Cybersecurity Maturity Model Certification (CMMC)

Quelles sont les nouveautés d'AWS CMMC Compliance ?

AWS a lancé Landing Zone Accelerator (LZ Accelerator) sur AWS pour aider les clients des régions commerciales AWS et des régions AWS GovCloud (US) à déployer rapidement une base cloud sécurisée, résiliente, évolutive et entièrement automatisée qui accélère votre préparation dans le cadre de votre programme de conformité cloud. LZ Accelerator est conçue dans le strict respect des bonnes pratiques AWS et des cadres de conformité, notamment la Cybersecurity Maturity Model Certification (CMMC) et le guide des exigences de sécurité (SRG) du cloud computing du département de la Défense (DoD), tout en réduisant le niveau d'effort technique, les coûts et les risques.

Utilisé conjointement avec d'autres services AWS, LZ Accelerator offre une solution complète sans code pour plus de 35 services AWS. Grâce à cette solution, les clients ayant des charges de travail très réglementées et des exigences de conformité complexes peuvent mieux gérer et administrer leur environnement multicompte. La solution Landing Zone Accelerator vous aide à mettre en place la préparation de la plateforme avec des capacités de sécurité, de conformité et d'exploitation.

Pour plus d'informations sur Landing Zone Accelerator sur AWS, rendez-vous sur : https://aws.amazon.com/solutions/implementations/landing-zone-accelerator-on-aws/

Présentation

Le programme Cybersecurity Maturity Model Certification (CMMC) améliore les normes de cyberprotection pour les entreprises de la BITD. Il est conçu pour protéger les informations non classifiées sensibles que le Département de la Défense des États-Unis (DoD) partage avec ses sous-traitants. Ce programme intègre un ensemble d'exigences en termes de cybersécurité dans les programmes d'acquisition et fournit au Département de la Défense une assurance accrue que les sous-traitants les respecteront.
 
Ce cadre comporte trois caractéristiques essentielles :
  • Modèle hiérarchisé : la CMMC exige que les entreprises auxquelles ont été confiées des informations de sécurité nationale mettent en œuvre des normes de cybersécurité à des niveaux de plus en plus avancés, en fonction du type et de la sensibilité de ces informations. Ce programme expose également le processus de transmission des informations aux sous-traitants.
  • Exigences en termes d'évaluation : les évaluations CMMC permettent également au Département de la Défense de vérifier la mise en œuvre de normes de cybersécurité clairement définies.
  • Mise en œuvre par le biais de contrats : une fois la mise en œuvre du programme CMMC complètement terminée, certains sous-traitants du Département de la Défense qui traitent des informations non classifiées sensibles seront tenus d'obtenir un niveau CMMC spécifique comme condition préalable à l'attribution du contrat.
  • Qu'est-ce que la certification CMMC 2.0 ?

    CMMC 2.0 est la nouvelle « version » du modèle de cybersécurité CMMC du Département de la Défense. Elle rationalise les exigences en trois niveaux de cybersécurité (Fondamental, Avancé et Expert), et aligne les exigences de chaque niveau sur les normes de cybersécurité bien connues et largement acceptées du NIST.
  • Quels sont les nouveaux niveaux dans CMMC 2.0 ?

    Le 3 décembre 2021, le DoD a publié la présentation du modèle CMMC 2.0. Le modèle CMMC 2.0 englobe les exigences de protection de base pour les informations sur les contrats fédéraux (FCI) spécifiées dans la Federal Acquisition Regulation (FAR) 52.204-21 et les exigences de sécurité pour les Informations non classifiées contrôlées (CUI) dans le NIST SP 800-171r2 en vertu de la clause 252.204-7012 du Defense Federal Acquisition Regulation Supplement (DFARS).

    CMMC Niveau 1 (Fondamental) pour les entreprises avec FCI uniquement. Les informations doivent être protégées, mais ne sont pas déterminantes pour la sécurité nationale. Requiert 17 pratiques de protection de base. Directives de cadrage du CMMC Niveau 1

    CMMC Niveau 2 (Avancé) pour les entreprises ayant des CUI. Exigera les 110 pratiques du NIST SP 800-171r2. Peut exiger des évaluations par des tiers ou des auto-évaluations, selon le type d'informations. Directives de cadrage du CMMC Niveau 2

    CMMC Niveau 3 (Expert) pour les programmes les plus prioritaires comportant des CUI. Utilisera un sous-ensemble du NIST SP 800-172. Sera évalué par des représentants du gouvernement.

  • Pourquoi la certification CMMC 2.0 est-elle mise en œuvre ?

    La cybersécurité fait partie des priorités absolues du Département de la Défense des États-Unis.

    La base industrielle et technologique de défense (BITD) est la cible de cyberattaques toujours plus fréquentes et complexes. Pour protéger l'ingéniosité et les informations de sécurité intérieure des États-Unis, le Département de la Défense a développé CMMC 2.0 afin d'améliorer de manière dynamique la cybersécurité de la BITD dans le but de faire face à l'évolution des menaces et de protéger les informations.
  • Qui doit être certifié CMMC ?

    Une fois la mise en œuvre du programme CMMC terminée, certains sous-traitants du Département de la Défense (DoD) qui traitent des informations non classifiées sensibles seront tenus d'obtenir un niveau CMMC spécifique comme condition préalable à l'attribution du contrat.
  • Quand le DoD met-il en œuvre l'exigence du programme CMMC 2.0 ?

    Le DoD a indiqué qu'il n'avait pas l'intention d'approuver l'inclusion d'une exigence CMMC dans un quelconque contrat avant l'achèvement du processus de réglementation du programme CMMC 2.0.  Le DoD estime que ce processus devrait prendre entre 9 et 24 mois à compter de novembre 2021.      

    Une fois le programme CMMC 2.0 mis en œuvre, le DoD précisera le niveau CMMC requis dans la demande de soumission et dans toute demande de renseignements (RFI), le cas échéant.

  • Des membres de la chaîne d'approvisionnement du DoD utilisent-ils actuellement AWS ?

    Un large éventail d'organisations, de programmes et de sous-traitants de la chaîne d'approvisionnement du DoD utilisent AWS pour transformer leurs activités et leurs opérations. Ils s'appuient sur AWS pour créer des environnements cloud sécurisés afin de traiter, d'entretenir et de stocker les données du gouvernement fédéral américain, conformément au Defense Federal Acquisition Regulation Supplement (DFARS), au DoD Cloud Computing Security Requirements Guide (SRG), au Federal Risk and Authorization Management Program (FedRAMP) et à d'autres programmes fédéraux de conformité.

    N'hésitez pas à consulter les études de cas pour savoir comment AWS aide le DoD, y compris l'U.S. Defense Logistics Agency, l'U.S. Air Force, l'U.S. Navy et leCommandement des opérations spéciales des États-Unis, ainsi que des sous-traitants du DoD tels que Lockheed Martin, Raytheon et GDIT. Pour plus d'informations sur la manière dont AWS répond aux exigences de sécurité élevées du DoD, consultez la page Web Cloud Computing pour la défense.

  • Comment la nouvelle « règle provisoire » du DoD affecte-t-elle mon organisation ?

    La règle DFARS provisoire prévoyait une période de transition de cinq ans au cours de laquelle la conformité avec le programme CMMC ne serait requise que pour certains contrats pilotes, tels qu'approuvés par l'Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) (bureau du sous-secrétaire à la Défense pour les acquisitions et le maintien en puissance). Le DoD a indiqué qu'il n'avait pas l'intention d'approuver l'inclusion d'une exigence CMMC dans un quelconque contrat avant l'achèvement du processus de réglementation du programme CMMC 2.0.

    Une fois la certification CMMC 2.0 codifiée en vertu de la réglementation, le DoD exigera que les entreprises respectent le cadre CMMC 2.0 révisé.
  • Les services cloud doivent-ils être certifiés CMMC ?

    Non. La CMMC mesure les capacités et les processus de cybersécurité d'un sous-traitant de la BITD par rapport aux exigences d'un niveau CMMC spécifique.  

    En tant que fournisseur de services dans le cloud, AWS est autorisé par FedRAMP au niveau FedRAMP High et par la Defense Information Systems Agency (DISA) aux niveaux SRG Impact 2, 4 et 5.
  • AWS fournit-il la réciprocité CMMC 2.0 avec d'autres programmes de conformité ?

    Non. Le DoD n'a pas encore défini la correspondance entre les autres programmes de conformité, tels que FedRAMP ou ISO 27001 (Systèmes de gestion de sécurité de l'information) et les niveaux CMMC 2.0.
  • AWS fournit-il des solutions et de la documentation sur la conformité pour aider à obtenir la certification CMMC 2.0 ?

    Oui.  Dans le cadre de la certification CMMC 2.0, le niveau 2 (Avancé) équivaudra à NIST SP 800-171. Le niveau 3 (Expert), qui est actuellement en cours de développement, sera basé sur un sous-ensemble des exigences NIST SP 800-172.

    AWS a publié la matrice de responsabilité du client (CRM) NIST SP 800-171 qui s'aligne sur CMMC 2.0 Niveau 2 Avancé et fournit une ventilation des contrôles de sécurité NIST SP 800-171 dont les clients peuvent hériter d'AWS en utilisant l'AWS Compliant Framework for Federal and DoD Workloads dans AWS GovCloud (US).
     
    Le package AWS NIST SP 800-171 CRM est disponible pour téléchargement par les clients dans AWS Artifact dans les régions AWS Standard et AWS GovCloud (US).

  • L'équipe d'AWS Professional Services aide-t-elle les clients à satisfaire les exigences de conformité de la CMMC ?

    Oui. Les consultants AWS Professional Services sont formés au Cadre conforme pour les charges de travail du gouvernement fédéral américain et du Département de la Défense dans AWS GovCloud (US), et sont en mesure de prendre en charge les implémentations client qui répondent aux défis de conformité CMMC.

  • Quelle(s) région(s) AWS dois-je utiliser pour déployer notre environnement cloud CMMC 2.0 ?

    AWS prévoit de fournir aux clients la flexibilité nécessaire pour déployer et certifier les solutions AWS CMMC 2.0 dans les régions standard et restreintes (USA Est/Ouest, AWS GovCloud (US), etc.) en fonction des exigences de leurs activités et des programmes et contrats du DoD.

Si vous avez des questions concernant la conformité au programme CMMC ou aux exigences du DoD, veuillez contacter votre gestionnaire de compte AWS ou soumettre le Formulaire de contact sur la conformité AWS pour entrer en contact avec l'équipe dédiée à votre compte.

compliance-contactus-icon
Des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »