Le Département de la Défense Américaine : La certification de cybersécurité CMMC 2.0 exigée !

Depuis septembre 2020, une nouvelle certification de cybersécurité a été mise en vigueur par le Ministère de la Défense des États-Unis (Department of Defense, DoD). Cette certification appelée CMMC (Cybersecurity Maturity Model Certification) s’applique à tous les contractants, sous-contractants et fournisseurs de DoD, quel que soit leur secteur d’activités ou leur localité (USA, Canada ou partout ailleurs).

La version CMMC de 2020 est connue sous le nom CMMC 1.0 et comportait 5 niveaux de certification. Après une phase pilote, il est apparu clairement que le processus était lourd et qu’il fallait le simplifier. On est donc passé à CMMC 2.0 avec 3 niveaux de certifications. Le nouveau processus est plus léger et surtout accessible aux PME, ce qui est une bonne nouvelle.

Rappel de l’objectif de la certification CMMC

La certification CMMC a été conçue pour permettre au Département de la Défense Américaine de s’assurer que ses contractants, sous-contractants et fournisseurs prennent des mesures de cybersécurité raisonnables et adéquates pour protéger les informations qui leur sont confiées dans le cadre de leur relation d’affaires. Ce sont :

• Les Informations sur les contrats fédéraux (FCI)
• Informations non classifiées contrôlées (CUI)

Une certification très rigoureuse

L’une des particularités de CMMC est qu’elle est beaucoup plus rigoureuse que la plupart des certifications de cybersécurité du marché. Par exemple, ce n’est pas toutes les firmes de cybersécurité qui peuvent accompagner une organisation dans son processus de certification CMMC. Seules les firmes autorisées peuvent le faire.

Pour se faire qualifier, une firme de cybersécurité doit passer par un processus d’autorisation qui inclut des vérifications d’antécédents (Background check), de compétences et d’expertise. Par ce processus, le Département de la Défense Américaine s’assure qu’un accompagnement professionnel de qualité sera offert aux organisations qui souhaitent se faire certifier CMMC.

Streamscan est passé par ce processus de qualification rigoureux et nous sommes Registered Provider Organization (RPO) CMMC. Nous sommes officiellement autorisés à accompagner les organisations dans leur démarche CMMC.

La détermination du niveau de certification CMMC

Le niveau de certification CMMC dont vous avez besoin dépend des informations auxquelles vous accédez dans le cadre de votre relation avec DoD.

• Si vous accédez uniquement aux informations sur les contrats fédéraux (FCI) vous aurez besoin d’une certification CMMC de Niveau 1. Ceci s’applique même si vous êtes sous-contractant d’un contractant direct de DoD.
• Si vous accédez à des Informations non classifiées contrôlées (CUI), vous devez avoir au moins une certification CMMC Niveau 3.

Le niveau de certification CMMC requis sera indiqué dans les appels d’offres de DoD. Vous pouvez aussi le déduire en fonction du type d’information auxquelles vous accédez (FCI = CMMC Niveau 1, CUI = au moins CMMC Niveau 3).

Toutefois, il se pourrait que l’information soit omise dans les appels d’offres de DoD. En cas de doute, vous devez contacter DoD pour confirmer le niveau de CMMC requis pour un appel d’offres donné.

Rappel des Niveaux, Domaines et Pratiques CMMC

CMMC comporte 171 pratiques provenant de 17 domaines de la cybersécurité. Ces pratiques sont découpées en 5 niveaux de certification auxquels sont associés des niveaux de maturité de processus.

Niveau 1 / De base (17 pratiques respectées) : Les pratiques sélectionnées sont documentées lorsque requis.

Niveau 2 / Intermédiaire (72 pratiques respectées) : toutes les pratiques concernées sont documentées.

Niveau 3 / Bon (130 pratiques respectées) : les pratiques concernées sont documentées, réutilisables et maintenues.

Niveau 4 / Proactif (156 pratiques respectées) : les pratiques concernées sont documentées, réutilisables et maintenues. Les activités sont révisées et mesurées.

Niveau 5 / Avancé / Progressif (171 pratiques respectées) : les pratiques concernées sont documentées, réutilisables et maintenues. Les activités sont révisées et mesurées. La méthode devient un standard qui est utilisé par toutes les divisions de l’entreprise.

CMMC: les 17 domaines couverts!

• Le contrôle d’accès
• La gestion des actifs informationnels
• L’audit et l’imputabilité
• La sensibilisation et la formation des utilisateurs
• La gestion de la configuration des systèmes
• L’identification et l’authentification des utilisateurs
• La réponse aux incidents de cybersécurité
• La maintenance des systèmes
• La protection des médias et supports de stockage d’information
• La sécurité du personnel
• La sécurité physique
• Le recouvrement et les sauvegardes
• La gestion des risques
• L’évaluation de la sécurité
• La connaissance de la situation (sécurité opérationnelle, surveillance de la sécurité et chasse aux cybermenaces)
• La protection des systèmes et des communications
• L’intégrité des systèmes et des informations

Y’a-t-il un lien entre CMMC et NIST 800-171?

Oui. Le Niveau 2 à 5 de CMMC inclut des exigences du NIST 800-171 ainsi que des requis additionnels.

Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC?

Streamscan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.

Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC.

La première étape de notre intervention consiste à vous aider à identifier le niveau de certification CMMC requis et la portée de votre certification. Nous faisons ensuite une analyse d’écarts afin de faire ressortir vos forces et faiblesses actuelles ainsi que les écarts et pratiques à mettre en place pour atteindre le niveau de certification CMMC exigé. Avec notre support, vous pourrez ensuite apporter les corrections nécessaires pour vous conformer à CMMC.

Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.