Le Cybersecurity Maturity Model Certification (CMMC) est un programme que le Département de la Défense (DoD) met en place pour s'assurer que les entreprises travaillant avec lui ont des mesures de cybersécurité suffisantes pour protéger les informations sensibles. Pensez à toutes les données importantes que les entrepreneurs de la défense traitent - plans, communications, détails de projet. Le DoD veut s'assurer que ces informations sont bien protégées contre les menaces cybernétiques.
En 2019, le DoD a commencé à travailler sur un cadre pour s'assurer que les entrepreneurs et sous-traitants respectent certaines normes de sécurité. Ce cadre se base sur les exigences existantes de DFARS 252.204-7012 et ajoute un moyen de vérifier la conformité par une certification tierce. La règle proposée est en fait l'ensemble des lignes directrices et des exigences qu'ils mettent en place pour que tout le monde soit sur la même longueur d'onde.
Le développement du CMMC a été un processus étape par étape. Par exemple, CMMC 1.0 a été introduit sous une règle provisoire en 2020. En novembre 2021, le DoD a annoncé CMMC 2.0, qui est la base de la dernière Règle Finale Proposée, publiée le 26 décembre 2023.
La Règle Finale Proposée du CMMC introduit un cadre avec trois niveaux de pratiques de cybersécurité. Chaque niveau se construit sur le précédent, devenant plus avancé :
- Niveau 1 : Fondamental - Pratiques de base que tout le monde devrait faire, comme mettre à jour les logiciels antivirus et gérer les mots de passe.
- Niveau 2 : Avancé - Pratiques plus complètes, alignées avec NIST SP 800-171, comme le chiffrement et les plans de réponse aux incidents.
- Niveau 3 : Expert - Pour les informations les plus sensibles, avec des mesures avancées comme la surveillance continue et la chasse proactive aux menaces.
Pourquoi trois niveaux ? Tous les entrepreneurs ne traitent pas le même type d'informations. Certains peuvent ne traiter que des détails de contrat de base, tandis que d'autres peuvent traiter des plans détaillés ou des communications sensibles. Les trois niveaux permettent aux entreprises d'adapter leurs efforts de sécurité au type d'information qu'elles traitent et offrent aux responsables du DoD et aux propriétaires de contrats l'assurance que les organisations avec lesquelles ils travaillent protègent leurs données selon une norme spécifique.
Qui devra se conformer à la règle finale proposée du CMMC ?
Si vous êtes un entrepreneur ou un sous-traitant travaillant avec le DoD, vous devrez obtenir une certification à l'un de ces niveaux. Le niveau spécifique dont vous avez besoin dépend du type de contrats sur lesquels vous soumissionnez et de la sensibilité des informations impliquées.
Pour les niveaux 2 et 3, vous devrez subir une évaluation par une organisation tierce pour vous assurer que vous suivez réellement les pratiques requises. Le niveau 1 peut souvent être auto-évalué, mais nécessite tout de même de démontrer la conformité aux pratiques de base.
Quand la règle finale proposée du CMMC entre-t-elle en vigueur ?
Le calendrier de mise en œuvre de CMMC 2.0 est toujours en cours et sujet à changement, mais le DoD a fourni des indications sur une mise en œuvre progressive au cours des prochaines années.
Les règles du CMMC seront déployées par étapes, rendant finalement la certification obligatoire pour remporter des contrats fédéraux d'ici 2028. Voici le plan :
- Phase 1 : Requiert des auto-évaluations CMMC Niveau 1 ou Niveau 2 pour certains contrats. Commence à la date d'entrée en vigueur de la règle DFARS.
- Phase 2 : Requiert des évaluations CMMC Niveau 2 officielles. Commence six mois après le début de la Phase 1.
- Phase 3 : Inclut des évaluations CMMC Niveau 3. Commence un an après le début de la Phase 2.
- Phase 4 : Mise en œuvre complète pour tous les contrats concernés. Commence un an après le début de la Phase 3.
Le DoD prévoit d'inclure les exigences du CMMC pour les Niveaux 1, 2 et 3 dans tous les nouveaux contrats à partir du 1er octobre 2026. Cela dit, certaines conditions doivent être remplies avant que ces phases puissent commencer à être déployées. À savoir, la règle doit passer devant le Congrès avant la mi-octobre 2024 afin qu'elle puisse être finalisée avant fin décembre 2024.
Pourquoi ? La période de désapprobation du Congrès ne peut pas croiser d'un Congrès à un autre. Étant donné que 2024 est une année électorale, un nouveau Congrès sera institué début janvier 2025, ce qui pourrait potentiellement retarder le processus. Si la règle parvient au Congrès avant la fin octobre, le CMMC deviendra final d'ici fin décembre ou au tout début de janvier 2025. Si la règle arrive au Congrès après octobre, le CMMC ne sera final qu'à un moment donné en mars 2025.
FAQs
Quelle est la règle proposée du CMMC ?
La règle proposée du Cybersecurity Maturity Model Certification (CMMC) est un ensemble de directives et d'exigences établies par le Département de la Défense (DoD) pour s'assurer que les contractants de défense mettent en œuvre des pratiques de cybersécurité appropriées pour protéger les informations sensibles. Elle introduit un cadre en niveaux avec trois niveaux de sécurité, chacun de complexité et de rigueur croissantes.
Le processus de réglementation du CMMC 2.0 est-il terminé ?
En septembre 2024, le processus de réglementation du CMMC 2.0 n'est pas encore terminé. Le DoD est toujours en train de finaliser les règlements et les exigences. Le processus de réglementation comprend des périodes de commentaires publics et des révisions avant que les règles finales ne soient officiellement publiées.
Le CMMC est-il déjà requis ?
À partir de septembre 2024, le CMMC 2.0 n'est pas encore entièrement requis pour tous les contrats de défense. La mise en œuvre des exigences du CMMC est progressivement introduite et les délais et exigences spécifiques seront détaillés dans les futurs contrats du DoD au fur et à mesure de l'avancement du processus de réglementation.
Quelle est la règle intérimaire pour le CMMC ?
La règle intérimaire pour le CMMC est un ensemble temporaire de lignes directrices émises par le DoD pour commencer à mettre en œuvre les exigences du CMMC pendant que le processus final de réglementation est encore en cours. Cette règle intérimaire fournit des orientations et des exigences initiales pour que les entrepreneurs de la défense commencent à se préparer à la conformité au CMMC.
La règle intérimaire du CMMC est basée sur le DFARS et a établi une approche progressive sur cinq ans pour la mise en œuvre du CMMC, période pendant laquelle la conformité au CMMC n'est requise que dans certains contrats pilotes approuvés par le bureau du sous-secrétaire à la Défense pour les acquisitions et la durabilité (OUSD (A&S)).
La différence entre une règle proposée et une règle intérimaire réside dans le moment où les modifications prennent effet par rapport à la période de commentaires publics avant la publication d'une règle finale. Une règle intérimaire est effective avant que le DoD ne réponde aux commentaires du public, tandis qu'une règle proposée est effective après que le DoD ait répondu aux commentaires du public. Le CMMC 1.0 était une règle intérimaire, tandis que le CMMC 2.0 est une règle proposée.
La règle proposée du CMMC établit des exigences de sécurité pour le FCI et le CUI, inclut une période de commentaires et d'examen publics, et est encore en cours de finalisation.
Le CMMC 2.0 a-t-il été publié ?
Le CMMC 2.0 a été annoncé et est en cours de finalisation, mais n'a pas encore été entièrement mis en œuvre en septembre 2024. Le DoD travaille sur les derniers détails et règlements, et la publication et l'application officielles suivront la finalisation du processus de réglementation.
Utilisez la confiance pour accélérer la croissance
Demander une démo
