Visitez notre kiosque à CANSEC les 27-28 mai
Dépendant du Département du gouvernement américain qui est votre client, certaines normes et exigences de cybersécurité vous seront exigées.
Il se peut aussi qu’un de vos partenaires qui est fournisseur du gouvernement américain vous demande de respecter une norme de cybersécurité spécifique.
Ainsi, dès que vous accédez ou créez des informations assez sensibles (CUI), vous allez devoir vous conformer au NIST 800-171 ou au CMMC (Cybersecurity Maturity Model Certification).
Dans cet article, nous allons voir la différence entre le NIST 800-171 et le CMMC et dans quel contexte ils s'appliquent.
1 - Qu'est-ce que le NIST 800-171
Le NIST 800-171 est une norme de cybersécurité du gouvernement américain. Il est composé de 110 contrôles de sécurité qui fournissent des exigences pour protéger les informations sensibles non classifiées (communément appelées CUI - Controlled Unclassified Information). Ces contrôles sont répartis en 14 domaines.
Si vous n’utilisez pas des CUI dans votre relation d’affaires avec le gouvernement américain, vous n’avez pas besoin de vous conformer au NIST 800-171.
Obligation de se conformer au NIST 800-171
Dès que vous êtes fournisseur/contractant du gouvernement américain et que vous accédez à des CUI, vous êtes tenu de vous conformer au NIST 800-171.
Il n’y a pas de certification NIST 800-171. On attend de vous que vous respectez rigoureusement les 110 contrôles du NIST 800-171 et que vous fassiez une auto-évaluation (self-assessment) pour confirmer le respect de la norme.
Toutefois, vous devez être très prudents lors de l’auto-évaluation. Il se pourrait que le gouvernement américain vous demande des preuves du respect du NIST 800-171. Si les contrôles réels que vous avez mis en place sont différents de ce qui est indiqué dans votre rapport d’auto-évaluation, vous pourrez éventuellement être accusé de fraude. Dans un tel cas, vous pourrez être interdit de postuler aux contrats du gouvernement américain.
En cas de doute, nous vous suggérons fortement de travailler avec une firme spécialisée en cybersécurité, ayant l’expertise requise pour vous aider sur le NIST 800-171. Ainsi, vous ne ferez pas d’erreur qui pourrait vous coûter très cher (fermeture du marché du gouvernement américain).
2 - Qu’est ce que CMMC?
CMMC est une nouvelle certification de cybersécurité a été mise en vigueur par le Ministère de la Défense des États-Unis (Department of Defense, DoD). Cette certification s’applique à tous les contractants, sous-contractants et fournisseurs de DoD spécifiquement, quel que soit leur secteur d’activités ou leur localité (USA, Canada ou partout ailleurs).
La version en vigueur actuellement est la 2.0.
CMMC est fortement dérivé du NIST 800-171 et reprend ses 14 domaines. CMMC est composé de 17 domaines.
Niveaux de certification CMMC 2.0
Il existe 3 niveau de certification CMMC 2.0 :
Pour savoir comment déterminer son niveau CMMC, veuillez consulter ce lien.
Doit-on se conformer au NIST 800-171 si on est certifié CMMC 2.0?
Évaluer son niveau de préparation pour la conformité CMMC 2.0 ou NIST 800-171
Nous avons créé un formulaire qui vous permet d'évaluer votre niveau de préparation pour la conformité CMMC 2.0 ou NIST 800-171.
Comment StreamScan peut vous aider?
StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC. Nous avons une parfaite maîtrise de CMMC et NIST 800-171.
Nos experts en cybersécurité sont disponibles pour vous accompagner dans votre processus de mise en conformité CMMC ou NIST 800-171. Nous aidons régulièrement les organisations à déterminer et soumettre leur score SPRS au Département de la Défense Américaine (DoD).
Pour plus de détails sur notre service d'accompagnement CMMC et NIST 800-171, visitez ce lien.
