Cybersecurity Maturity Model Certification (CMMC)

Présentation

• Qu'est-ce que la certification CMMC 2.0 ?

  CMMC 2.0 est la nouvelle « version » du modèle de cybersécurité CMMC du Département de la Défense. Elle rationalise les exigences en trois niveaux de cybersécurité (Fondamental, Avancé et Expert), et aligne les exigences de chaque niveau sur les normes de cybersécurité bien connues et largement acceptées du NIST.

• Quels sont les nouveaux niveaux dans CMMC 2.0 ?

  Le 3 décembre 2021, le DoD a publié la présentation du modèle CMMC 2.0. Le modèle CMMC 2.0 englobe les exigences de protection de base pour les informations sur les contrats fédéraux (FCI) spécifiées dans la Federal Acquisition Regulation (FAR) 52.204-21 et les exigences de sécurité pour les Informations non classifiées contrôlées (CUI) dans le NIST SP 800-171r2 en vertu de la clause 252.204-7012 du Defense Federal Acquisition Regulation Supplement (DFARS).

  CMMC Niveau 1 (Fondamentaux) pour les entreprises avec FCI uniquement. Les informations doivent être protégées, mais ne sont pas déterminantes pour la sécurité nationale. Requiert 17 pratiques de protection de base. Directives de cadrage du CMMC Niveau 1

  CMMC Niveau 2 (Avancé) pour les entreprises ayant des CUI. Exigera les 110 pratiques du NIST SP 800-171r2. Peut exiger des évaluations par des tiers ou des auto-évaluations, selon le type d'informations. Directives de cadrage du CMMC Niveau 2

  CMMC Niveau 3 (Expert) pour les programmes les plus prioritaires comportant des CUI. Utilisera un sous-ensemble du NIST SP 800-172. Sera évalué par des représentants du gouvernement.
  

• Pourquoi la certification CMMC 2.0 est-elle mise en œuvre ?

  La cybersécurité fait partie des priorités absolues du Département de la Défense des États-Unis.
  
  La base industrielle et technologique de défense (BITD) est la cible de cyberattaques toujours plus fréquentes et complexes. Pour protéger l'ingéniosité et les informations de sécurité intérieure des États-Unis, le Département de la Défense a développé CMMC 2.0 afin d'améliorer de manière dynamique la cybersécurité de la BITD dans le but de faire face à l'évolution des menaces et de protéger les informations.
  

• Qui doit être certifié CMMC ?

  Une fois la mise en œuvre du programme CMMC terminée, certains sous-traitants du Département de la Défense (DoD) qui traitent des informations non classifiées sensibles seront tenus d'obtenir un niveau CMMC spécifique comme condition préalable à l'attribution du contrat.

• Quand le DoD met-il en œuvre l'exigence du programme CMMC 2.0 ?

  Le DoD a indiqué qu'il n'avait pas l'intention d'approuver l'inclusion d'une exigence CMMC dans un quelconque contrat avant l'achèvement du processus de réglementation du programme CMMC 2.0.  Le DoD estime que ce processus devrait prendre entre 9 et 24 mois à compter de novembre 2021.      
  
  Une fois le programme CMMC 2.0 mis en œuvre, le DoD précisera le niveau CMMC requis dans la demande de soumission et dans toute demande de renseignements (RFI), le cas échéant.

• Des membres de la chaîne d'approvisionnement du DoD utilisent-ils actuellement AWS ?

  Un large éventail d'organisations, de programmes et de sous-traitants de la chaîne d'approvisionnement du DoD utilisent AWS pour transformer leurs activités et leurs opérations. Ils s'appuient sur AWS pour créer des environnements cloud sécurisés afin de traiter, d'entretenir et de stocker les données du gouvernement fédéral américain, conformément au Defense Federal Acquisition Regulation Supplement (DFARS), au DoD Cloud Computing Security Requirements Guide (SRG), au Federal Risk and Authorization Management Program (FedRAMP) et à d'autres programmes fédéraux de conformité.

  N'hésitez pas à consulter les études de cas pour savoir comment AWS aide le DoD, y compris l'U.S. Defense Logistics Agency, l'U.S. Air Force, l'U.S. Navy et leCommandement des opérations spéciales des États-Unis, ainsi que des sous-traitants du DoD tels que Lockheed Martin, Raytheon et GDIT. Pour plus d'informations sur la manière dont AWS répond aux exigences de sécurité élevées du DoD, consultez la page Web Cloud Computing pour la défense.
  

• Comment la nouvelle « règle provisoire » du DoD affecte-t-elle mon organisation ?

  La règle DFARS provisoire prévoyait une période de transition de cinq ans au cours de laquelle la conformité avec le programme CMMC ne serait requise que pour certains contrats pilotes, tels qu'approuvés par l'Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) (bureau du sous-secrétaire à la Défense pour les acquisitions et le maintien en puissance). Le DoD a indiqué qu'il n'avait pas l'intention d'approuver l'inclusion d'une exigence CMMC dans un quelconque contrat avant l'achèvement du processus de réglementation du programme CMMC 2.0.
  
  Une fois la certification CMMC 2.0 codifiée en vertu de la réglementation, le DoD exigera que les entreprises respectent le cadre CMMC 2.0 révisé.

• Les services cloud doivent-ils être certifiés CMMC ?

  Non. La CMMC mesure les capacités et les processus de cybersécurité d'un sous-traitant de la BITD par rapport aux exigences d'un niveau CMMC spécifique.  
  
  En tant que fournisseur de services dans le cloud, AWS est autorisé par FedRAMP au niveau FedRAMP High et par la Defense Information Systems Agency (DISA) aux niveaux SRG Impact 2, 4 et 5.

• AWS fournit-il la réciprocité CMMC 2.0 avec d'autres programmes de conformité ?

  Non. Le DoD n'a pas encore défini la correspondance entre les autres programmes de conformité, tels que FedRAMP ou ISO 27001 (Systèmes de gestion de sécurité de l'information) et les niveaux CMMC 2.0.

• AWS fournit-il des solutions et de la documentation sur la conformité pour aider à obtenir la certification CMMC 2.0 ?

  Le package AWS CMMC Customer fournit une répartition des contrôles de sécurité CMMC Level 2 /NIST SP 800-171 dont les clients peuvent hériter d'AWS en utilisant AWS Landing Zone Accelerator  (accélérateur de la zone de destination),dans AWS GovCloud (US).

  Le package AWS CMMC Customer est disponible au téléchargement pour les clients dans AWS Artifact, dans les régions AWS Standard et AWS GovCloud (US). 

• L'équipe d'AWS Professional Services aide-t-elle les clients à satisfaire les exigences de conformité de la CMMC ?

  Oui. Les consultants AWS Professional Services sont formés à l’accélérateur de la zone de destination AWS dans AWS GovCloud (US), et sont en mesure de prendre en charge les implémentations client qui répondent aux défis de conformité CMMC. 

• Quelle(s) région(s) AWS dois-je utiliser pour déployer notre environnement cloud CMMC 2.0 ?

  AWS prévoit de fournir aux clients la flexibilité nécessaire pour déployer et certifier les solutions AWS CMMC 2.0 dans les régions standard et restreintes (USA Est/Ouest, AWS GovCloud (US), etc.) en fonction des exigences de leurs activités et des programmes et contrats du DoD.