessions d'accès à distance. | |||
|
AC.L2-3.1.14 Routage d'accès à distance Acheminez l'accès à distance via des points de contrôle d'accès gérés. | |||
|
AC.L2-3.1.15 Accès à distance privilégié Autoriser l'exécution à distance de commandes privilégiées et l'accès à distance aux informations relatives à la sécurité. | |||
|
AC.L2-3.1.16 Autorisation d'accès sans fil Autoriser l’accès sans fil avant d’autoriser de telles connexions. |
Non disponible | ||
|
AC.L2-3.1.17 Protection d'accès sans fil Protégez l’accès sans fil à l’aide de l’authentification et du chiffrement. |
Non disponible | ||
|
AC.L2-3.1.18 Connexion d'appareil mobile Contrôler la connexion des appareils mobiles. |
Non disponible | ||
|
AC.L2-3.1.19 Chiffrer les informations CUI sur mobile Chiffrer les informations CUI sur les appareils mobiles et les plateformes informatiques mobiles. |
Okta protège les types de données classifiées de l'organisation au repos grâce à des contrôles de sécurité, y compris le chiffrement et les contrôles cryptographiques, afin de s'aligner sur les normes de sécurité. | ||
|
AC.L1-3.1.20 Connexions externes Vérifiez et contrôlez/limitez les connexions et l'utilisation des systèmes d'information externes. |
Non disponible | ||
|
AC.L2-3.1.21 Utilisation de supports de stockage portables Limiter l'utilisation de périphériques de stockage portables sur les systèmes externes. |
Non disponible | ||
|
AC.L1-3.1.22 Contrôler les informations publiques Contrôler les informations publiées ou traitées sur les systèmes d'information accessibles au public. |
Non disponible | ||
|
Identification et authentification (IA) |
IA.L1-3.5.1 Identification Identifier les utilisateurs du système d'information, les processus agissant pour le compte des utilisateurs ou les appareils. |
Des méthodes d'authentification sécurisées sont utilisées pour l'accès aux systèmes et aux applications. | |
|
IA.L1-3.5.2 Authentification Authentifier (ou vérifier) les identités de ces utilisateurs, processus ou appareils, comme condition préalable à l'autorisation d'accès aux systèmes d'information de l'organisation. | |||
|
IA.L2-3.5.3 Adaptive Multi-Factor Authentication Utilisez l'authentification multifacteur pour l'accès local et réseau aux comptes privilégiés et pour l'accès réseau aux comptes non privilégiés. |
Des méthodes d'authentification multifacteur sont mises en œuvre afin que les employés, les administrateurs et les tiers autorisés puissent accéder au réseau et aux systèmes d'information. | ||
|
IA.L2-3.5.4 Authentification résistante à la relecture Utiliser des mécanismes d'authentification résistants à la relecture pour l'accès réseau aux comptes privilégiés et non privilégiés. |
Des méthodes d'authentification sécurisées sont utilisées pour l'accès aux systèmes et aux applications. | ||
|
IA.L2-3.5.5 Réutilisation de l'identifiant Empêcher la réutilisation des identifiants pendant une période définie. |
Non disponible | ||
|
IA.L2-3.5.6 Gestion des identifiants Désactiver les identificateurs après une période d'inactivité définie. |
Non disponible | ||
|
IA.L2-3.5.7 Complexité du mot de passe Appliquer une complexité minimale du mot de passe et un changement de caractères lors de la création de nouveaux mots de passe. |
Les configurations de mot de passe sont établies, mises en œuvre et appliquées conformément aux exigences de l'industrie, du gouvernement et autres exigences de conformité. Les systèmes de gestion des mots de passe sont interactifs et garantissent des mots de passe de qualité. | ||
|
IA.L2-3.5.8 Réutilisation du mot de passe Interdire la réutilisation des mots de passe pour un nombre déterminé de générations. | |||
|
IA.L2-3.5.9 Mots de passe temporaires Autoriser l'utilisation de mots de passe temporaires pour les connexions au système avec un changement immédiat vers un mot de passe permanent. | |||
|
IA.L2-3.5.10 Mots de passe protégés par cryptographie Stocker et transmettre uniquement les mots de passe protégés par cryptographie. | |||
|
IA.L2-3.5.11 Commentaires obscurs Masquer le retour d'information des informations d'authentification. |
Des méthodes d'authentification sécurisées sont utilisées pour l'accès aux systèmes et aux applications. |
Pour en savoir plus sur la façon dont Okta peut aider votre organisation à répondre aux exigences de CMMC, téléchargez notre guide de découverte CMMC sur https://www.okta.com/resources/datasheet-okta-cmmc-discovery-guide/ ou contactez-nous sur okta.com/contact-sales/.
Bien que cet article traite de certains concepts juridiques, il ne constitue pas un avis juridique et ne doit pas être interprété comme tel. Il est fourni à titre d'information uniquement. Pour obtenir des conseils juridiques concernant les besoins de conformité de votre organisation, veuillez consulter le service juridique de votre organisation. Okta ne fait aucune déclaration, garantie ou autre assurance concernant le contenu de cet article. Les informations concernant les assurances contractuelles d'Okta à ses clients se trouvent à l'adresse okta.com/agreements.
