CMMC : voici les obligations des contractants de DoD - 48 CFR CMMC

Le Département américain de la Défense (DoD) vient de proposer un Règlement final visant à clarifier ses règles d'approvisionnement CMMC (48 CFR CMMC).

Voici le résumé des obligations des contractants et sous-contractants de DoD:

Obligation d'avoir la certification CMMC avant l'execution d'un contrat

DoD indique qu'avant qu'il vous octroie un contrat, vous aurez à prouver que vous avez la certification CMMC exigée.
Aucun contrat ne sera octroyé à un contractant ou sous-contractant qui n'a pas la certification CMMC exigée.

Obligation de maintenir votre niveau de certification CMMC tout au long du contrat

DoD exige que tout contractant maintienne le niveau CMMC requis pendant toute la durée d’un contrat qu’il a obtenu.

Obligation de signaler les défauts et manquements

Si lors de l'exécution d’un contrat de DoD il s’avère que vos systèmes qui collectent, stockent et traitent les CUI reçus (ou créés) dans le cadre dudit contrat ne sont plus conformes à CMMC, vous êtes obligés de le signaler à DoD.
Tout non signalement peut être considéré comme une fraude.

Obligation de vous assurer que vos sous-contractants ont aussi la bonne certification CMMC

DoD indique que vous êtes responsable de vous assurer que vos sous-contractants ont le bon niveau CMMC requis, avant de leur partager des informations (CUI ou FCI) qu’elle partage avec vous dans le cadre d’un contrat que vous avez obtenu
Notez que la même exigence s’applique si vous créez vous-même des CUI pour DoD dans le cadre d’un contrat qu’il vous donne. Vous ne pourrez pas les partager avec vos sous-contractants qui n’ont pas le niveau CMMC requis.

Article récents

13 septembre 2024 : CMMC passe le cap de l’examen réglementaire

La mise en vigueur de la certification CMMC s’accélère. Le 13 septembre 2024, le Règlement final du CMMC (32 CFR) a passé le cap de l’examen réglement

Partenarait entre Streamscan et le cyberassureur CFC pour la réponse aux incidents au Québec

Streamscan est heureux d’annoncer son partenariat avec le cyber-assureur CFC basé à Londres / Angleterre. CFC est un acteur majeur de la cyber assuran

Question du jour : impact financier d’une cyberattaque

Question : nous sommes une entreprise d'environ 1000 employés et nous prenons régulièrement des backups (en interne et dans le Cloud). Nous sommes sûr

Est-ce nécessaire d’avoir une cyber-assurance?

Vous vous demandez si c’est une bonne idée ou non d’avoir une cyber assurance? Voici la réponse de notre Chef de la Cybersécurité, Dr Karim Ganame, q