Certification de Maturité en Cybersécurité (CMMC)
CMMC est un cadre introduit par le département de la Défense des États-Unis (DoD). Il s'agit d'une norme unifiée pour la mise en œuvre de la cybersécurité dans l'ensemble de la base industrielle de défense (DIB), qui se compose de plus de 300 000 entreprises dans la chaîne d'approvisionnement du DoD.
Demandez une démo des Cadres Personnalisés de SecureframeDéfinition et objectif
L'objectif de la CMMC est d'améliorer la protection des informations non classifiées controlées (CUI) qui existent dans la chaîne d'approvisionnement de l'industrie de la défense. La CMMC sert à évaluer et à améliorer la posture de cybersécurité des sous-traitants de la défense, en se concentrant spécifiquement sur la protection des informations sensibles de défense hébergées dans les systèmes d'information des sous-traitants.
Organe de Gouvernance
La CMMC a été développée par le département de la Défense des États-Unis, en partenariat avec l'industrie et le milieu universitaire.
Dernière mise à jour
La CMMC 2.0 a été annoncée en novembre 2021. Une mise en œuvre progressive de la CMMC 2.0 a commencé en 2023, avec une achèvement final prévu pour octobre 2025.
S'applique à
La CMMC s'applique à tous les fournisseurs à tous les niveaux au sein de la base industrielle de défense, y compris les petites entreprises, les sous-traitants d'articles commerciaux et les fournisseurs étrangers. Toute entreprise faisant des affaires avec le DoD, soit directement soit en tant que sous-traitant, doit se conformer au niveau de certification CMMC pertinent.
Contrôles et exigences
La CMMC 2.0 est rationalisée par rapport à son prédécesseur et se concentre sur trois niveaux de maturité en cybersécurité :
- Niveau 1 (Fondamental) : Composé de pratiques d'hygiène cybernétique de base qui correspondent aux exigences de protection de base pour les informations contractuelles fédérales (FCI).
- Niveau 2 (Avancé) : Comprend un ensemble de pratiques qui s'alignent sur la norme NIST SP 800-171, protégeant les CUI.
- Niveau 3 (Expert) : Inclut des pratiques avancées/progressives pour protéger les CUI et réduire le risque de menaces persistantes avancées (APT).
Chaque niveau a un ensemble de pratiques et de processus, les niveaux supérieurs englobant toutes les exigences des niveaux inférieurs.
Veuillez consulter le site officiel de la CMMC 2.0 pour les détails sur les contrôles et les exigences.
Type d'audit, fréquence et durée
Les évaluations CMMC sont réalisées par des organisations d’évaluation tierces CMMC (C3PAO) et des évaluateurs individuels accrédités par le CMMC Accreditation Body (CMMC-AB). La certification est valable trois ans, après quoi une réévaluation est requise.
La durée de l'évaluation dépendra de la taille et de la complexité du réseau et des systèmes d'information de l'organisation, ainsi que du niveau CMMC pour lequel elle est évaluée.