Le CMMC est un cadre élaboré par le département de la Défense des États-Unis (DoD) pour garantir la protection des informations non classifiées sensibles partagées par le département avec ses entrepreneurs et sous-traitants, y compris les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI).

Si vous êtes un entrepreneur ou un sous-traitant cherchant à satisfaire aux exigences de cybersécurité applicables aux programmes et systèmes d'acquisition traitant ce type d'informations, il est essentiel de comprendre les exigences spécifiques de votre niveau de certification et le dernier modèle CMMC pour obtenir et maintenir la conformité.

Dans ce blog, nous allons décomposer les exigences CMMC 2.0, explorer ce qui est nécessaire à chaque niveau de certification et répondre aux questions courantes sur les exigences CMMC.

Clauses DFARS

Pour comprendre les exigences CMMC, nous devons d'abord couvrir l'historique du programme CMMC, en commençant par le supplément au règlement fédéral sur les acquisitions de la défense (DFARS).

En réponse à l'augmentation des menaces cybernétiques visant la base industrielle de la défense (DIB), la clause 252.204-7012 du DFARS a été publiée dans le registre fédéral et est entrée en vigueur en 2015. Cela obligeait les entrepreneurs et sous-traitants à protéger les CUI en mettant en œuvre les exigences en matière de cybersécurité du NIST SP 800-171. Cela représentait une étape importante dans l'effort de renforcement de la sécurité nationale des États-Unis ; cependant, le DoD souhaitait une assurance accrue que les entrepreneurs et sous-traitants mettaient effectivement en œuvre les exigences en matière de cybersécurité du DoD et étaient capables de protéger les informations non classifiées.

Ainsi, en 2019, le DoD a annoncé le développement du CMMC, un programme conçu pour s'éloigner d'un modèle de sécurité basé sur l'auto-attestation et sécuriser adéquatement le secteur DIB contre les menaces cybernétiques en évolution.

En septembre 2020, le DoD a publié la règle intérimaire DFARS, le supplément sur la réglementation fédérale des acquisitions de la défense : évaluation de la mise en œuvre par les entrepreneurs des exigences en matière de cybersécurité. Conçue pour renforcer la clause 252.204-7012 du DFARS, augmenter la conformité à ses réglementations en matière de cybersécurité et améliorer la protection des informations non classifiées au sein de la chaîne d'approvisionnement du DoD, cette règle introduit trois nouvelles clauses : la clause 252.204-7019 du DFARS, la clause 252.204-7020 du DFARS et la clause 252.204-7021 du DFARS.

Cette règle intérimaire a mis en œuvre la vision initiale du DoD pour le programme CMMC (CMMC 1.0), décrivant les caractéristiques de base du cadre visant à protéger la FCI et le CUI (c'est-à-dire un modèle par niveau de pratiques et de processus, des évaluations requises et une mise en œuvre par le biais de contrats).

Après avoir reçu des centaines de commentaires du public sur le programme CMMC 1.0 et mené un examen interne de la mise en œuvre du CMMC, le DoD a annoncé le CMMC 2.0 en novembre 2021.

Ainsi, avant d'examiner les exigences CMMC 2.0, il est important de bien comprendre les clauses DFARS 7012, 7019, 7020 et 7021.

Clause DFARS 252.204-7012

Le CMMC complète la clause 252.204-7012 du DFARS, qui a été publiée dans le registre fédéral et est entrée en vigueur en 2015. Les exigences clés de cette clause sont les suivantes :

• Conformité NIST 800-171 : DFARS 7012 exige que les contractants et sous-traitants protègent les CUI en mettant en œuvre les exigences de cybersécurité du NIST SP 800-171. Ils sont tenus de développer un Plan de Sécurité Système (SSP) détaillant les politiques et procédures que leur organisation a mises en place pour se conformer au NIST SP 800-171.
• Déclinaison des exigences aux sous-traitants : Les contractants de la défense doivent décliner toutes les exigences à leurs sous-traitants.
• Rapport d'incident : En réponse à un incident cybernétique, DFARS 7012 exige des organisations qu'elles informent le DoD par le biais de mécanismes de rapport formels. Ce rapport doit inclure tout logiciel malveillant récupéré et isolé pendant l'incident, ainsi que des images et des journaux de tous les systèmes d'information affectés pendant au moins 90 jours à partir de la soumission du rapport d'incident cybernétique.

Disposition DFARS 252.204-7019

La clause DFARS 252.204-7019 renforce la clause DFARS 252.204-7012 en exigeant que les contractants effectuent une auto-évaluation NIST SP 800-171 selon la méthodologie d'évaluation NIST SP 800-171 DoD. Ces scores d'auto-évaluation doivent être signalés au département via le Système de risque de performance des fournisseurs (SPRS). Les scores SPRS doivent être soumis et actuels (c'est-à-dire âgés de moins de trois ans) afin d'être pris en compte pour l'attribution d'un contrat.

Clause DFARS 252.204-7020

La clause DFARS 252.204-7020 renforce les exigences de déclinaison de la clause DFARS 252.204-7012 en tenant les contractants responsables de confirmer que leurs sous-traitants ont des scores SPRS enregistrés avant de leur attribuer des contrats.

Elle exige également que les contractants fournissent au DoD un accès à leurs installations, systèmes et personnel si le département doit effectuer une évaluation de niveau supérieur de la conformité à la cybersécurité des contractants.

DFARS 252.204-7021

Prévue pour entrer en vigueur le 1er octobre 2025, la clause DFARS 252.204-7021 exige que les contractants obtiennent le niveau de certification CMMC requis dans leur contrat DoD au moment de l'attribution du contrat et le maintiennent pendant toute la durée du contrat. Elle stipule également que les contractants sont responsables de la déclinaison des exigences CMMC à leurs sous-traitants. Cela signifie que tous les sous-traitants doivent être conformes au même niveau CMMC.

Maintenant que nous comprenons mieux les clauses DFARs et comment elles ont mis en œuvre la vision initiale du DoD pour le CMMC 1.0, examinons la dernière version du programme. 

Exigences CMMC 2.0

Avec l'introduction du CMMC 2.0, le DoD a simplifié le processus de certification tout en maintenant des normes de sécurité strictes. Le CMMC 2.0 se concentre sur trois niveaux distincts de certification, chacun adapté à différents types d'informations et de risques.

Le cœur des exigences du CMMC 2.0 repose sur la mise en œuvre et la documentation des pratiques de cybersécurité alignées sur des normes de cybersécurité établies et largement acceptées.

Les principaux changements entre les exigences du CMMC 1.0 et du CMMC 2.0 sont les suivants:

• Réduction de cinq niveaux à trois : CMMC 2.0 rationalise le modèle original de cinq à trois niveaux. Chaque niveau comporte des pratiques de cybersécurité et des exigences d'évaluation de plus en plus strictes en fonction du type et de la sensibilité des informations traitées par l'organisation.
• Aligné avec les normes de cybersécurité du NIST: Le cadre CMMC 2.0 est fortement aligné avec les normes du NIST, en particulier le NIST SP 800-171 pour le niveau 2 et à la fois le NIST SP 800-171 et le NIST SP 800-172 pour le niveau 3.
• Évaluations simplifiées: Le CMMC 2.0 vise à rationaliser et réduire les coûts associés au processus d'évaluation, permettant à toutes les entreprises de niveau 1 et à un sous-ensemble des entreprises de niveau 2 de démontrer leur conformité par des auto-évaluations.
• Flexibilité accrue: Le CMMC 2.0 augmente également la flexibilité de mise en œuvre des exigences. Plus particulièrement, dans certaines circonstances limitées, il permet aux entreprises d'établir des Plans d'Action et des Jalons (POA&Ms) pour obtenir la certification et permet au gouvernement de renoncer à l'inclusion des exigences CMMC.

Quels sont les domaines du CMMC?

Le modèle CMMC 2.0 se compose de 14 domaines qui représentent un aspect critique de la posture de cybersécurité d'une organisation. Chaque domaine englobe une gamme de pratiques à mettre en œuvre et à maintenir pour protéger les FCI et CUI. Le CMMC 2.0, comme son prédécesseur, organise ces pratiques en domaines pour fournir une approche structurée à la construction et à l'évaluation des capacités de cybersécurité.

Ces domaines et pratiques créent et constituent les exigences du cadre CMMC auxquelles les organisations doivent se conformer.

Les domaines CMMC s'alignent sur les familles spécifiées dans le NIST SP 800-171 et incluent les suivants:

• Contrôle d'accès (AC): Contrôle qui peut accéder aux systèmes et aux données, en veillant à ce que seuls les utilisateurs autorisés aient accès aux informations sensibles.
• Audit et responsabilisation (AU): Assure que les activités sont enregistrées et surveillées, permettant la détection et l'investigation des incidents de sécurité.
• Sensibilisation et formation (AT): Se concentre sur l'éducation des employés aux politiques de sécurité, aux procédures et aux meilleures pratiques pour réduire les erreurs humaines et améliorer la sécurité organisationnelle.
• Gestion de la configuration (CM): Implique la configuration et la maintenance adéquates des systèmes et des dispositifs pour garantir que les configurations de sécurité sont appliquées de manière cohérente.
• Identification et authentification (IA): Vérifie l'identité des utilisateurs et des dispositifs avant d'accorder l'accès aux systèmes, en veillant à ce que seules des entités légitimes puissent interagir avec les informations sensibles.
• Réponse aux incidents (IR): Développe et met en œuvre des procédures pour identifier, gérer, et atténuer l'impact des incidents de cybersécurité.
• Maintenance (MA): S'assurer que les systèmes sont maintenus régulièrement et en toute sécurité, y compris l'application de correctifs et de mises à jour.
• Protection des supports (MP): Protège les informations sensibles stockées sur divers types de supports, en veillant à ce qu'elles soient correctement manipulées et éliminées.
• Sécurité du personnel (PS): Traite des mesures de sécurité liées à l'embauche, la formation et la gestion du personnel ayant accès à des informations sensibles.
• Protection physique (PE): Contrôle l'accès physique aux installations, systèmes et équipements, en veillant à ce que seuls le personnel autorisé puisse accéder aux zones sensibles.
• Évaluation des risques (RA): Identifie, évalue et atténue les risques pour les systèmes d'information et les données de l'organisation.
• Évaluation de la sécurité (CA): Évalue régulièrement l'efficacité des contrôles et des pratiques de sécurité, assurant une amélioration continue.
• Protection des systèmes et des communications (SC): Protège les informations et les systèmes de l'organisation pendant leur transmission et assure que les communications sont sécurisées.
• Intégrité des systèmes et des informations (SI): S'assure que les systèmes et les données sont protégés contre les modifications non autorisées et que l'intégrité est maintenue à travers tous les systèmes.

Ces domaines offrent une approche complète de la cybersécurité, couvrant tous les aspects, du contrôle d’accès et de la réponse aux incidents à l'évaluation des risques et à l'intégrité des systèmes et des informations. Les organisations cherchant à obtenir la certification CMMC 2.0 doivent mettre en œuvre et documenter les pratiques dans ces domaines, correspondant au niveau de certification qu'elles poursuivent.

Examinons de plus près ces niveaux et leurs exigences correspondantes ci-dessous.

Exigences de conformité CMMC

Toute organisation qui traite des FCI ou des CUI doit atteindre l'un des trois niveaux de CMMC, comme spécifié dans leur contrat, pour être éligible à effectuer des travaux liés à la défense.

Chaque niveau de CMMC est cumulatif. Cela signifie que si une organisation souhaite obtenir la certification CMMC Niveau 2 ou 3, elle doit démontrer sa conformité aux exigences des niveaux inférieurs.  

Nous couvrirons chaque niveau et l'ensemble des exigences associées, en commençant par le Niveau 1, ci-dessous.

Exigences pour le Niveau 1 du CMMC

Le Niveau 1 du CMMC, également connu sous le nom de Niveau Fondamental, est conçu pour les organisations qui traitent des FCI. Il se concentre sur des pratiques d'hygiène cybernétique de base qui sont fondamentales pour protéger les informations.

Vous trouverez ci-dessous un aperçu des principales exigences pour le Niveau 1 du CMMC.

• 17 pratiques spécifiées dans la Clause FAR 52.204-21 : les contractants de Niveau 1 doivent mettre en œuvre 17 pratiques de cybersécurité de base, qui sont dérivées de la Réglementation Fédérale sur les Acquisitions (FAR) 52.204-21.
• Domaines : les exigences de Niveau 1 couvrent six des 14 domaines, y compris le contrôle d'accès, l'identification et l'authentification, la protection des médias, la protection physique, la protection des systèmes et des communications, et l'intégrité des systèmes et des informations.
• Auto-évaluation : la certification de Niveau 1 nécessite une auto-évaluation annuelle, avec une confirmation de conformité par un responsable de l'entreprise.

Exigences pour le Niveau 2 du CMMC

Le Niveau 2 du CMMC, ou Niveau Avancé, est destiné aux organisations qui traitent des CUI. Il exige des organisations qu'elles atteignent un niveau d'hygiène cybernétique plus élevé que les contractants de Niveau 1 en mettant en œuvre 110 pratiques alignées avec le NIST SP 800-171.

Vous trouverez ci-dessous un aperçu des principales exigences pour le Niveau 2 du CMMC.

• 110 pratiques alignées avec le NIST 800-171 : les contractants de Niveau 2 doivent mettre en œuvre 110 pratiques de sécurité alignées avec le NIST 800-171 pour la protection des CUI.
• Domaines : les exigences de Niveau 2 couvrent les 14 domaines. 
• Évaluations par des tiers certifiés C3PAO avec exceptions : la plupart des certifications de Niveau 2 nécessitent des évaluations triennales par un Organisme d'Évaluation de Tierce Partie Certifié (C3PAO). Cependant, certains contractants de Niveau 2 qui gèrent des CUI, mais travaillent sur des projets ne comportant pas d'informations sensibles pour la sécurité nationale (également appelés

acquisitions non prioritaires

) peuvent être autorisés à effectuer des auto-évaluations triennales et des confirmations exécutives annuelles à la place. 

Exigences pour le Niveau 3 du CMMC

• Le Niveau 3 du CMMC, ou Niveau Expert, est conçu pour les organisations qui traitent des CUI les plus sensibles et font face à des menaces persistantes avancées (APTs). Ce niveau est le plus rigoureux dans le cadre CMMC 2.0 et nécessite la mise en œuvre de plus de 110 pratiques de sécurité. 
• Vous trouverez ci-dessous un aperçu des principales exigences pour le Niveau 3 du CMMC.
• 110+ pratiques basées sur le NIST 800-171 et 800-172 : le Niveau 3 s'appuie sur les pratiques requises aux Niveaux 1 et 2, en incorporant des contrôles supplémentaires du NIST SP 800-172 axés sur la lutte contre les APTs. 
• Domaines : Les exigences de niveau 3 couvrent les 14 domaines.
• Mesures proactives de cybersécurité : Les entrepreneurs de niveau 3 doivent démontrer une posture de cybersécurité proactive et mature, en mettant l'accent sur la surveillance, la détection et la réponse continues aux menaces cybernétiques sophistiquées.