Blog > CMMC

CMMC est officiel depuis le 15 octobre 2024

Le règlement CMMC a été adopté par le Congrès Américain et est officiel depuis le 15 octobre 2024.

A partir de cette date, la CMMC sera mise en vigueur dans 60 jours, soit le 15 décembre 2024.

Le Règlement final de CMMC ,aussi appelé 32 CFR, fait 426 pages. Nous l’avons analysé. Voici ce qu'il faut retenir:

 

CMMC et les contrats

  • CMMC ne sera pas exigé au dépôt de votre soumission à un appel d’offres, mais à l’attribution du contrat.

 

Certification CMMC conditionnelle

  • Possibilité d’avoir une certification CMMC conditionnelle si vous êtes conforme à 80% des contrôles CMMC (tous les contrôles CMMC ayant un score de 5 doivent être respectés dans les 80%). 

  • La certification CMMC conditionnelle vous oblige à avoir un plan d’actions avec milestones (POAM) pour corriger les écarts dans un délai maximum de 18 mois. A l’expiration, si tous les écarts ne sont pas corrigés, votre certification conditionnelle expire.

 

Obligation de maintenir votre certification CMMC 

  • DoD exige que votre certification CMMC reste valide en permanence, sans exception, pendant toute la durée du contrat obtenu.

 

Notification des changements CMMC

  • Pendant l'exécution du contrat, vous êtes tenu de signaler tout changement dans votre infrastructure susceptible de provoquer une non-conformité au CMMC.


Délai de rétention des preuves d’audit CMMC

  • Les preuves de vos audits de certification CMMC doivent être conservées pendant au moins 6 ans, conformément aux exigences impératives du département américain de la justice.

 

Exclusion de la portée CMMC

  • Tous les équipements OT, IoT et IIoT sont exclus de la portée du CMMC et sont classés comme des actifs spécialisés.

 

Fournisseurs de service Cloud

  • Si vous décidez de stocker des CUI dans le Cloud, assurez-vous que votre fournisseur Cloud est autorisé FedRAMP modéré ou équivalent.

 

Certification CMMC optionnelle pour les fournisseurs de service externes (impartiteurs TI, MSSP, etc.)

  • DoD a rendu optionnelle la certification CMMC pour tous les fournisseurs de services TI ou de sécurité externe (collectivement appelés fournisseurs de services externes / External Service Provider / ESP).

Si vous choisissez un ESP qui n’est pas certifié CMMC, voici les elements à considerer

  • Augmentation de la portée de votre audit CMMC : L'environnement de votre fournisseur (ESP) sera inclus dans votre propre audit CMMC, augmentant ainsi sa portée et sa complexité.

  • Coûts supplémentaires : Vous devrez couvrir les coûts de l'audit de l'environnement de votre ESP qui vous supporte. Cet environnement doit répondre aux exigences du NIST 800-171. Cela sera vérifié lors de votre audit CMMC.

  • Responsabilité continue  : Vous serez responsable de vous assurer que votre ESP reste continuellement conforme au NIST 800-171.

  • Risque légal : Assurez-vous que votre ESP respecte en tout temps les exigences du NIST 800-171 pour éviter tout risque légal. En effet, lorsque vous avez la certification CMMC, chaque année un membre de votre Haute Direction doit confirmer que vous êtes encore conforme à CMMC. Cette affirmation a une valeur légale et il serait judicieux de faire une validation annuelle de la conformité de votre ESP, avant l’auto-affirmation annuelle.

  • Risque de non-certification : Si l'environnement de votre ESP n'est pas conforme au NIST 800-171, cela pourrait compromettre votre capacité à obtenir votre propre certification CMMC.

 

Si vous choisissez un ESP certifié CMMC 

  • Assurez-vous qu'il au moins le même niveau de certification CMMC que vous. Par exemple si vous devez obtenir la certification CMMC de niveau 2, assurez-vous que votre ESP a la certification CMMC Niveau 2 minimalement.

  • En choisissant un fournisseur certifié CMMC vous évitez plusieurs complications. Par exemple, son environnement qui vous supporte ne sera pas audité dans le cadre de votre certification CMMC, ce qui réduit les coûts, les efforts et les délais tout en assurant une conformité continue et simplifiée.

  • Un ESP certifié est légalement responsable de sa partie. Il doit faire sa propre auto-affirmation annuelle, ce qui vous dégage de toute responsabilité.

 

Flow down

  • Vos sous-contractants avec qui vous partagez des CUI doivent avoir le même niveau de certification CMMC que vous.

  • Il est de votre responsabilité de vous assurer que vos sous-contractants ont la certification CMMC requise, avant de partager vos CUI avec eux.

 

CMMC vs NIST 800-171

  • Le cœur de CMMC restera le NIST-800-171 Rev 2. Oubliez la Rev3 pour l'instant. 

 

Comment Streamscan peut vous aider

StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.

Nous avons choisi de poursuivre la certification CMMC de niveau 2 afin d'offrir une valeur ajoutée unique à nos clients

Contactez nous ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.