Cybersecurity Maturity Model Certification (CMMC)

Aperçu

Le bureau du sous-secrétaire à la défense (OUSD) du Département américain de la Défense (DoD) pour la mise en œuvre et la pérennisation met en œuvre CMMC en tant que mécanisme pour aider à protéger la propriété intellectuelle du DoD et les informations sensibles des incidents de cybersécurité dont les sous-traitants principaux et secondaires sont victimes. En se concentrant sur la sécurité et la résilience de la chaîne d'approvisionnement externe du DoD, y compris les membres de la Base industrielle et technologique de défense (BITD), CMMC intègre des exigences de hiérarchisation pour les domaines, les pratiques et les procédures que les organisations doivent avoir fait certifier par un évaluateur tiers afin d'être compétitives pour la plupart des contrats du DoD. AWS permet aux sous-traitants de la défense de créer des environnements conformes à CMMC pour traiter, maintenir et stocker les données du DoD.

  • Qu'est-ce que la CMMC ?

    CMMC signifie « Cybersecurity Maturity Model Certification ». La CMMC comprend plusieurs niveaux de maturité allant de « Protection de base de la cybersécurité » à « Avancé/Progressif ». Chaque niveau de maturité comprend des exigences de plus en plus élevées en matière de processus et de pratiques pour obtenir la certification. Les contrats du DoD définiront les niveaux de CMMC requis : niveau 1 – protection des informations sur les contrats fédéraux (FCI), niveau 2 – transition pour protéger les informations non classifiées contrôlées (CUI), niveau 3 – protection des CUI, et niveaux 4 et 5 – protection des CUI et réduction du risque de menaces persistantes avancées (APT). Pour en savoir plus, consultez le site Web de la CMMC.

  • Pourquoi la CMMC est-elle mise en œuvre ?

    Le DoD migre actuellement vers le nouveau framework CMMC pour se prémunir contre le vol d'informations sensibles et protéger sa propriété intellectuelle. Le framework CMMC évaluera et améliorera la cybersécurité de la chaîne d'approvisionnement de la Base industrielle et technologique de défense (BITD), et vérifiera que les pratiques et les processus de cybersécurité appropriés sont en place.

  • Qui doit être certifié CMMC ?

    Selon les estimations du DoD, plus de 300 000 organisations de la BITD devront être évaluées et certifiées conformément à l'un des cinq niveaux de la CMMC. Cela inclut les sous-traitants principaux et secondaires, et plus généralement toutes les organisations qui vendent ou fournissent des services au DoD. Les exigences de niveau de la CMMC seront émises individuellement par le contrat avec le DoD.

  • Quand le DoD met-il en œuvre l'exigence du programme CMMC ?

    Le DoD appliquera progressivement les exigences de la CMMC aux demandes de propositions (RFP) et aux contrats à partir d'avril 2021, l'implémentation complète étant prévue pour 2026. Le DoD a identifié 15 acquisitions initiales, appelées Pilotes, pour participer au déploiement initial de la CMMC. Au cours des cinq prochaines années, les exigences de la CMMC seront intégrées aux nouveaux contrats du DoD à un rythme croissant, et presque tous les nouveaux contrats les incluront d'ici 2026.

  • Des membres de la chaîne d'approvisionnement du DoD utilisent-ils actuellement AWS ?

    Un large éventail d'organisations, de programmes et de sous-traitants de la chaîne d'approvisionnement du DoD utilisent AWS pour transformer leurs activités et leurs opérations. Ils s'appuient sur AWS pour créer des environnements cloud sécurisés afin de traiter, d'entretenir et de stocker les données du gouvernement fédéral américain, conformément au Defense Federal Acquisition Regulation Supplement (DFARS), au DoD Cloud Computing Security Requirements Guide (SRG), au Federal Risk and Authorization Management Program (FedRAMP) et à d'autres programmes fédéraux de conformité.

    N'hésitez pas à consulter les études de cas pour savoir comment AWS aide le DoD, y compris l'U.S. Defense Logistics Agency, l'U.S. Air Force, l'U.S. Navy et leCommandement des opérations spéciales des États-Unis, ainsi que des sous-traitants du DoD tels que Lockheed Martin, Raytheon et GDIT. Pour plus d'informations sur la manière dont AWS répond aux exigences de sécurité élevées du DoD, consultez la page Web Cloud Computing pour la défense.

  • Comment la nouvelle « règle provisoire » du DoD affecte-t-elle mon organisation ?

    Le 29 septembre 2020, le DoD a publié une « règle provisoire » établissant trois nouvelles exigences DFAR, en vigueur depuis le 30 novembre 2020, et élargissant l'exigence DFARS, 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting. La « règle provisoire » a élargi la règle initiale et a établi trois nouvelles exigences (1) en imposant une auto-évaluation (DFARS 252.204-7019) tous les trois ans, (2) en transmettant les résultats de l'auto-évaluation au système SPRS (Supplier Performance Risk System) du DoD (DFARS 252.204-7020), et (3) exigeant que les agents d'acquisition du DoD incluent la règle DFARS 252.204-7021, CMMC Requirements, dans les futures acquisitions DoD.

  • Comment obtenir la certification pour mon organisation ?

    Le DoD a créé le CMMC-AB (CMMC Advisory Board) en tant qu'organisation indépendante chargée d'administrer le processus de certification CMMC pour le C3PAO, les évaluateurs et les entités de la BITD. Les évaluateurs du C3PAO évalueront les organisations en utilisant les niveaux de la CMMC comme critères. La DCMA (Defense Contract Management Agency) a annoncé son intention d'attribuer le niveau 3 de la certification CMMC aux C3PAO à compter de mars 2021. Le CMMC-AB gère un marketplace CMMC qui identifie les C3PAO à l'adresse https://cmmcab.org/marketplace/.

  • AWS est-il certifié CMMC ?

    AWS a fait l'objet d'une évaluation NIST SP 800-171 menée par un organisme d'évaluation tiers indépendant (3PAO) et a mis en œuvre les 110 contrôles de la norme SP 800-171. AWS a engagé un C3PAO pour effectuer une évaluation CMMC et attend que son C3PAO soit « certifié » par la DCMA.

  • Les services cloud doivent-ils être certifiés CMMC ?

    Non. La CMMC est une certification qui mesure les capacités et les processus de cybersécurité du sous-traitant de la BITD par rapport aux exigences d'un niveau CMMC spécifique.

  • AWS fournit-il la réciprocité CMMC avec d'autres programmes de conformité ?

    Non. L'OUSD(A&S) n'a pas défini comment les autres programmes de conformité tels que FedRAMP, ISO 27001 Information Security Management ou Defence Industrial Base Cybersecurity Assessment Center (DIBCAC) seront mis en correspondance avec les niveaux CMMC dans la « règle provisoire » du DoD ou dans la version 1.02 de la CMMC. L'OUSD(A&S) a annoncé son intention d'accorder la réciprocité à d'autres programmes de conformité dans la version 2.0 de la CMMC.

  • AWS fournit-il des solutions et de la documentation sur la conformité pour aider à obtenir la certification CMMC ?

    AWS collabore avec le DoD et le CMMC-AB sur les exigences de la CMMC et développe des solutions pour aider les clients à accélérer leur déploiement et leur certification. Le 22 décembre 2020, AWS a publié le Cadre conforme pour les charges de travail du gouvernement fédéral américain et du ministère de la défense dans AWS GovCloud (US) afin d'aider les clients à déployer une infrastructure AWS fondatrice pour prendre en charge un environnement automatisé, sécurisé, évolutif et multicompte basé sur les bonnes pratiques AWS dans les régions AWS GovCloud (US). La solution est conçue pour répondre aux exigences prescrites par le DoD pour la CMMC ainsi que pour les charges de travail des niveaux d'impact 4 et 5 du Cloud Computing Security Requirements Guide (CC SRG) du DoD dans le cloud. 

    Pour plus d'informations sur la documentation de conformité AWS CMMC, veuillez contacter votre gestionnaire de compte AWS ou envoyez le formulaire Nous contacter.

  • L'équipe d'AWS Professional Services aide-t-elle les clients à satisfaire les exigences de conformité de la CMMC ?

    Oui. Les consultants AWS Professional Services sont formés au Cadre conforme pour les charges de travail du gouvernement fédéral américain et du ministère de la défense dans AWS GovCloud (US), et sont en mesure de prendre en charge les implémentations client qui répondent aux défis de conformité CMMC.

  • Quelle(s) région(s) AWS dois-je utiliser pour déployer notre environnement cloud CMMC ?

    AWS prévoit de fournir aux clients la flexibilité nécessaire pour déployer et certifier les solutions AWS CMMC dans les régions standard et restreintes (USA Est/Ouest, AWS GovCloud (US), etc.) en fonction des exigences de leurs activités et des programmes et contrats du DoD.

Si vous avez des questions concernant la conformité au programme CMMC ou aux exigences du DoD, veuillez contacter votre gestionnaire de compte AWS ou soumettre le Formulaire de contact sur la conformité AWS pour entrer en contact avec l'équipe dédiée à votre compte.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »