Les exigences de conformité et d'évaluation du CMMC 2.0 varient en fonction de la relation de votre organisation avec le DoD et du type d'information que vous traitez. L'une des premières étapes du processus de conformité CMMC est donc de déterminer votre niveau CMMC. Ci-dessous, nous vous fournirons un aperçu de chaque niveau et des conseils pour déterminer celui qui vous convient.

Niveaux de certification CMMC

Le modèle CMMC 2.0 simplifie le cadre original en trois niveaux de certification. Ces trois niveaux offrent une approche claire et structurée de la cybersécurité, garantissant que les pratiques requises sont alignées avec le type et la sensibilité des informations protégées.

Voici un aperçu des trois niveaux de certification CMMC 2.0 :

Certification CMMC Niveau 1 : Fondamental

Le niveau 1 se concentre sur la mise en œuvre de pratiques de cybersécurité de base pour protéger les FCI. Il s'agit de pratiques de sécurité fondamentales telles que la protection de l'accès, l'authentification, la protection des médias, la sécurité physique, la protection des communications et l'intégrité des systèmes.

Voici un aperçu de ce niveau :

Objectif : Hygiène cybernétique de base
Pratiques : 17 pratiques de cybersécurité basées sur FAR 52.204-21 (Federal Acquisition Regulation)
Exigences d'évaluation : Auto-évaluations annuelles avec des confirmations annuelles par un haut responsable de l'entreprise.
Qui en a besoin ? Ce niveau est destiné aux organisations qui traitent des Informations de Contrat Fédéral (FCI), c'est-à-dire des informations fournies par ou générées pour le gouvernement dans le cadre d'un contrat mais non destinées à être divulguées publiquement.

Certification CMMC Niveau 2 : Avancé

Le niveau 2 du CMMC 2.0 vise à s'assurer que les organisations mettent en œuvre de bonnes pratiques de cybersécurité pour protéger le CUI contre les menaces internes et externes.

Voici un aperçu de ce niveau :

Objectif : Hygiène cybernétique avancée
Pratiques : 110 pratiques alignées sur le cadre NIST SP 800-171 Rev. 2, qui couvre la protection des informations non classifiées contrôlées (CUI).
Exigences d'évaluation : Évaluations triennales effectuées par une C3PAO pour les informations critiques à la sécurité nationale et auto-évaluations annuelles pour les informations non critiques soumises via le Supplier Performance Risk System (SPRS).
Qui en a besoin ? Organisations qui traitent des informations non classifiées contrôlées (CUI) et qui sont impliquées dans des contrats contenant des informations critiques pour la sécurité nationale.

Certification CMMC Niveau 3 : Expert

Le niveau 3 du CMMC 2.0 est le plus élevé, conçu pour les entreprises qui doivent mettre en œuvre les mesures de cybersécurité les plus rigoureuses pour se protéger contre les menaces persistantes avancées (APT). Il comprend des pratiques et des processus complets pour sécuriser les informations non classifiées contrôlées (CUI) critiques contre les cybermenaces sophistiquées.

Voici un aperçu de ce niveau :

Objectif : Hygiène cybernétique experte
Pratiques : Plus de 110 pratiques alignées avec NIST 800-171 et des exigences supplémentaires provenant d'un sous-ensemble de contrôles NIST SP 800-172
Exigences d'évaluation : Des évaluations dirigées par le gouvernement sont requises tous les trois ans, avec des évaluations effectuées par des fonctionnaires du gouvernement
Qui en a besoin ? Ce niveau est destiné aux organisations qui traitent les informations gouvernementales les plus sensibles et font partie des contrats les plus prioritaires du DoD.

Quel niveau CMMC ai-je besoin?

Suivre les étapes ci-dessous peut vous aider à déterminer le niveau de certification CMMC qui vous convient à court et à long terme.

Comment déterminer votre niveau de certification CMMC

1. Passez en revue les exigences de votre contrat

Examinez les contrats du DoD sur lesquels vous enchérissez ou auxquels vous participez actuellement. Toute sollicitation, demande d'informations (RFI) ou contrat doit spécifier le niveau CMMC requis.

Si le niveau CMMC n'est pas explicitement indiqué dans votre contrat, consultez votre agent contractuel ou votre équipe juridique pour clarifier les exigences de sécurité en fonction des informations traitées.

Si vous êtes sous-traitant, communiquez avec vos contractants principaux pour comprendre les exigences CMMC applicables découlant du contrat principal. Les contractants principaux doivent pouvoir fournir des conseils sur le niveau CMMC requis pour leurs sous-traitants.

2. Identifiez le type d'informations que vous traitez

Le type d'informations que vous traitez peut aider à déterminer le niveau de certification dont vous avez besoin. Voici une règle générale :

Si vous traitez des FCI : La plupart des organisations qui ne traitent que des FCI auront besoin de la certification de niveau 1. Ce niveau couvre les pratiques de cybersécurité de base pour protéger les informations gouvernementales.
Si vous traitez des CUI : Si votre organisation traite des CUI, vous aurez probablement besoin d'un niveau de certification plus élevé, généralement de niveau 2 ou supérieur. Ces niveaux incluent des contrôles de sécurité plus stricts conçus pour protéger les informations sensibles. Cependant, si vous êtes un sous-traitant et que votre contractant principal traite des CUI mais ne transmet que certaines informations, un niveau CMMC inférieur peut s'appliquer à vous en tant que sous-traitant.

3. Évaluez votre rôle dans la chaîne d'approvisionnement du DoD

Ensuite, considérez votre rôle dans la chaîne d'approvisionnement du DoD.

Si vous êtes un contractant principal travaillant directement avec le DoD, par exemple, vous pouvez être tenu d'atteindre un niveau CMMC plus élevé en fonction du type de contrats que vous gérez par rapport à un sous-traitant.

Le caractère critique des données que vous traitez pour la sécurité nationale peut également affecter votre niveau de certification ou vos exigences d'évaluation.

Comme mentionné ci-dessus, si vous traitez des CUI, vous êtes probablement de niveau 2 ou 3. Le niveau exact et/ou les exigences d'évaluation varient en fonction de la sensibilité des données. Par exemple, si votre organisation gère des CUI critiques pour la sécurité nationale, vous êtes de niveau 2 et devez passer une évaluation par un tiers de niveau supérieur (C3PAOs) tous les trois ans. Si votre organisation gère des CUI qui ne sont pas critiques pour la sécurité nationale, vous êtes également de niveau 2 mais pouvez effectuer une auto-évaluation annuelle au lieu d'une évaluation par un tiers.

Le niveau 3 est réservé aux programmes de défense les plus prioritaires et les plus critiques. Si votre organisation joue un rôle crucial dans la sécurité nationale et traite des informations hautement sensibles, vous pourriez appartenir à ce niveau et devez passer des évaluations dirigées par le gouvernement tous les trois ans.

4. Considérez vos objectifs à long terme

Lors de la décision sur un niveau CMMC, essayez de penser au-delà de vos besoins immédiats. Si votre organisation prévoit de croître, de prendre en charge des projets plus sensibles ou d'étendre ses contrats avec le DoD, viser un niveau CMMC plus élevé pourrait être une démarche stratégique pour anticiper l'avenir de votre entreprise.

Par exemple, même si vos contrats actuels ne nécessitent que le niveau 1 CMMC, poursuivre la certification de niveau 2 non critique pourrait positionner votre organisation à gérer des contrats plus complexes et lucratifs à l'avenir impliquant des CUI.

5. Consultez un expert CMMC

Terminer les étapes ci-dessus peut être difficile, surtout si votre organisation est nouvelle dans le CMMC ou si vous traitez un mélange de FCI et de CUI.

Si vous n'êtes pas sûr du niveau requis, consulter un consultant CMMC ou un expert en cybersécurité peut être inestimable. Ces experts peuvent évaluer vos opérations, le type d'informations que vous traitez et les mesures de sécurité que vous avez actuellement en place, et vous fournir des conseils sur le niveau de certification approprié.

Les gestionnaires de conformité de Secureframe, par exemple, ont une expérience en évaluation et préparation CMMC, FedRAMP et FISMA, et peuvent vous aider à naviguer dans vos exigences de conformité CMMC et vos efforts de préparation.

Vous pouvez également vous référer au site web du CMMC Accreditation Body (CMMC-AB) et à la page CMMC du Département de la Défense pour des conseils officiels et des ressources sur les exigences et niveaux du CMMC.

FAQ

Qui détermine le niveau CMMC?

Le niveau CMMC requis pour votre organisation est généralement déterminé par le Département de la Défense (DoD) en fonction du type d'informations que vous traitez. Les contractants et sous-traitants travaillant avec le DoD doivent se conformer à un niveau CMMC spécifique en fonction de la sensibilité des informations qu'ils accèdent ou gèrent, telles que les informations sur les contrats fédéraux (FCI) ou les informations non classifiées contrôlées (CUI). L'officier contractant ou l'agence du DoD spécifie généralement le niveau CMMC requis dans le contrat ou la demande d'informations (RFI).

Quelle est la différence entre le niveau CMMC 1 et le niveau 2?

Voici un aperçu des principales différences entre les niveaux CMMC 1 et 2:

Niveau CMMC 1 se concentre sur l'hygiène cybersécurité de base et la protection des Informations sur les Contrats Fédéraux (FCI). Il comprend 17 pratiques de sécurité de base dérivées du FAR 52.204-21, telles que l'utilisation de logiciels antivirus et la limitation de l'accès aux informations.
Niveau CMMC 2 est une exigence plus rigoureuse, conçue pour protéger les Informations Non Classifiées Contrôlées (CUI). Il intègre 110 contrôles de sécurité, alignés avec les pratiques décrites dans le NIST SP 800-171. Le niveau CMMC 2 est destiné aux organisations manipulant des données plus sensibles du DoD et nécessite un niveau de maturité en cybersécurité plus élevé.

De quel niveau CMMC 2.0 ai-je besoin ?

Le niveau CMMC 2.0 dont vous avez besoin dépend du type et de la sensibilité des informations que votre organisation traite:

Niveau CMMC 1 est suffisant si vous ne traitez que des Informations sur les Contrats Fédéraux (FCI).
Niveau CMMC 2 est requis si votre organisation travaille avec des Informations Non Classifiées Contrôlées (CUI) et est impliquée dans des contrats contenant des informations critiques pour la sécurité nationale.
Niveau CMMC 3 (à finaliser ultérieurement) sera nécessaire pour les organisations qui traitent les informations gouvernementales les plus sensibles et font partie des contrats de la plus haute priorité du DoD.

Vous devez examiner les exigences de votre contrat ou consulter votre officier contractant pour déterminer le niveau exact nécessaire.

Produit

Gestion des risques

Évaluations de sécurité des fournisseurs

Cadres Prise en Charge

Solutions

Principaux Cadres

Types de partenaires

Programme de partenariat

Ressources en sécurité et conformité

Ressources sur les cadres

Ressources clients

Entreprise

Comment déterminer votre niveau de certification CMMC

Niveaux de certification CMMC

Certification CMMC Niveau 1 : Fondamental

Certification CMMC Niveau 2 : Avancé

Certification CMMC Niveau 3 : Expert

Quel niveau CMMC ai-je besoin?

1. Passez en revue les exigences de votre contrat

2. Identifiez le type d'informations que vous traitez

3. Évaluez votre rôle dans la chaîne d'approvisionnement du DoD

4. Considérez vos objectifs à long terme

5. Consultez un expert CMMC

FAQ

Aperçu du CMMC

Qu'est-ce que la certification du modèle de maturité en cybersécurité ?

La Règle Finale Proposée du CMMC : Ce Que C'est et Quand Elle Entre en Vigueur

Qui a besoin de la certification CMMC ?

Pourquoi le CMMC est-il important ? Avantages de la certification CMMC

Contrôles CMMC 2.0 et comment les mettre en œuvre dans votre organisation

Comparer le CMMC à d'autres cadres fédéraux

CMMC vs NIST 800-171 : Le CMMC 2.0 remplace-t-il le NIST ?

CMMC 2.0 vs. FedRAMP : Principales différences et comment décider

Comparer CMMC 2.0 et NIST 800-53 : Quel est le bon choix pour votre organisation ?

Naviguer dans la conformité fédérale : Avez-vous besoin de CMMC, FedRAMP ou de l'un des cadres NIST ?

Exigences CMMC

Quelles sont les exigences CMMC?

Comment déterminer votre niveau de certification CMMC

Quel type d'évaluation CMMC vous faut-il ?

Comment utiliser les services cloud gouvernementaux pour accélérer la conformité CMMC

Quels documents CMMC sont nécessaires pour la conformité ?

Processus de certification CMMC

Comment obtenir la certification CMMC : Naviguer dans la conformité du début à la fin

Combien coûte la certification CMMC 2.0 ?

Combien de temps faut-il pour obtenir la certification CMMC 2.0 ?

Organismes d'évaluation tiers certifiés (C3PAO) : comprendre leur rôle et comment en choisir un pour votre certification CMMC

Automatisation de la conformité CMMC

Manuel vs. Automatisé : Rationalisez la Conformité CMMC

Les économies de coûts et de temps de l'automatisation de la conformité CMMC

Pourquoi l'automatisation de la conformité CMMC dévoile de meilleures perspectives de sécurité

Maintenir la conformité CMMC

Outils et Ressources CMMC

Listes de contrôle de conformité CMMC

Modèles de documentation CMMC

Formation CMMC