Terminologies CMMC : FCI, CUI, CTI, DCI, FAR, DFARS et FedRAMP

Voici quelques belles terminologies que vous devez maîtriser si vous devez vous conformer à CMMC ou au NIST 800-171:

👉 DoD (Departement of Defense): le Département américain de la Défense. 

👉 FCI (Federal Contract Information): informations sur les contrats fédéraux américains (le dossier d'appel d'offres et son contenu)

👉 CUI (Controlled Unclassified Information): Informations non classifiées contrôlées (ex: les diagrammes ou dessins de pièces utilisés sur des équipements de l'armée américaine). Il est obligatoire de chiffrer ces données.

👉 DCI (Defense Controlled Information): CUI appartenant exclusivement à DoD (ou que vous créez exclusivement pour DoD). 

👉 CTI (Controlled Technical Information): catégorie de DCI qui concernent les dessins techniques appartenant à DoD. Les CTI sont dans la catégorie des CUI.

👉 FAR 52.204–21 : les exigences de cybersécurité de base pour protéger les données de type FCI

👉 DoD–CIO–00002 : les exigences pour l'évaluation CMMC Niveau 1

👉 DFARS 252.204-7012 : les exigences de sécurité pour la protection des CUI appartenant à DoD (ou les CUI que vous créez pour DoD).

👉 FedRAMP : certification de sécurité obligatoire pour les fournisseurs Cloud qui veulent pouvoir stocker des données du gouvernement américain.

Et pour terminer, si vous êtes fournisseur de DoD :

👉 Se conformer à FAR 52.204–21 = obtenir la certification CMMC Niveau 1

👉 Se conformer à DFARS 252.204-7012 = obtenir la certification CMMC Niveau 2

👉 Se conformer au NIST 800-171 = obtenir la certification CMMC Niveau 2

👉 Si vous voulez stocker vos CUI dans le Cloud, assurez-vous que votre fournisseur Cloud est certifié FedRAMP.