Le score SPRS (Supplier Performance Risk System) et CMMC / NIST 800-171

Lorsque vous obtenez un contrat du gouvernement américain qui implique l’utilisation ou la création de CUI, il peut arriver que votre donneur d'ordres vous demande de soumettre votre score SPRS.

Certains de vos partenaires peuvent aussi exiger que vous soumettiez votre score SPRS, même si vous n'avez pas decroché un contrat avec le gouvernement américain.

Qu'est ce que le score SPRS? Reponse dans cet article.

 

Objectif du score SPRS

Le score SPRS est obtenu après une analyse d’écarts entre votre niveau de sécurité réel vs les 110 contrôles du NIST 800-171.

Lorsque vous debutez l'analyse d'écarts, vous partez avec un score de +110 points. Vous perdez ensuite des points pour chaque contrôle NIST 800-171 non respecté.

Noter que certains contrôles ont plus de poids que d'autres. Certains font 5 points, tandis que d'autres en ont 3 points ou 1.

 

Pas inquietant d'avoir un score SPRS négatif

Votre score SPRS peut se situer entre +110 (conformité totale à NIST 800-171) et -203 points (rien en place).

Plusieurs organisations redoutent d'avoir un score SPRS négatif car cela pourrait envoyer un mauvais signal à leurs partenaires. Toutefois, il faut noter que ce n'est pas dramatique que lors de votre première évaluation SPRS, vous ayez un score negatif, car vous avez surement des contrôles non en place.

Par contre, vous devez travailler rapidement à améliorer votre score SPRS en mettant en place les contrôles appropriés.

 

Le SSP (System Security Plan) requis pour soumettre votre score SPRS

Le SSP peut être assimilé à la politique de sécurité globale de l’organisation. Il permet d’avoir une idée des requis NIST 800-171 qui sont respectés par l’entreprise.

Avoir un SSP est obligatoire pour soumettre votre score SPRS.

 

Où soumettre votre score SPRS

Votre score SPRS doit être soumis sur le plateforme du Departement de la Defense Américaine : https://www.sprs.csd.disa.mil/

Vous devez avoir un compte PIEE pour soumettre votre score SPRS.

 

Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC?

StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.

Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.