Cybersecurity Maturity Model Certification (CMMC)

Aperçu

140940_AWS_Multi-Logo Graphic_600x400_DoD

Le bureau du sous-secrétaire à la défense (OUSD) du Département américain de la Défense (DoD) pour la mise en œuvre et la pérennisation met en œuvre CMMC en tant que mécanisme pour aider à protéger la propriété intellectuelle du DoD et les informations sensibles des incidents de cybersécurité dont les sous-traitants principaux et secondaires sont victimes. En se concentrant sur la sécurité et la résilience de la chaîne d'approvisionnement externe du DoD, y compris les membres de la Base industrielle et technologique de défense (BITD), CMMC intègre des exigences de hiérarchisation pour les domaines, les pratiques et les procédures que les organisations doivent avoir fait certifier par un évaluateur tiers afin d'être compétitives pour la plupart des contrats du DoD. AWS permet aux sous-traitants de la défense de créer des environnements conformes à CMMC pour traiter, maintenir et stocker les données du DoD.

  • Qu'est-ce que CMMC ?

    CMMC signifie « Cybersecurity Maturity Model Certification ». CMMC comprend plusieurs niveaux de maturité allant de « Protection de base de la cybersécurité » à « Avancé/Progressif ». Chaque niveau de maturité comprend des exigences de traitement et de pratique progressivement plus exigeantes pour obtenir la certification. Les contrats du DoD définiront les niveaux de CMMC requis : niveau 1 - protection des informations sur les contrats fédéraux (FCI), niveau 2 - transition pour protéger les informations non classifiées contrôlées (CUI), niveau 3 - protection des CUI, et niveaux 4 et 5 - protection des CUI et réduction du risque de menaces persistantes avancées (APT).

    Le DoD prévoit d'intégrer les exigences du CMMC au Supplément du règlement sur la défense fédérale de l’acquisition (DFARS) et fera de la certification une exigence pour la plupart des contrats du DoD. Consultez la page https://www.acq.osd.mil/cmmc/index.html pour en savoir plus.

  • Pourquoi CMMC est-il mis en œuvre ?

    Le DoD migre actuellement vers le nouveau framework CMMC pour se protéger contre le vol d'informations sensibles et garantir la propriété intellectuelle du DoD. CMMC évaluera et améliorera la cybersécurité de la chaîne d'approvisionnement de la Base industrielle et technologique de défense (BITD), et s'assurera que les pratiques et les processus de cybersécurité appropriés sont en place.

  • Qui doit être certifié CMMC ?

    Selon les estimations du DoD, plus de 300 000 organisations devront être évaluées et certifiées à l'un des cinq niveaux CMMC. Cela inclut les sous-traitants principaux et secondaires, et généralement toutes les organisations qui vendent le DoD ou en proposent les services.

  • Quand le DoD met-il en œuvre l'exigence du programme CMMC ?

    Le DoD introduira progressivement les exigences du CMMC dans de nouveaux contrats à partir de 2020. Pour 2020, le DoD prévoit 10 demandes de renseignements (RFI) et 10 demandes de propositions (RFP) pour inclure les exigences du CMMC. Au cours des cinq prochaines années, les exigences du CMMC seront de plus en plus intégrées aux nouveaux contrats du DoD, et d'ici à 2026, presque tous les nouveaux contrats du DoD incluront les exigences du CMMC.

  • Des membres de la chaîne d'approvisionnement du DoD utilisent-ils maintenant AWS ?

    Un large éventail d'organisations, de programmes et de sous-traitants de la chaîne d'approvisionnement du DoD utilisent AWS pour transformer leur entreprise et leurs opérations. Ils exploitent AWS pour créer des environnements sécurisés pour traiter, entretenir et stocker leur contenu aux États-Unis. Données du gouvernement fédéral conformément au DFARS, au DoD Cloud Computing Security Requirements Guide (SRG), au Federal Risk and Authorization Management Program (FedRAMP) et à d'autres programmes fédéraux de conformité.

    Vous pouvez consulter des études de cas pour savoir comment AWS aide le DoD, y compris l'Agence américaine de logistique de la défense, l'U.S. Air Force, l'U.S. Navy et leCommandement des opérations spéciales des États-Unis, ainsi que des sous-traitants du DoD tels que Lockheed Martin, Raytheon et GDIT. Pour plus d'informations sur la manière dont AWS répond aux exigences de sécurité élevées du DoD, consultez la page Web Cloud Computing pour la défense.

  • Comment obtenir la certification pour mon organisation ?

    Un organisme d'accréditation (AB) indépendant et à but non lucratif a été créé par le CMMC pour former et accréditer chaque évaluateur des organismes d'évaluation tiers certifiés (C3PAO). L'organisme d'accréditation CMMC prévoit de lancer un marketplace CMMC pour les sous-traitants du DoD afin de voir, sélectionner et contacter les C3PAO approuvés pour les évaluations et les certifications.

    Les sous-traitants du DoD feront l'objet d'une évaluation de sécurité indépendante par un C3PAO tous les trois ans et seront certifiés à un niveau de maturité CMMC spécifique. L'organisme d'accréditation CMMC fournira les informations et mises à jour requises sur son site Internet : https://www.cmmcab.org.

  • AWS est-il certifié CMMC ?

    L'organisme d'accréditation CMMC n'a pas encore identifié et certifié les évaluateurs et les C3PAO, et n'a pas créé le marketplace qui fournira la liste des C3PAO qui ont été certifiés pour procéder à l'évaluation. AWS collabore avec le DoD et l'organisme d'accréditation CMMC sur les exigences et le processus de certification.

  • AWS fournit-il des solutions pour aider à obtenir la certification CMMC ?

    AWS collabore avec le DoD et l'organisme d'accréditation CMMC sur les exigences du CMMC pour aider à accélérer l'adoption et la certification à travers la chaîne d'approvisionnement de la défense (DSC). L'organisme d'accréditation CMMC se charge actuellement d'identifier et de former les évaluateurs certifiés CMMC et les C3PAO, de définir le processus de certification, de détailler la réciprocité FedRAMP et de créer le marketplace CMMC. AWS a l'intention de fournir aux clients des solutions CMMC qui accéléreront leur certification CMMC et réduiront leur niveau d'effort et de risque. AWS prévoit de proposer des solutions CMMC qui incluent des capacités de déploiement automatisé, des architectures de référence, une matrice de responsabilité des pratiques CMMC, un héritage d'autorisation FedRAMP potentiel (une fois celui-ci défini par le DoD) et une documentation connexe sur la certification sur laquelle les clients pourront s'appuyer dans le cadre de leur certification CMMC. AWS prévoit de fournir aux clients la flexibilité de déployer et de certifier les solutions AWS CMMC dans nos régions (Virginie du Nord, AWS GovCloud [US], etc.) en fonction des exigences de leurs activités et des programmes du DoD.

Si vous avez des questions concernant la conformité au programme CMMC ou aux exigences du DoD, veuillez contacter votre gestionnaire de compte AWS ou soumettre le Formulaire de contact sur la conformité AWS pour entrer en contact avec l'équipe dédiée à votre compte.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »