Blog > CMMC

CMMC vs FedRAM

Si vous êtes un fournisseur de DoD, vous avez sûrement entendu parler de CMMC et FedRAMP.

Dans cet article, nous allons présenter CMMC et FedRAM, ainsi que leur complémentarité. 

 

Presentation de CMMC (Cybersecurity Maturity Model Certification) 

CMMC est une certification de cybersécurité que tous les contractants et sous-contractant de DoD doivent respecter. Il y a 3 niveaux CMMC dépendant des types de données auxquelles vous avez accès dans le cadre de votre relation d’affaires avec DoD.

 

Présentation de FedRAMP (Federal Risk and Authorization Management Program)

FedRAMP est un programme du gouvernement américain qui vise à s’assurer que les CUI qui sont stockées dans le Cloud sont bien protégées pour réduire les risques d’accès non autorisés. 

Le gouvernement américain a donc identifié un certain nombre de requis de cybersécurité que tout fournisseur Cloud doit respecter s’il veut pouvoir collecter, stocker ou traiter des CUI.

Il y a trois (3) niveaux FedRAMP:

  • FedRAMP Faible : recommandé pour les cas où la perte de confidentialité, d'intégrité et de disponibilité aurait un impact limité et faible

  • FedRAMP Modéré : recommandé lorsque la perte de la confidentialité, de l'intégrité et de la disponibilité pourrait avoir des conséquences négatives graves 

  • FedRAMP Élevé : recommandé pour les systèmes où la perte de confidentialité, d'intégrité ou de disponibilité des données ou des systèmes peut avoir des conséquences catastrophiques (force de l'ordre, services d'urgence, les systèmes financiers, systèmes de santé, etc.

Pour en savoir plus sur les requis de cybersécurité à respecter pour chaque niveau FedRAM, veuillez télécharger le document Excel suivant (disponible sur le site de FedRAMP).

Noter que les fournisseurs Cloud intéressés à stocker des CUI doivent se faire auditer par  un auditeur externe (C3PAO FedRAMP) qui s'assurera que vous respectez tous les contrôles FedRAMP. Si c’est le cas, vous aurez une autorisation FedRAMP délivrée par le gouvernement américain.

Le gouvernement américain tient une liste (Marketplace) de tous les fournisseurs de services Cloud qui détiennent une autorisation FedRAMP. Vous pouvez la consulter ici.

 

CMMC vs FedRAMP

CMMC

CMMC vise explicitement les entreprises (quelque soit leur taille) qui travaillent avec  DoD et qui collectent, traitent ou génèrent des informations confidentielles (FCI) ou confidentielles (CUI) dans le cadre de contrats avec DoD. 

CMMC est basé sur NIST 800-171.

 

FedRAMP

FedRAMP concerne uniquement les fournisseurs de services Cloud, qui veulent par exemple louer leur Cloud à des organisations qui veulent stocker leurs CUI dans le Cloud.

Si vous offrez par exemple un service SaaS, PaaS, IaaS, etc. qui stockent des CUI, assurez vous d’avoir une autorisation FedRAMP.

FedRAMP est basé sur NIST 800-53.

 

Considération pour les fournisseurs de DoD qui stockent leurs CUI dans le Cloud

Vous êtes un fournisseur de DoD et vous voulez stocker vos CUI dans le Cloud? Vous devez tenir compte des éléments suivants:

  • Obligation de stocker vos CUI chez un fournisseur Cloud autorisé FedRAMP
  • Si vos CUI sont stockés dans le Cloud, vous devez vous assurer que le fournisseur de la plateforme Cloud est certifié FedRAMP.

 

Conséquences de stocker vos CUI dans un Cloud non autorisé FedRAMP

Si vous stockez vos CUI chez un fournisseur de service Cloud qui n’est pas autorisé FedRAMP, vous risquez de ne pas obtenir la certification CMMC, même si en interne, vous avez mis en place tous les contrôles et sous-contrôles exigés par CMMC. 

Pour CMMC Niveau 2, Lors du choix de votre fournisseur Cloud, assurez-vous qu’il est autorisé FedRAMP modéré ou élévé (voir le Marketplace FedRAMP).

 

Les fournisseurs canadiens de DoD peuvent-ils utiliser un Cloud FedRAM situé aux USA?

Oui. Le plus important pour CMMC c’est que les CUI soient stockés dans un Cloud autorisé FedRAMP. 

 

Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC?

StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.

Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en