Conformité CMMC pour les développeurs de produits : définition et comment l’obtenir avec votre logiciel PLM

Pour les développeurs de produits du secteur de la défense, le passage à des exigences structurées en matière de cybersécurité marque un tournant majeur dans la gestion et la sécurisation des projets. Au cœur de ce changement se trouve… Certification du modèle de maturité en cybersécurité (CMMC)L’obtention de la conformité ne se résume pas à une simple auto-attestation, mais à un processus de vérification CMMC à plusieurs niveaux qui constitue une condition préalable à l’attribution des contrats.

Cet article propose une feuille de route pour comprendre les niveaux CMMC et explique comment configurer votre environnement PLM pour protéger votre entreprise.

Qu'est-ce que le CMMC ?

Le ministère de la Guerre (DoW) a mis en place le programme de certification du modèle de maturité en cybersécurité (CMMC) afin de vérifier que les entreprises contractantes ont appliqué le cadre de sécurité requis pour protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI). Ce programme a été créé pour sécuriser le secteur de la base industrielle de défense (DIB) contre l'évolution des menaces en matière de cybersécurité et passer d'un modèle d'« autocertification » à un modèle fondé sur des exigences structurées.

La structure et les exigences sont conçues pour atteindre les principaux objectifs de l'examen interne :

• Protéger les renseignements personnels pour soutenir et protéger le combattant
• Appliquer les normes de cybersécurité du DIB pour faire face à l'évolution des menaces
• Assurer la responsabilisation tout en minimisant les obstacles au respect des exigences du ministère de la Défense
• Promouvoir une culture collaborative de la cybersécurité et de la cyberrésilience
• Maintenir la confiance du public grâce à des normes professionnelles et éthiques élevées

Caractéristiques principales du programme CMMC :

• Modèle à plusieurs niveaux : Le CMMC exige des entreprises chargées du traitement d'informations confidentielles et d'informations non classifiées contrôlées qu'elles mettent en œuvre des normes de cybersécurité de plus en plus avancées, en fonction du type et de la sensibilité des informations. Le programme décrit également la procédure à suivre pour assurer la protection des renseignements transmis aux sous-traitants.
• Exigence d'évaluation: Les évaluations CMMC permettent au Département de vérifier la mise en œuvre de normes de cybersécurité claires. Certains entrepreneurs du ministère de la Guerre traitant des renseignements confidentiels fédéraux (FCI) et des renseignements non classifiés contrôlés (CUI) devront atteindre un niveau CMMC spécifique comme condition d'attribution du contrat.

Le programme CMMC s'appuie fortement sur les exigences de sécurité de la publication spéciale (SP) 800-171 du National Institute of Standards and Technology (NIST).« Protection des renseignements non classifiés contrôlés dans les systèmes et organisations non fédéraux » (appelé NIST SP 800-171). Plus d'informations sont disponibles. ici.

Niveaux CMMC

L'obtention de la conformité CMMC peut être complexe, selon le niveau de conformité requis.

Niveau 3 – 134Exigences (110 de la norme NIST SP 800-171 R2 et 24 de la norme NIST SP 800-172). Évaluation de la certification DIBCAC tous les 3 ans, plus une affirmation annuelle.

Niveau 2 – 110Exigences conformes à la norme NIST SP 800-171 R2. Évaluation de la certification C3PAO tous les 3 ans ou auto-évaluation tous les 3 ans pour certains programmes, et affirmation annuelle.

Niveau 1 – 15Les exigences sont conformes à la norme FAR 52.204-21. Une autoévaluation annuelle et une affirmation annuelle sont requises.

Comment obtenir la conformité CMMC ?

Le niveau 1 peut être atteint en suivant les étapes suivantes directives dans FAR 52.20421 et peut généralement être mis en œuvre par les équipes de TI et de sécurité de l'information d'un prestataire. La réglementation traite des exigences et des procédures de protection de base pour les systèmes d'information des fournisseurs concernés. Elle comporte 15 exigences fondamentales. Le niveau 1 peut être validé par une auto-évaluation. en suivant ce guide général.

Le niveau 2 est beaucoup plus complexe et implique généralement de faire appel à une tierce partie pour accompagner l'entrepreneur dans ses démarches de mise en conformité. Ce niveau est le minimum requis pour agir en tant qu'entrepreneur du ministère de la Guerre et est nécessaire pour interagir avec les renseignements confidentiels fédéraux (FCI) et les renseignements non classifiés contrôlés (CUI). Dans la publication NIST SP 800-171 R2Vous y trouverez 110 exigences qui couvrent 14 familles, y compris, mais sans s'y limiter, le contrôle d'accès, l'identification et l'authentification, la protection physique, la protection des supports, la réponse aux incidents, la sécurité du personnel et l'évaluation des risques.

L'entrepreneur doit effectuer une auto-évaluation de niveau 2, suivie d'une certification par un organisme tiers d'évaluation certifié (C3PAO). Le C3PAO fournira un plan d'action et des étapes clés (POA&M) identifiant les écarts à combler pour atteindre la conformité. De nombreux organismes C3PAO sont présents sur le marché.

La conformité au niveau 3 exige la conformité au niveau 2, et intègre en outre la norme NIST SP 800-172 et utilise des paramètres définis par l'organisation (ODP). Le niveau 3 comprend 24 exigences supplémentaires réparties en 10 familles, notamment l'évaluation des risques, la protection des systèmes et des communications, ainsi que l'intégrité des systèmes et des informations.

Certifications et partenaires CMMC

Certifications individuelles

Les praticiens agréés (PA) fournissent des conseils, des services de consultation et des recommandations pour préparer les audits, mais ne peuvent pas effectuer d'évaluations CMMC officielles.

Professionnel certifié CMMC (CCP) – certification de base pour ceux qui travaillent sur la mise en œuvre et/ou l'évaluation du CMMC.

Évaluateur certifié CMMC (CCA) – professionnel accrédité pouvant mener des évaluations CMMC de niveau 2. Le CCA doit faire partie d'un organisme d'évaluation tiers CMMC (C3PAO).

Évaluateur principal certifié CMMC (LCCA) – est le professionnel le plus qualifié autorisé à diriger des évaluations de niveau 2.

Certifications organisationnelles

Organisme fournisseur enregistré CMMC (RPO) – organisme pouvant fournir des services de conseil en pré-évaluation et en préparation à la certification CMMC de niveau 2. Le RPO ne peut pas réaliser l'audit de certification final.

CMMC 3rd Party Assessment Organization (C3PAO) – organisme autorisé à effectuer des évaluations indépendantes pour les évaluations de niveau 2.

Fournisseur de formation agréé CMMC (ATP) – organisme agréé pour former les évaluateurs CMMC.

Fournisseur de publication agréé CMMC (APP) – organisme agréé pour publier du matériel de formation.

Le Cyber ​​AB est l'organisme d'accréditation officiel de l'écosystème CMMC et le seul partenaire non gouvernemental autorisé du ministère des Affaires étrangères pour la mise en œuvre du CMMC.

Des partenaires peuvent être trouvés iciLes entreprises devront probablement engager un RPO pour la préparation au CMMC et un C3PAO pour l'évaluation.

GoEngineer offre-t-il un logiciel PLM conforme à la norme CMMC ?

Oui. GoEngineer offre des solutions de gestion des données sur les produits (PDM) et de gestion du cycle de vie des produits (PLM) à des milliers de clients dans de nombreux secteurs, y compris la défense. Étant donné que la PDM est généralement considérée comme une composante de la PLM, nous désignerons les deux solutions comme faisant partie intégrante de la PLM. GoEngineer implémente et supporte plusieurs solutions PLM ; cependant, on va se concentrer sur… SOLIDWORKS PDM et 3DEXPÉRIENCE solutions, toutes deux développées par Dassault Systèmes.

SOLIDWORKS PDM et 3DLes logiciels EXPERIENCE sont des outils PLM qu'un fournisseur du ministère de la Guerre peut utiliser pour faciliter le développement de produits ou les flux de travail de manière conforme. Le logiciel lui-même n'est ni conforme ni non conforme, mais il peut être mis en œuvre pour soutenir les initiatives de conformité CMMC, moyennant un environnement et des processus appropriés.

La conformité au niveau 2 du CMMC régit les données FCI et CUI, généralement stockées dans l'application logicielle PLM, ce qui fait de cette dernière un élément essentiel du projet de conformité. L'approche de conformité dépend de l'hébergement de l'application logicielle par le fournisseur : sur ses propres serveurs ou via le nuage public ou privé de Dassault Systèmes.

Dans cette section, nous passerons en revue les solutions PLM de GoEngineer et les éléments à prendre en compte lors de la mise en œuvre du niveau 2 de la CMMC.

Conformité CMMC avec3DEXPERIENCE Cloud public (SaaS)

Présentement, le 3DL'expérience infonuagique publique ne prendra pas en charge le niveau 2 de conformité CMMC, car il est pas Convient au stockage FC ou CUI grâce à la souveraineté des données (accès au soutien technique international) et au statut FedRAMP.

• Souveraineté des données : 3DLes serveurs infonuagiques d'EXPERIE peuvent répliquer les données à l'échelle mondiale pour optimiser les performances, ou les demandes d'assistance peuvent être traitées par du personnel non américain. Ceci constitue une violation immédiate des réglementations ITAR/EAR en matière de contrôle des exportations.

Conformité CMMC avec3DEXPÉRIENCE Sur place

Dans ce scénario, l'entrepreneur a la responsabilité à 100 % de respecter les 110 exigences du niveau 2 du CMMC.

1. Renforcement des infrastructures

Vous devez sécuriser les serveurs (base de données SQL, 3DPasseport, Foundation, collaboration de fichiers) exécutant le système. 3DSystème EXPÉRIENCE.

• Chiffrement validé FIPS 140-2 : Vous ne pouvez pas simplement utiliser le terme « chiffrement » ; il doit être validé FIPS. Cela implique généralement d'activer le mode FIPS sur le système d'exploitation Windows Server et d'utiliser BitLocker pour le chiffrement des données au repos.3DL'expérience n'est pas spécifiquement testée avec BitLocker, mais elle est généralement prise en charge.
• Chiffrement du côté client : Les fichiers sont transférés au client à partir du 3DLe serveur EXPÉRIENCE doit donc être chiffré tant sur le client local que sur le serveur.
• Sécurité physique : Le serveur physique doit être sécurisé par un journal d'accès (indiquant qui y a accédé et à quelle heure). Si vous utilisez un centre de données, celui-ci doit être certifié FedRAMP ou CMMC.
• Ségrégation du réseau : Ton 3DLe ou les serveurs EXPÉRIENCE doivent se trouver dans une enclave protégée ou un VLAN, séparés du réseau d'entreprise général si possible.

2. Authentification et accès

Le CMMC exige une authentification robuste. Un nom d'utilisateur et un mot de passe standard ne suffisent pas.

• Authentification multifactorielle (MFA) : L'authentification multifactorielle peut être activée sur 3DEXPÉRIENCE. Tu incontournable imposer l'authentification multifactorielle à tous ceux qui y ont accès 3DSystème EXPÉRIENCE.
• Accès contrôlé : Des rôles spécifiques liés à la sécurité IP peuvent être activés sur le 3DPlateforme EXPERIENCE. Des bibliothèques d'accès avec des administrateurs spécifiques peuvent être créées afin de garantir que seules les personnes autorisées puissent accéder aux données CUI ou autres données restreintes. Les données du système peuvent être affectées à des bibliothèques de classification pour appliquer les règles de sécurité. Les utilisateurs disposent de métadonnées permettant au système de gérer l'accès en fonction des compétences, de la nationalité, de la citoyenneté ou de la localisation.
• Accès général : Vous devez configurer 3DLes autorisations EXPÉRIENCE permettent aux utilisateurs de ne voir que les données pertinentes à leur rôle spécifique. Accorder à « Tous les utilisateurs » un accès en « lecture » ​​à l’ensemble de la plateforme constitue une violation. 3DEXPÉRIENCE permet de créer des segments de coffre-fort distincts, où les données peuvent être stockées dans une zone du système nécessitant des « autorisations spéciales ». Ces segments sont appelés «espaces collaboratifset nécessitent une configuration par un 3DAdministrateur EXPÉRIENCE.3DEXPÉRIENCE peut également utiliser une couche de sécurité IP permettant de marquer et de classer les CUI dans des catégories d'accès spécifiques. La modification et l'approbation des données CUI sont réservées aux groupes ayant des droits particuliers.

3. Configuration logicielle

• Pistes d'audit : 3DEXPERIENCE conserve un historique de l'activité du système, incluant les connexions et les modifications, ainsi que les commentaires et l'historique d'approbation des flux de travail. Cet historique et cette piste d'audit ne peuvent être effacés par les administrateurs. L'administration du système est réservée aux administrateurs désignés.
• Assainissement : Vous avez besoin d'un processus pour supprimer les CUI des dossiers de cache locaux sur les machines clientes lorsqu'un ordinateur portable quitte l'environnement sécurisé ou est mis hors service. 3DLa plateforme EXPÉRIENCE ne prend pas automatiquement en charge cette opération ; celle-ci relève de la responsabilité du personnel informatique.

Conformité CMMC avecSOLIDWORKS PDM sur place

Dans ce scénario, l'entrepreneur a la responsabilité à 100 % de respecter les 110 exigences du niveau 2 du CMMC.

1. Renforcement des infrastructures

Vous devez sécuriser les serveurs (base de données SQL, serveurs d'archivage) exécutant le système SOLIDWORKS PDM.

• Chiffrement validé FIPS 140-2 : Vous ne pouvez pas simplement utiliser le terme « chiffrement » ; il doit être conforme à la norme FIPS. Cela implique généralement d’activer le mode FIPS sur le système d’exploitation Windows Server et d’utiliser BitLocker pour le chiffrement des données au repos. SOLIDWORKS PDM n'est pas spécifiquement testé avec BitLocker, mais il est généralement pris en charge.
  • Remarque: SOLIDWORKS PDM 2025 est requis en raison du changement de chiffrement serveur-client vers AES-128.

• Sécurité physique : Le serveur physique doit être installé dans une salle/baie verrouillée avec un registre d'accès (indiquant qui y est entré et quand). Si vous utilisez un centre de données, celui-ci doit être certifié FedRAMP ou CMMC.
• Ségrégation du réseau : Votre serveur SOLIDWORKS PDM devrait idéalement se trouver dans une enclave protégée ou un VLAN, séparé si possible du réseau d'entreprise général.

2. Authentification et accès

Le CMMC exige une authentification robuste. Un nom d'utilisateur et un mot de passe standard ne suffisent pas.

• Authentification multifactorielle (MFA) : SOLIDWORKS PDM ne prend pas en charge nativement l'authentification multifactorielle (MFA). L'entrepreneur devra donc mettre en œuvre une procédure de connexion PDM. Active Directory Windows et imposer l'authentification multifactorielle (MFA) au niveau de la connexion Windows. Le client SOLIDWORKS PDM doit être installé sur un poste client Windows.
• Accès général : Vous devez configurer les autorisations SOLIDWORKS PDM afin que les utilisateurs ne voient que les données pertinentes à leur rôle. Accorder à « Tous les utilisateurs » un accès en lecture à l'ensemble du coffre-fort constitue une violation. SOLIDWORKS PDM est organisé en dossiers, comme l'arborescence des dossiers Windows. Les données CUI peuvent ainsi être stockées dans une structure de dossiers à « autorisations spécifiques ». La configuration des autorisations de ces dossiers doit être effectuée par un administrateur SOLIDWORKS PDM. Généralement, les autorisations dans SOLIDWORKS PDM ne sont pas attribuées au niveau du document, mais au niveau du dossier. Les modifications ou les processus d'approbation des données CUI peuvent être contrôlés par les autorisations afin d'empêcher toute modification non autorisée.

3. Configuration logicielle

• Pistes d'audit : SOLIDWORKS PDM conserve un historique des modifications, incluant les commentaires et l'historique d'approbation des flux de travail. Cet historique et cette piste d'audit ne peuvent être effacés par les administrateurs. L'administration du système est réservée aux administrateurs désignés.
• Assainissement : Il est nécessaire de mettre en place une procédure pour supprimer les fichiers CUI des dossiers cache locaux des postes clients lorsqu'un ordinateur portable quitte l'environnement sécurisé ou est mis hors service. SOLIDWORKS PDM ne supporte pas automatiquement cette opération ; elle incombe donc au personnel informatique.

Comment ces applications PLM peuvent-elles aider à obtenir la certification CMMC niveau 2 ?

Les applications PLM peuvent faciliter le stockage des données CUI, le contrôle d'accès et les flux d'approbation de la documentation. Même avec un système PLM, la plupart des exigences de la certification CMMC niveau 2 sont liées à votre infrastructure d'entreprise.

Le tableau suivant présente un aperçu des exigences prises en charge par SOLIDWORKS PDM et 3DEXPÉRIENCE des applications PLM sur le site.

Prochaines étapes

Vos équipes de TI et de sécurité de l'information devront élaborer un plan de sécurité du système (PSS). Il est recommandé de collaborer avec un organisme de certification CMMC (RPO) pour vous accompagner dans cette démarche. Vous aurez besoin de matériel validé FIPS, configuré selon les normes NIST 800-171, et d'un système PLM pour répondre à vos exigences d'accès aux données.

Contactez GoEngineerPour obtenir de l'aide concernant la mise en œuvre et la configuration de votre système PLM, notre équipe peut collaborer avec votre gestionnaire CMMC RPO afin de soutenir votre projet.

Des partenaires peuvent être trouvés ici.

Apprenez-en plus sur CMMC ici.

Articles connexes

Arrêtez d'utiliser les lecteurs réseau - Optimisez les performances de SOLIDWORKS grâce aux services infonuagiques

EXPÉRIENCE 3D : 3DDrive contre 3DSpace

SOLIDWORKS PDM vs 3DEXPERIENCE CLOUD PDM : Flux de travail, licences et plus

VOIR TOUT