Le zero trust est un cadre de cybersécurité basé sur le principe de « ne jamais faire confiance, toujours vérifier », ce qui signifie que chaque utilisateur, appareil
La Certification du modèle de maturité en cybersécurité (CMMC) est un cadre de conformité mis en place par le ministère de la Défense (DoD) américain afin de garantir que les organisations traitant des informations fédérales mettent en œuvre des mesures de cybersécurité adéquates. Bien que la CMMC soit souvent associé aux agences gouvernementales et aux entrepreneurs de la défense, les universités de recherche impliquées dans des projets financés par le DoD peuvent également avoir besoin de protéger les informations non classifiées contrôlées (CUI) telles que les données de recherche et les spécifications techniques. Dans le cadre de leurs activités de recherche financées par l’État et de leurs demandes de subventions fédérales, les universités doivent se conformer aux dernières exigences afin de conserver leur éligibilité et de protéger les données sensibles. Les universités de recherche peuvent se préparer pour obtenir la CMMC de niveau 2 en identifiant où réside la CUI, en renforçant les contrôles d’accès et en mettant en œuvre les mesures de sécurité nécessaires pour protéger les données sensibles.
Poursuivez votre lecture pour en savoir plus sur la CMMC de niveau 2, pourquoi il est important pour les universités de recherche et comment Keeper œuvre à la conformité CMMC.
Qu’est-ce que la CMMC de niveau 2 ?
La CMMC comprend plusieurs niveaux de certification ; cependant, les institutions impliquées dans la recherche financée par le DoD sont les plus susceptibles d’être soumis aux exigences du niveau 2 de la CMMC. La CMMC de niveau 2 s’applique aux organisations qui stockent, traitent ou partagent les CUI afin de garantir que les informations gouvernementales sensibles soient protégées contre les cybermenaces et les accès non autorisés. La CMMC de niveau 2 est conforme aux contrôles de sécurité définis dans la publication spéciale 800-171 du National Institute of Standards and Technology (NIST), un cadre conçu pour aider les organisations non fédérales à protéger les informations contrôlées non classifiées (CUI). Ses 110 mesures de sécurité couvrent un large éventail de pratiques en matière de cybersécurité, notamment le contrôle d’accès, l’authentification, la gestion des incidents et l’intégrité des données.
Pourquoi le niveau 2 de la CMMC est important pour les universités de recherche
Les agences gouvernementales adoptent des principes de sécurité zero trust au vu de l’intensification des cybermenaces qui les ciblent ; mais les exigences de la CMMC ne sont pas réservées uniquement aux fournisseurs traditionnels de la défense. Pour les universités de recherche, le niveau 2 de la CMMC revêt une importance particulière, car de nombreux projets de recherche financés par l’État portent sur des données sensibles, des résultats de recherche, des résultats d’essais et d’autres formes d’informations non classifiées contrôlées (CUI). Pour atteindre le niveau 2 de la CMMC, les organismes doivent démontrer qu’ils ont mis en place des contrôles de sécurité adéquats afin de protéger les informations non classifiées contrôlées (CUI) tout au long de leur cycle de vie.
La règle d’application requérant la CMMC pour toute signature de contrat avec le ministère de la Défense (48 CFR) est entrée en vigueur le 10 novembre 2025, et les contrats du ministère de la Défense intègrent désormais les exigences de la CMMC selon un calendrier progressif. Au cours de la première phase, la plupart des exigences prennent la forme d’une auto-évaluation de niveau 1 ou de niveau 2, bien que certains contrats exigent déjà une certification de niveau 2 délivrée par un organisme tiers d’évaluation certifié (C3PAO). À compter du 10 novembre 2026, les exigences générales de certification C3PAO de niveau 2 entreront en vigueur. Les exigences spécifiques dépendent des modalités du contrat et des informations traitées. Les universités de recherche participant à des projets actuels ou futurs financés par le ministère de la Défense devraient évaluer dès maintenant leur posture de sécurité afin de se préparer.
Ce que les universités de recherche devraient faire pour se conformer à la norme CMMC
Se préparer pour la CMMC de niveau 2 exige que les universités de recherche identifient où se trouvent les CUI dans leurs environnements, évaluent les contrôles de sécurité actuels et maintiennent des efforts de conformité continus. Adopter une approche proactive en matière de conformité au niveau 2 de la CMMC peut aider les établissements à identifier rapidement les failles de sécurité et à mettre en place des bases plus solides pour la protection des données sensibles.
Identifier où les CUI se trouve
Avant de mettre en œuvre des contrôles de sécurité, les universités de recherche doivent identifier où les informations non classifiées contrôlées (CUI) sont stockées et traitées pour toute l’organisation. Les CUI peuvent exister dans les bases de données de recherche, les systèmes de laboratoire, les plateformes cloud et les appareils utilisés par les professeurs et les chercheurs. Étant donné que les universités opèrent souvent à travers plusieurs départements et programmes, il peut être difficile de maintenir une visibilité complète sur les informations sensibles. Dans de nombreux cas, les informations classées « CUI » peuvent se trouver en dehors des environnements de recherche dédiés, notamment dans des e-mails, sur des disques partagés ou sur des appareils appartenant au corps enseignant. Identifier ces sources de données est une première étape importante pour déterminer quels utilisateurs et systèmes doivent être soumis à des contrôles de sécurité supplémentaires.
Procéder à une évaluation approfondie des failles de sécurité
Une fois toutes les CUI identifiées, les universités de recherche devront évaluer leurs pratiques de sécurité actuelles par rapport aux exigences définies dans le NIST SP 800-171. Cela doit inclure l’examen des contrôles d’accès existants, des capacités de surveillance, des plans de réponse aux incidents et des processus d’audit. Les universités devraient également inventorier les comptes privilégiés et examiner leurs autorisations pour déterminer si l’accès dépasse l’étendue requise pour le rôle de chaque utilisateur. Bien que de nombreuses institutions aient déjà mis en place des mesures de sécurité, ces contrôles peuvent ne pas être menés de manière uniforme dans tous les départements et programmes.
Sécurisez vos environnements de recherche
Les environnements de recherche doivent être construits pour limiter l’accès au CUI aux utilisateurs et systèmes autorisés uniquement. La restriction de l’accès réduit l’exposition des données et contribue à prévenir la divulgation non autorisée d’informations sensibles. Les solutions de gestion des identités et des accès (IAM) peuvent aider les universités à appliquer le principe du moindre privilège en s’assurant que les utilisateurs n’ont que les autorisations nécessaires pour effectuer leurs tâches. Les institutions devraient également imposer l’authentification multifacteur (MFA) pour tous les comptes habilités à accéder aux systèmes contenant des informations non classifiées contrôlées (CUI), y compris les environnements d’accès à distance. Des contrôles rigoureux en matière d’identité et d’accès contribuent à réduire au minimum les menaces internes et répondent aux exigences du niveau 2 de la CMMC relatives à l’identification et à l’authentification.
Documents SSP et POAM
La mise à jour régulière des plans de sécurité des systèmes (SSP) et des plans d’action et d’étapes clés (POAMs) précis peut faciliter les évaluations futures et démontrer la conformité aux exigences du niveau 2 de la CMMC. Un plan de sécurité du système (SSP) documente les contrôles de sécurité d’une organisation et définit leur mise en œuvre et leur gestion. Un plan d’action et d’étapes clés (POAM) identifie les failles de sécurité et les actions nécessaires pour y remédier. Les universités devraient considérer cette documentation comme un processus continu plutôt que comme une démarche ponctuelle, afin de garantir l’exactitude des informations à mesure que les systèmes et les environnements de recherche évoluent au fil du temps.
Préparez-vous aux audits des C3PAO
Les universités de recherche souhaitant obtenir la CMMC de niveau 2 peuvent être tenues de passer des évaluations menées par des organisations d’évaluateurs tiers certifiés (C3PAO). Se préparer à ces évaluations nécessite non seulement de mettre en place des contrôles de sécurité, mais aussi de démontrer que ces contrôles fonctionnent correctement. Les institutions doivent conserver des preuves validant leurs pratiques de sécurité, y compris des pistes d’audit détaillées, des journaux d’accès, des politiques de sécurité, et des registres de formation. La collecte de ces informations à l’avance peut aider à rationaliser le processus d’évaluation et à réduire la charge de préparation des examens formels.
Comment Keeper® prend en charge la conformité CMMC 2.0
Les organisations gérant des informations non classifiées contrôlées (CUI) ont besoin de contrôles d’accès solides, d’une visibilité totale sur l’activité des utilisateurs et d’une capacité à prouver que leurs contrôles de sécurité fonctionnent efficacement. La conformité au niveau 2 de la CMMC nécessite une combinaison de personnes, de technologies et de processus, et Keeper Security Government Cloud (KSGC) aide les organisations à sécuriser les CUI et à améliorer plusieurs contrôles de sécurité contribuant à la préparation à la CMMC. En tant que plateforme hautement certifiée FedRAMP, Keeper fournit aux universités de recherche les outils nécessaires pour protéger les informations sensibles, contrôler les accès privilégiés et maintenir une visibilité sur tous les environnements de manière à se préparer à tout audit éventuel.
KSGC aide les universités de recherche à se préparer pour obtenir la CMMC 2.0 en leur permettant de :
- Sécuriser des identifiants et des données sensibles dans une architecture zero knowledge (SC.L2-3.13.11, SC.L2-3.13.16, IA.L2-3.5.10) : protéger les mots de passe, les identifiants liés à la recherche et les informations sensibles dans des coffres-forts chiffrés.
- Faire respecter les contrôles d’accès basés sur les rôles (RBAC) (AC. L2-3.1.2, AC. L2-3.1.4, AC. L2-3.1.5) : limiter l’accès aux systèmes et aux données en fonction des responsabilités de l’utilisateur, réduisant ainsi l’exposition inutile des CUI.
- Renforcer l’authentification avec la MFA (IA.L2-3.5.3, IA.L2-3.5.4) : sécurise davantage les comptes en exigeant des facteurs de vérification supplémentaires pour les utilisateurs pouvant accéder aux systèmes contenant des informations sensibles.
- Surveiller et enregistrer les sessions privilégiées (AU.L2-3.3.1, AU.L2-3.3.2) : augmente la visibilité sur l’activité privilégiée grâce à la surveillance et l’enregistrement des sessions qui facilitent la responsabilisation et les enquêtes de sécurité.
- Générer des rapports prêts à l’audit (AU. L2-3.3.6) : tenir des rapports de conformité qui journalisent les contrôles d’activités utilisateur, d’accès et de sécurité, ce qui simplifiera la préparation à l’audit.
- Mettre en œuvre les principes de sécurité Zero trust (SC.L2-3.13.1, SC.L2-3.13.6) : vérifier tous les utilisateurs et appareils avant d’accorder l’accès tout en éliminant la confiance implicite dans les environnements de recherche sur site, hybrides et cloud.
Préparez-vous à la CMMC de niveau 2 avec Keeper
Alors que les universités de recherche continuent de s’impliquer dans la recherche financée par le DoD, la conformité à la CMMC devient de plus en plus cruciale pour protéger les informations sensibles et rester éligible pour de futures opportunités de recherche. Étant donné que le niveau 2 de la CMMC est spécifiquement axé sur la protection des CUI, les institutions devraient commencer à évaluer leur posture de sécurité dès que possible plutôt que d’attendre que la conformité devienne obligatoire. Demandez une démonstration dès aujourd’hui pour découvrir comment KSGC peut aider votre institution à renforcer les contrôles d’accès, sécuriser les CUI et préparer l’obtention de la CMMC de niveau 2.