Cybersecurity Maturity Model Certification (CMMC)

Nouveautés d'AWS CMMC Compliance

Le 4 novembre 2021, le DOD a annoncé l'orientation stratégique du programme Cybersecurity Maturity Model Certification (CMMC), marquant ainsi l'achèvement d'une évaluation interne du programme menée par des dirigeants de haut niveau dans le DOD. Le programme de Certification du modèle de maturité de la cybersécurité (CMMC 2.0) maintient son objectif initial qui est de protéger les informations sensibles tout en simplifiant le standard CMMC et en clarifiant les exigences.

Le 3 décembre 2021, le DoD a publié la présentation du modèle CMMC 2.0. Le modèle CMMC 2.0 englobe les exigences de protection de base pour les informations sur les contrats fédéraux (FCI) spécifiées dans la Federal Acquisition Regulation (FAR) 52.204-21 et les exigences de sécurité pour les Informations non classifiées contrôlées (CUI) dans le NIST SP 800-171r2 en vertu de la clause 252.204-7012 du Defense Federal Acquisition Regulation Supplement (DFARS).

CMMC Niveau 1 (Fondamental) pour les entreprises avec FCI uniquement. Les informations doivent être protégées, mais ne sont pas déterminantes pour la sécurité nationale. Requiert 17 pratiques de protection de base. Directives de cadrage du CMMC Niveau 1

CMMC Niveau 2 (Avancé) pour les entreprises ayant des CUI. Exigera les 110 pratiques du NIST SP 800-171r2. Peut exiger des évaluations par des tiers ou des auto-évaluations, selon le type d'informations. Directives de cadrage du CMMC Niveau 2

CMMC Niveau 3 (Expert) pour les programmes les plus prioritaires comportant des CUI. Utilisera un sous-ensemble du NIST SP 800-172. Sera évalué par des représentants du gouvernement.

Pour aider nos clients à passer de CMMC 1.0 à CMMC 2.0, AWS a publié la matrice de responsabilité du client (CRM) NIST SP 800-171 qui s'aligne sur CMMC 2.0 Niveau 2 Avancé et fournit une ventilation des contrôles de sécurité NIST SP 800-171 dont les clients peuvent hériter d'AWS en utilisant le AWS Compliant Framework for Federal and DoD Workloads dans AWS GovCloud (US).
 
Le package AWS NIST SP 800-171 CRM est disponible pour téléchargement par les clients dans AWS Artifact dans les régions AWS Standard et AWS GovCloud (US).

Présentation

Le programme Cybersecurity Maturity Model Certification (CMMC) améliore les normes de cyberprotection pour les entreprises de la BITD. Il est conçu pour protéger les informations non classifiées sensibles que le Département de la Défense des États-Unis (DoD) partage avec ses sous-traitants. Ce programme intègre un ensemble d'exigences en termes de cybersécurité dans les programmes d'acquisition et fournit au Département de la Défense une assurance accrue que les sous-traitants les respecteront.
 
Ce cadre comporte trois caractéristiques essentielles :
  • Modèle hiérarchisé : la CMMC exige que les entreprises auxquelles ont été confiées des informations de sécurité nationale mettent en œuvre des normes de cybersécurité à des niveaux de plus en plus avancés, en fonction du type et de la sensibilité de ces informations. Ce programme expose également le processus de transmission des informations aux sous-traitants.
  • Exigences en termes d'évaluation : les évaluations CMMC permettent également au Département de la Défense de vérifier la mise en œuvre de normes de cybersécurité clairement définies.
  • Mise en œuvre par le biais de contrats : une fois la mise en œuvre du programme CMMC complètement terminée, certains sous-traitants du Département de la Défense qui traitent des informations non classifiées sensibles seront tenus d'obtenir un niveau CMMC spécifique comme condition préalable à l'attribution du contrat.

Si vous avez des questions concernant la conformité au programme CMMC ou aux exigences du DoD, veuillez contacter votre gestionnaire de compte AWS ou soumettre le Formulaire de contact sur la conformité AWS pour entrer en contact avec l'équipe dédiée à votre compte.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »