Certification CMMC 2.0 : Comment déterminer votre niveau CMMC
Comme vous le savez sûrement, depuis septembre 2020, une nouvelle certification de cybersécurité a été mise en vigueur par le Ministère de la Défense des États-Unis (Department of Defense, DoD). Cette certification appelée CMMC (Cybersecurity Maturity Model Certification) s’applique à tous les contractants, sous-contractants et fournisseurs de DoD, quel que soit leur secteur d’activités ou leur localité (USA, Canada ou partout ailleurs).
L’une des étapes clés du processus de certification CMMC 2.0 consiste à identifier quel niveau CMMC vous est exigé. Voici comment procéder:
1 - Déterminer a quel type d’informations vous avez accès dans le cadre de votre relation d’affaires avec DoD
Commencez par déterminer quels types d’informations vous collectez, créez ou partagez dans le cadre de vos contrats avec DoD, que ce soit directement ou via des partenaires.
- Les Informations sur les contrats fédéraux (FCI) : les informations de base contenues dans les contrats fédéraux américains et DoD.
- Informations non classifiées contrôlées (CUI): sans être confidentielles, l’accès à ces informations peut avoir un impact sur la sécurité nationale des USA. Exemples de CUI: les architectures ou diagrammes nécessaires pour la fabrication d’un dispositif militaire, etc. Notez que DoD peut vous fournir des CUI, mais vous pouvez aussi produire des CUI pour DoD.
2 - Déterminer votre niveau CMMC
La plupart des organisations devront se conformer à CMMC niveau 1 et 2. Le niveau 3 est réservé à une catégorie très spécifique.
- Si vous utilisez uniquement des FCI, vous devez vous conformer à CMMC Niveau 1.
- Si vous utilisez ou produisez des CUI, vous devez vous conformer à CMMC Niveau 2. Il faut noter qu’il y’a 2 catégories de CMMC Niveau 2 : celle requérant un audit/certification par une tierce partie autorisée par CMMC (C3PAO) et celle dont une auto-évaluation (self assessment) est suffisante.
- Si vos partenaires exigent que vous vous conforment au NIST 800-171, vous devez vous certifier CMMC Niveau 2.
- Le niveau CMMC requis pourrait aussi être indiqué dans les contrats de DoD (mais non obligatoire).
Il faut noter que c'est votre responsabilité d'identifier le bon niveau CMMC et de vous assurer de le respecter. Si non, vous pourrez ne pas être autorisé a postuler aux appels d'offres de DoD si vous n'avez pas le niveau de certification CMMC requis.
3 - Evaluer son niveau de préparation pour la conformité CMMC 2.0 ou NIST 800-171
Nous avons créé un formulaire qui vous permet d'évaluer votre niveau de préparation pour la conformité CMMC 2.0 ou NIST 800-171.
Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC
StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.
Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC.
Pour plus de détails sur notre service d'accompagnement CMMC, visitez ce lien
Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.