Blog > CMMC

NIST 800-171 vs CMMC : comprendre la différence

Dépendant du Département du gouvernement américain qui est votre client, certaines normes et exigences de cybersécurité vous seront exigées.

Il se peut aussi qu’un de vos partenaires qui est fournisseur du gouvernement américain vous demande de respecter une norme de cybersécurité spécifique.

Ainsi, dès que vous accédez ou créez des informations assez sensibles (CUI), vous allez devoir vous conformer au NIST 800-171 ou au CMMC (Cybersecurity Maturity Model Certification).

Dans cet article, nous allons voir la différence entre le NIST 800-171 et le CMMC et dans quel contexte ils s'appliquent.

1 - Qu'est-ce que le NIST 800-171

Le NIST 800-171 est une norme de cybersécurité du gouvernement américain. Il est composé de 110 contrôles de sécurité qui fournissent des exigences pour protéger les informations sensibles non classifiées (communément appelées CUI - Controlled Unclassified Information). Ces contrôles sont répartis en 14 domaines.

Si vous n’utilisez pas des CUI dans votre relation d’affaires avec le gouvernement américain, vous n’avez pas besoin de vous conformer au NIST 800-171.

Obligation de se conformer au NIST 800-171

Dès que vous êtes fournisseur/contractant du gouvernement américain et que vous accédez à des CUI, vous êtes tenu de vous conformer au NIST 800-171.

Il n’y a pas de certification NIST 800-171. On attend de vous que vous respectez rigoureusement les 110 contrôles du NIST 800-171 et que vous fassiez une auto-évaluation (self-assessment) pour confirmer le respect de la norme.

Toutefois, vous devez être très prudents lors de l’auto-évaluation. Il se pourrait que le gouvernement américain vous demande des preuves du respect du NIST 800-171. Si les contrôles réels que vous avez mis en place sont différents de ce qui est indiqué dans votre rapport d’auto-évaluation, vous pourrez éventuellement être accusé de fraude. Dans un tel cas, vous pourrez être interdit de postuler aux contrats du gouvernement américain.

En cas de doute, nous vous suggérons fortement de travailler avec une firme spécialisée en cybersécurité, ayant l’expertise requise pour vous aider sur le NIST 800-171. Ainsi, vous ne ferez pas d’erreur qui pourrait vous coûter très cher (fermeture du marché du gouvernement américain).

2 - Qu’est ce que CMMC?

CMMC est une nouvelle certification de cybersécurité a été mise en vigueur par le Ministère de la Défense des États-Unis (Department of Defense, DoD). Cette certification s’applique à tous les contractants, sous-contractants et fournisseurs de DoD spécifiquement, quel que soit leur secteur d’activités ou leur localité (USA, Canada ou partout ailleurs).

La version en vigueur actuellement est la 2.0.

CMMC est fortement dérivé du NIST 800-171 et reprend ses 14 domaines. CMMC est composé de 17 domaines.

Niveaux de certification CMMC 2.0

Il existe 3 niveau de certification CMMC 2.0 :

  • CMMC 2.0 Niveau 1 : si vous accédez uniquement aux informations sur les contrats fédéraux américains (FCI, Federal Contract Information)
  • CMMC 2.0 Niveau 2 : si vous accédez à des informations de type CUI.
  • CMMC 2.0 Niveau 3 : accès à des CUI assez sensibles. Des requis additionnels doivent être respectés pour être conforme au Niveau 3.

Pour savoir comment déterminer son niveau CMMC, veuillez consulter ce lien.

Doit-on se conformer au NIST 800-171 si on est certifié CMMC 2.0?

  • Si vous êtes fournisseur de DoD uniquement, vous avez juste besoin de vous conformer à CMMC 2.0. Par contre, il se peut qu’un de vos partenaires vous demande de montrer que vous êtes conforme au NIST 800-171. Votre certification CMMC devrait suffire à les convaincre. Un partenaire pourrait aussi vous demander de soumettre votre score SPRS.
  • Si vous êtes fournisseur de d’autres départements du gouvernement américain (autre que DoD) et que vous utilisez des CUI, vous n’avez pas besoin de vous conformer à CMMC. Vous devez par contre vous conformer au NIST 800-171. Vous devez aussi être prêt à soumettre votre score SPRS si demandé.

Évaluer son niveau de préparation pour la conformité CMMC 2.0 ou NIST 800-171

Nous avons créé un formulaire qui vous permet d'évaluer votre niveau de préparation pour la conformité CMMC 2.0 ou NIST 800-171.

Comment StreamScan peut vous aider?

StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC. Nous avons une parfaite maîtrise de CMMC et NIST 800-171.

Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC ou NIST 800-171. Nous aidons régulièrement les organisations à déterminer et soumettre leur score SPRS au Département de la Défense Américaine (DoD).

Pour plus de détails sur notre service d'accompagnement CMMC et NIST 800-171, visitez ce lien.

CTA Webinaire