26 decembre 2023 : DoD publie la proposition de Règlement CMMC

Nouvelle étape franchie pour la mise en vigueur de CMMC ce 26 dec 2023.

Le Département américain de la Défense (DoD) vient de publier ce lundi 26 decembre 2023 la proposition de règlement CMMC. Noter qu'une version non officielle circulait depuis le 22 decembre  2023.

Cette proposition apporte plusieurs clarifications concernant CMMC, sa portée, sa mise en œuvre, le processus de certification, etc. Elle témoigne aussi de la volonté de DoD d'aller de l'avant avec CMMC le plus rapidement possible, avec en ligne de mire la protection de ses CUI.

Si vous êtes contractant ou sous-contractant de DoD, vous avez la possibilité de commenter la Proposition de Règlement CMMC. Vos commentaires pourraient conduire à des changements au processus CMMC. La période des commentaires prend fin le 26 février 2024.

Nous allons analyser plus en détails la Proposition de Règlement CMMC et publier un article de blog. 

En attendant, voici ce qu'il faut retenir:

CMMC vs NIST 800-171

  • Le cœur de CMMC restera le NIST-800-171 Rev 2. Oubliez la Rev3 pour l'instant. 

CMMC vs SPRS

  • Vous allez devoir utiliser le système SPRS pour soumettre vos résultats d’évaluation CMMC.

CMMC 2.0 - Niveau 1

  • auto-évaluation annuelle + submission dans le système SPRS.

  • auto-affirmation annuelle d'un membre de la Haute Direction + submission dans le système SPRS.

  • aucun plan d'actions (POA&M) n'est accepté.

CMMC 2.0 - Niveau 2 avec Self-assessment

  • plan d'actions (POA&M) accepté mais vous aurez 180 jours pour corriger les écarts

  • auto-évaluation CMMC (self assessment) valide pour 3 ans

  • le résultat de l'évaluation CMMC doit être entré dans le système SPRS

  • auto-affirmation annuelle d'un membre de la Haute Direction + submission dans le système SPRS

CMMC Niveau 2 avec Certification

  • plan d'actions (POA&M) accepté mais vous aurez 180 jours pour corriger les écarts

  • certification CMMC par une tierce partie (C3PAO)

  • information sur l'évaluation CMMC à entrer dans le système Enterprise Mission Assurance Support Service (eMASS)

  • certification CMMC valide pour 3 ans

  • auto affirmation annuelle d'un membre de la Haute Direction + submission dans le système SPRS

 

CMMC Niveau 3

  • respecter les contrôles et sous-contrôles NIST 800-171 et NIST 800-172 exigées

  • plan d'actions (POA&M) accepté mais vous aurez 180 jours pour corriger les écarts

  • audit fait par un évaluateur du Departement américain de la Défense (DoD)

  • information sur l'évaluation CMMC à entrer dans le système Enterprise Mission Assurance Support Service (eMASS)

  • certification valide pour 3 ans

  • auto affirmation annuelle d'un membre de la Haute Direction + submission dans le système SPRS