Le processus d'évaluation CMMC varie en fonction du niveau de certification requis. Les évaluations de niveau 1 et de niveau 2 non-critique sont moins rigoureuses par rapport aux évaluations de niveau 2 critique. Les évaluations de niveau 3 sont les plus rigoureuses et sont menées par des représentants du gouvernement.
Voici un aperçu du processus d'évaluation pour chaque niveau CMMC.
Évaluations CMMC
En ce qui concerne l'obtention de la certification CMMC 2.0, comprendre les différents types d'évaluations est essentiel pour naviguer avec succès dans le processus. Chaque type d'évaluation correspond au niveau de certification que votre organisation recherche, avec des degrés de rigueur et de surveillance variés.
Que vous vous prépariez pour une auto-évaluation, une évaluation par une tierce partie ou une évaluation menée par le gouvernement, savoir à quoi vous attendre peut vous aider à mieux vous préparer et à vous assurer que vos pratiques de cybersécurité répondent aux normes requises.
Dans cette section, nous allons explorer les différents types d'évaluations CMMC, ce qu'elles impliquent et comment elles s'intègrent dans votre stratégie globale de conformité.
Auto-évaluation
Fréquence : Chaque année
S'applique à : Niveau 1 et certains contractants de niveau 2 qui gèrent des informations contrôlées non critiques pour la sécurité nationale
Ce que cela implique : Les organisations poursuivant la certification de niveau 1 ou les certifications de niveau 2 non critiques peuvent effectuer des auto-évaluations. Ce processus nécessite une révision interne de vos pratiques de cybersécurité, en veillant à ce qu'elles s'alignent sur les contrôles et processus nécessaires définis dans le cadre CMMC.
Une équipe d'auto-évaluation doit avoir les connaissances et l'expertise nécessaires concernant les exigences de niveau 1 du CMMC et la posture de sécurité de votre organisation pour mener cette évaluation. Ils peuvent utiliser les outils d'auto-évaluation fournis par le Directeur de l'information du DoD, y compris les directives de cadrage et d'auto-évaluation, pour éclairer leur évaluation. Au cours de leur évaluation, l'équipe révisera le Plan de sécurité du système (SSP), qui décrit les contrôles de sécurité spécifiques et les pratiques mises en œuvre par l'organisation, et documentera si chaque exigence de niveau 1 est entièrement, partiellement ou non mise en œuvre. Les exigences critiques devront être immédiatement remédiées avant de continuer. Toute autre exigence non entièrement mise en œuvre doit être documentée dans un Plan d'action et de jalons (POA&M). Ce document détaillera les étapes spécifiques, les responsables et les délais pour accomplir les actions de remédiation.
Une fois l'auto-évaluation terminée, un haut responsable doit fournir une lettre d'attestation pour certifier que l'auto-évaluation a été minutieuse et que l'organisation satisfait aux exigences de niveau 1 du CMMC.
L'organisation doit soumettre l'auto-évaluation et l'affirmation dans le Supplier Performance Risk System (SPRS). Cela générera un score allant de 110 à -203 basé sur les résultats de l'évaluation, ce qui aide le DoD à évaluer les risques et à attribuer des contrats.
Comment se préparer : Les auto-évaluations nécessitent rigueur et transparence. Vous devrez documenter vos pratiques, effectuer des audits internes et faire attester chaque année la conformité par un haut responsable de l'entreprise et soumettre votre score SPRS au DoD.
Évaluations par des tiers
Fréquence : Tous les trois ans
S'applique à : Entrepreneurs de niveau 2 qui gèrent des informations CUI critiques pour la sécurité nationale
Ce que cela implique : Pour les certifications critiques de niveau 2, les organisations doivent subir une évaluation effectuée par une organisation de tierce partie certifiée (C3PAO) tous les trois ans. Les organisations doivent choisir un C3PAO dans la liste des organisations d'évaluation autorisées fournies par le Cyber-AB.
Ces évaluations sont plus complètes que les auto-évaluations et impliquent un examen détaillé de vos pratiques et documentations en matière de cybersécurité, y compris un SSP et un POA&M ainsi que d'autres documents clés tels qu'un plan d'atténuation des risques, un plan d'intervention et de signalement, un plan de surveillance continue, une politique de contrôle d'accès, un plan de gestion de la configuration, une matrice de séparation des tâches, et plus encore.
Après cet examen, le C3PAO peut fournir un rapport avec des commentaires préliminaires pour souligner les problèmes ou les domaines de préoccupation découverts par l'évaluation. Si certaines exigences de niveau 2 n'étaient que partiellement mises en œuvre ou non mises en œuvre, ce rapport inclura des actions correctives recommandées. Le C3PAO saisira les informations de l'évaluation électroniquement dans le CMMC Enterprise Mission Assurance Support Service (eMASS) qui transmettra électroniquement les résultats de l'évaluation dans le SPRS. Le C3PAO soumettra ensuite le rapport final ainsi que le score SPRS au Cyber-AB pour examen et décision finale de certification.
Si jugée conforme, l'organisation reçoit la certification CMMC pour le niveau évalué, valable trois ans. Pendant ces trois années, les organisations doivent continuer à surveiller et améliorer leurs pratiques de cybersécurité en maintenant leur POA&M.
De plus, un haut responsable de l'organisation doit confirmer la conformité continue avec les exigences de sécurité spécifiées après chaque évaluation tierce et annuellement par la suite. Les confirmations sont entrées électroniquement dans le SPRS.
Comment se préparer : La préparation à une évaluation tierce implique de mener des audits internes approfondis, de rassembler les preuves nécessaires et de s'assurer que vos pratiques de cybersécurité sont pleinement documentées et conformes aux exigences de niveau 2 de la CMMC 2.0.
Évaluation dirigée par le gouvernement
Fréquence : Tous les trois ans
S'applique à : Entrepreneurs de niveau 3
Remarque : Veuillez noter que le DoD est encore en train d'élaborer les exigences pour les évaluations gouvernementales et celles-ci devraient être publiées avec la décision finale. Les informations ci-dessous proviennent de la règle proposée soumise par le DoD pour commentaires en décembre 2023
Ce que cela implique : Les organisations cherchant à obtenir la certification de niveau 3, qui implique la gestion des informations DoD les plus sensibles, seront soumises à des évaluations dirigées par des fonctionnaires gouvernementaux. Ces évaluations sont les plus rigoureuses et nécessitent une documentation et une mise en œuvre extensive de mesures de cybersécurité avancées.
Les organisations cherchant ce niveau de certification doivent coordonner avec le DIBCAC du Département de la Défense pour une évaluation dirigée par le gouvernement. Ce processus commence généralement par une réunion préliminaire pour discuter de la portée, du calendrier et du processus.
Comme les C3PAO, les évaluateurs gouvernementaux examineront des documents clés, tels que le SSP et le POA&M. Ils effectueront également des évaluations sur place, y compris des entretiens et des tests techniques, et examineront les preuves telles que les journaux et les configurations pour vérifier l'efficacité des contrôles.
Comme un C3PAO, les évaluateurs gouvernementaux peuvent fournir un rapport préliminaire pour traiter les déficiences avant que le rapport final ne soit soumis au Cyber-AB pour certification, valable trois ans. Pour maintenir la conformité, les organisations doivent surveiller continuellement les systèmes, mettre à jour leur POA&M et maintenir les politiques à jour.
L'évaluateur du DoD saisira les informations d'évaluation électroniquement dans l'eMASS, qui transmettra électroniquement les résultats de l'évaluation dans le SPRS. Un haut responsable de l'organisation doit confirmer la conformité continue avec les exigences de sécurité spécifiées après chaque évaluation du DoD et annuellement par la suite. Les confirmations sont entrées électroniquement dans le SPRS.
Comment se préparer : La préparation à une évaluation dirigée par le gouvernement est intensive. Votre organisation doit démontrer une posture de cybersécurité robuste, soutenue par une documentation complète, des capacités avancées de détection et de réponse aux menaces, et un bilan de conformité avec des normes de sécurité strictes.
FAQs
Qu'est-ce qu'une évaluation CMMC?
Une évaluation CMMC est une évaluation formelle des pratiques de cybersécurité d'une organisation pour déterminer si elles répondent aux exigences de leur niveau CMMC désigné.
Quel type d'évaluation CMMC est-ce que j'ai besoin?
Le type d'évaluation CMMC dont vous avez besoin dépend du niveau de certification requis :
- Niveau CMMC 1 : Requiert une auto-évaluation annuelle par l'organisation. Cela concerne les entreprises qui traitent des informations sur les contrats fédéraux (FCI).
- Niveau CMMC 2 : Pour les organisations traitant des informations non classifiées contrôlées (CUI), une évaluation par une tierce partie (C3PAO) est requise, sauf si le contrat permet une auto-évaluation dans certaines conditions.
- Niveau CMMC 3 (en cours de finalisation) : Exigera des évaluations menées par le gouvernement pour les contrats à enjeux élevés nécessitant des besoins de sécurité plus stricts.
Vous devriez vérifier le type d'évaluation en consultant votre contrat DoD ou en consultant un agent contractuel.
Les contractants du niveau CMMC 2 peuvent-ils s'auto-évaluer?
Les contractants du niveau CMMC 2 peuvent s'auto-évaluer dans certains cas. En vertu de la version 2.0 du CMMC, l'option d'auto-évaluation est disponible pour les acquisitions non prioritaires, ce qui signifie que les organisations travaillant avec des CUI sur des contrats à faible risque peuvent effectuer des auto-évaluations annuelles. Cependant, pour les acquisitions prioritaires ou les contrats jugés à haut risque par le DoD, une évaluation par un tiers (C3PAO) est requise. Le contrat ou l'agence DoD spécifiera si une auto-évaluation ou une évaluation par un tiers est applicable.
