Le CMMC est un cadre créé par le département de la Défense des États-Unis pour s'assurer que les entreprises travaillant avec le DoD ont des pratiques de cybersécurité solides. Le CMMC garantit que les entreprises protègent les informations importantes liées à la sécurité nationale, y compris les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI).

Le CMMC a été créé en réponse à plusieurs problèmes majeurs de cybersécurité.

Premièrement, un paysage de menaces et de sécurité nationale de plus en plus sophistiqué. La base industrielle de la défense (DIB) - essentiellement le réseau d'organisations qui fournissent des produits, des services et des technologies à l'armée - a été une cible privilégiée pour une augmentation des cyberattaques, les adversaires cherchant à exploiter les vulnérabilités pour voler des informations sensibles et de la propriété intellectuelle. Les données compromises peuvent avoir des implications graves, notamment compromettre les opérations militaires et les avantages technologiques.

Deuxièmement, pour standardiser des pratiques de cybersécurité incohérentes. Avant le CMMC, les pratiques de sécurité de l'information au sein du DIB variaient considérablement. De nombreux sous-traitants n'avaient pas de mesures adéquates en place pour protéger les informations sensibles, ce qui a conduit à des violations et des données compromises.

En exigeant des auto-évaluations annuelles ou une certification par des tiers, le DoD s'assure que tous les sous-traitants respectent un niveau de sécurité de base. Le CMMC s'aligne également sur les efforts réglementaires plus larges visant à renforcer la cybersécurité, y compris d'autres initiatives et politiques fédérales conçues pour protéger les infrastructures critiques et les informations sensibles telles que les normes NIST, le Federal Acquisition Regulation (FAR) et le Defense Federal Acquisition Regulation Supplement (DFARS), divers décrets exécutifs et initiatives nationales en matière de cybersécurité.

Troisièmement, pour sécuriser la chaîne d'approvisionnement de la défense, qui comprend un vaste réseau d'entreprises, des grands contractants principaux aux petits sous-traitants. Le CMMC garantit que toutes les entités de cette chaîne d'approvisionnement se conforment à des normes de cybersécurité robustes, réduisant ainsi le risque global pour le DoD et, en fin de compte, pour la sécurité nationale.

Il existe trois niveaux de conformité CMMC 2.0, en fonction du type d'informations que l'organisation gère.

• Niveau 1: Fondamental garantit que les entreprises mettent en œuvre des pratiques de cybersécurité de base pour protéger les FCI.
• Niveau 2: Avancé est aligné sur NIST SP 800-171 Rev 2 et est conçu pour les organisations manipulant des CUI.
• Niveau 3: Expert intègre des contrôles supplémentaires NIST SP 800-172 pour se protéger contre les menaces persistantes avancées (APT). Les APT sont des cyberattaques très sophistiquées et ciblées conçues pour infiltrer un réseau, rester non détectées pendant de longues périodes et extraire systématiquement des données précieuses.

Qu'est-ce que la certification CMMC ?

Être certifié CMMC signifie qu'une organisation a satisfait aux normes strictes de cybersécurité requises par le DoD pour la manipulation des FCI et des CUI.

Avantages de la certification CMMC

• Posture de cybersécurité démontrée : La certification CMMC vérifie qu'une organisation dispose d'un cadre de cybersécurité robuste et suit les meilleures pratiques pour protéger les informations sensibles.
• Éligibilité aux contrats : La certification est une exigence pour les organisations souhaitant soumissionner et participer aux contrats du DoD. Sans certification CMMC, les entreprises ne peuvent pas concourir pour des contrats du DoD impliquant des informations sensibles.
• Avantage concurrentiel : Obtenir la certification CMMC peut offrir un avantage concurrentiel sur le marché, car cela démontre un engagement envers la cybersécurité et la conformité, ce qui peut être attrayant pour d'autres clients et partenaires potentiels.
• Gestion des risques : Le processus de certification aide les organisations à identifier et à atténuer les risques en matière de cybersécurité, conduisant à une amélioration de la sécurité globale et à une réduction de la probabilité de violations de données.
• Conformité réglementaire : La certification CMMC garantit la conformité aux exigences du DoD, ce qui peut également aider à répondre aux normes réglementaires et de sécurité complémentaires telles que NIST CSF, SOC 2 et NIST SP 800-53.

CMMC 2.0 : aperçu des principaux changements

Annoncé en novembre 2021, CMMC 2.0 a introduit des changements importants pour simplifier le processus de certification, s'aligner plus étroitement sur les normes de cybersécurité existantes et réduire la charge de conformité pour les petites entreprises. Ces changements rendent le cadre plus pratique et accessible tout en maintenant des pratiques de cybersécurité robustes pour protéger les informations sensibles.

Passons en revue les principales mises à jour du cadre :

Réduction du nombre de niveaux

CMMC 2.0 a réduit le nombre de niveaux de certification de cinq à trois :

• Niveau 1 (Fondamental) : Pratiques de cyber-hygiène de base.
• Niveau 2 (Avancé) : S'aligne avec les pratiques du NIST SP 800-171.
• Niveau 3 (Expert) : S'aligne avec un sous-ensemble des contrôles du NIST SP 800-172, axé sur les pratiques de cybersécurité avancées/progressives.

Alignement plus étroit avec les normes de l'Institut national des normes et de la technologie (NIST)

Les pratiques requises pour la conformité aux niveaux 2 et 3 sont désormais plus étroitement alignées avec les normes existantes NIST SP 800-171 et NIST SP 800-172, facilitant ainsi la conformité au CMMC pour les organisations suivant déjà ces cadres.

Auto-évaluations pour certains niveaux et types de contrats

Les organisations peuvent désormais effectuer des auto-évaluations annuelles pour la conformité au niveau 1 au lieu de nécessiter des évaluations par des tiers.

Les évaluations de niveau 2 sont désormais divisées en deux catégories. Les contrats critiques nécessitent toujours des évaluations par une organisation d'évaluation tierce certifiée (C3PAO) tous les trois ans. Pour certains contrats non critiques, la conformité de niveau 2 peut être obtenue par des auto-évaluations annuelles plutôt que par des évaluations tierces, avec une affirmation par un haut responsable de l'entreprise.

Le niveau 3 nécessite une évaluation effectuée par le DoD. Les organisations cherchant à obtenir la certification de niveau 3 doivent d'abord avoir reçu une évaluation finale de la certification de niveau 2.

En permettant des auto-évaluations pour les contrats de niveau 1 et certains de niveau 2, CMMC 2.0 vise à réduire la charge de conformité et les coûts associés, en particulier pour les petites et moyennes entreprises.

Exigences plus ciblées

CMMC 2.0 a supprimé certaines exigences uniques du CMMC qui n'étaient pas alignées avec les normes existantes. Les niveaux et pratiques rationalisés se concentrent également plus précisément sur la protection des CUI, qui est une préoccupation principale pour le DoD.

Responsabilité et transparence renforcées

Les organisations effectuant des auto-évaluations doivent faire confirmer les résultats de l'évaluation par un haut responsable de l'entreprise, renforçant ainsi la responsabilité. Des directives et des exigences plus claires visent également à accroître la transparence et la compréhension de ce qui est nécessaire pour la conformité.

Avec la mise en œuvre progressive qui a commencé en mai 2023, il est prévu que le CMMC 2.0 soit inclus dans tous les contrats du DoD d'ici 2026. Cependant, il est important de noter que même si le CMMC n'est pas dans le contrat DoD de votre organisation à une date donnée, dès que la règle finale du CMMC sera publiée, elle sera déployée sur le marché et applicable pour les audits. Pour être compétitives sur le marché du DoD, les organisations devront donner la priorité à la conformité avec le CMMC 2.0. Il est également probable que les contractants principaux privilégient les sous-traitants qui sont mieux préparés à protéger leur chaîne d'approvisionnement.