15 août 2024 - DoD propose une règle finale visant à intégrer les exigences CMMC dans ses contrats
Une autre étape importante de la mise en vigueur de CMMC a été franchie le 15 août 2024.
Le Département américain de la Défense (DoD) vient de proposer un Règlement final visant à clarifier ses règles d'approvisionnement CMMC et la manière dont il veut intégrer ses exigences de cybersécurité dans les relations contractuelles avec ses fournisseurs.
Ce Règlement arrive plus vite que prévu, ce qui témoigne de la forte volonté de DoD d'accélérer le pas et mettre CMMC en vigueur le plus rapidement possible.
Vous avez la possibilité de commenter cette Proposition de Règlement final. Vos commentaires pourraient conduire à des changements au processus CMMC. La période des commentaires prend fin le 15 octobre 2024.
Voici ce qu’il faut retenir de cette nouvelle proposition de Règlement finale:
Date de mise en vigueur de CMMC
Bien qu’il y ait une accélération dans le processus CMMC, DoD n’a communiqué aucune date officielle pour la mise en vigueur de CMMC.
Les estimations antérieures restent donc valides. On estime que CMMC sera en vigueur vraisemblablement en Q1 2025.
Clarification de la terminologie CUI
Plusieurs définitions de CUI circulaient.
DoD a apporté une clarification. Désormais, CUI = Informations que le gouvernement américain crée ou possède, ou qu'une entité créée ou possède pour le gouvernement ou en son nom, et qu'une loi, un règlement ou une politique gouvernementale exige ou autorise une agence à traiter en utilisant des contrôles de sauvegarde ou de diffusion.
Introduction d’un nouveau concept: DoD UID
Désormais vous aurez un identifiant unique appelé DoD unique identifier (DoD UID) lorsque vous soumettez un score SPRS.
Le DoD UID est une chaîne alphanumérique attribuée dans le système SPRS à chaque système d'information du contractant qui traite, stocke ou transmet des FCI ou CUI.
Vous aurez à fournir le DoD UID dans le cadre d’un contrat que vous obtenez avec DoD.
En fournissant votre DoD UID, vous vous engagez à utiliser les données de DoD du contrat uniquement dans le système concerné. Si vous les utilisez dans un autre environnement, c’est un défaut / manquement.
Obligation de signaler les défauts et manquements
Si lors de l'exécution d’un contrat de DoD il s’avère que vos systèmes qui collectent, stockent et traitent les CUI reçus (ou créés) dans le cadre dudit contrat ne sont plus conformes à CMMC, vous êtes obligés de le signaler à DoD.
DoD ne clarifie pas si un contrat pourrait vous être retiré si vos systèmes ne sont plus conformes à CMMC, mais cette éventualité ne doit pas être exclue car la non conformité constitue un risque significatif pour DoD et il pourrait ne pas l’accepter
Note: les contractants et sous-contractants devraient être très prudents et transparents lorsqu’ils indiquent le DoD UID du système qu’ils vont utiliser dans le cadre d’un projet qu’ils obtiennent avec DoD. En effet, si vous utilisez un système différent pour réaliser un projet obtenu et que par malheur vous avez un incident de cybersécurité, vous êtes tenus de le signaler à DoD. Si lors des investigations DoD découvre que vous avez utilisé un système différent et que vous ne l’avez pas signalé, vous pourriez potentiellement être accusé de fraude et subir les rigueurs de la Loi américaine. Nous vous recommandons donc fortement d’être transparents.
Introduction d'une nouvelle disposition : DFARS 252.204-7YYY
- DFARS 252.204-7YYY, Notice of Cybersecurity Maturity Model Certification Level Requirements: cette disposition informera les contractants du niveau de certification CMMC requis pour un appel d'offres donné de DoD, ainsi que les exigences avant l'attribution du contrat.
Quand fournir la preuve que vous avez la certification CMMC exigée dans un appel d’offre?
Si un appel d’offres de DoD exige d’être certifié CMMC (exemple Niveau 2), cette certification ne vous sera pas exigée au dépôt de votre offre, mais à l’attribution du contrat.
Si vous obtenez le contrat et n’avez pas la certification CMMC requise, vous pourrez le perdre.
C’est votre responsabilité de vous assurer que vos sous-contractants ont le niveau CMMC requis
DoD indique que vous êtes responsable de vous assurer que vos sous-contractants ont le bon niveau CMMC requis, avant de leur partager des informations (CUI ou FCI) qu’elle partage avec vous dans le cadre d’un contrat que vous avez obtenu
Notez que la même exigence s’applique si vous créez vous-même des CUI pour DoD dans le cadre d’un contrat qu’il vous donne. Vous ne pourrez pas les partager avec vos sous-contractants qui n’ont pas le niveau CMMC requis.
DoD peut intégrer des exigences CMMC dans les contrats avant la mise en vigueur de CMMC
Par défaut, les exigences CMMC seront intégrées aux appels d’offres de DoD quand le Règlement CMMC sera en vigueur, très probablement en Q1 2025.
Mais DoD se réserve le droit d’intégrer ses exigences de certification CMMC, à sa discrétion. Toutefois, votre certification ne vous sera demandée/exigée à l’obtention du contrat. Vous pourrez donc perdre un contrat si vous êtes sélectionné et que vous n’avez pas la certification CMMC requise.
DoD ne vous offrira pas de plateforme pour vous permettre de voir le score SPRS ou la certification CMMC de vos sous-contractants
DoD n’envisage pas de fournir à ses contractants une plateforme permettant de vérifier si leur sous-contractants sont certifiés CMMC ou non.
DoD indique qu’il vous revient de faire les vérifications nécessaires avec votre sous-contractant pour vous assurer qu’il est bel et bien certifié au niveau requis (CMMC Niveau 1, 2, ou 3)
Comment déterminer le niveau de certification que vous devez exiger à vos sous-contractants?
Supposons que vous détenez des CUI et des FCI, et que vous êtes obligé de vous conformer au CMMC Niveau 2:
Si vous partagez vos CUI avec un sous-contractant, ce dernier doit obligatoirement obtenir la certification Niveau 2 comme vous. Il est de votre obligation de vous assurer que votre sous-contractant à CMMC Niveau 2, avant de lui partager les CUI.
Si vous partagez uniquement vos FCI avec un sous-contractant, ce dernier a uniquement besoin d’avoir la certification CMMC Niveau 1. Vous devez vous en assurer.
Obligation de maintenir en continu le niveau de certification CMMC exigé
DoD exige que tout contractant possède et maintienne le niveau CMMC requis pendant toute la durée d’un contrat qu’il a obtenu
Si à un moment donné vous n’êtes plus conforme, vous êtes tenu de le signaler à DoD.
Assurez-vous donc d’obtenir et de maintenir votre certification CMMC en tout temps.
Besoin d'aide?
StreamScan est Registered Provider Organization (RPO) for CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.
Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC.
Pour plus de détails sur notre service d'accompagnement CMMC, visitez ce lien
Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.