Contactez nous

Qu’est-ce que le CMMC?

Que vous soyez maître d’œuvre, petite entreprise ou membre de la base industrielle de défense élargie, la protection des renseignements sensibles et le maintien de l’intégrité de vos systèmes d’information sont essentiels lorsque vous faites affaire avec le département de la Guerre des É.-U.
Au cœur des exigences en matière de cybersécurité du département de la Guerre des É.-U. se trouve le modèle de certification de la maturité en cybersécurité (CMMC), qui établit une norme uniforme pour évaluer et vérifier le niveau de préparation des entrepreneurs en matière de cybersécurité, afin de s’assurer que tous les partenaires disposent des mesures de protection nécessaires pour traiter des informations de défense contrôlées et sensibles.

À propos du CMMC

Le CMMC regroupe plusieurs normes de cybersécurité — notamment celles du National Institute of Standards and Technology (NIST), de l’International Organization for Standardization (ISO), de l’Aerospace Industries Association et d’autres — en une norme unique et uniforme en matière de cybersécurité. Le CMMC a initialement établi un modèle à plusieurs niveaux pour évaluer et vérifier les pratiques de cybersécurité des entrepreneurs. Le CMMC 2.0 simplifie ce cadre en le ramenant à trois niveaux, réduisant la complexité tout en maintenant un haut niveau de protection pour les informations sensibles du département de la Guerre des É.-U.

Évaluations CMMC 2.0

Pour se conformer aux exigences, les organisations doivent se soumettre à des évaluations afin d’analyser leurs pratiques de cybersécurité et d’atteindre un niveau de maturité adapté à leur rôle dans les contrats du département de la Guerre des É.-U. ainsi qu’à la sensibilité des informations qu’elles traitent. Le CMMC 2.0 met en place des exigences d’évaluation graduées en fonction de la sensibilité des informations partagées avec l’entrepreneur. Cela signifie :

Niveau 1 — Autoévaluation annuelle

Pour les entrepreneurs qui font affaire avec le département de la Guerre des É.-U. au niveau 1 du CMMC 2.0, la conformité aux 15 exigences en matière de cybersécurité énoncées dans la clause FAR 52.204-21 est obligatoire. Ces exigences font l’objet d’une autoévaluation annuelle par l’entrepreneur, et les résultats sont consignés dans le Supplier Performance Risk System (SPRS).

Niveau 2 — Autoévaluation

Pour obtenir le statut d’autoévaluation de niveau 2 du CMMC 2.0, les entrepreneurs doivent se conformer aux 110 exigences en matière de cybersécurité énoncées dans la norme NIST SP 800-171 Révision 2, conformément à la clause DFARS 252.204-7012. Les entrepreneurs doivent effectuer ces évaluations au moins une fois tous les trois ans, et les résultats sont consignés dans le Supplier Performance Risk System (SPRS). Le statut CMMC obtenu est valide pendant trois ans à compter de la date officielle de statut CMMC, telle que définie à l’article § 170.4. À la suite de chaque évaluation formelle, puis annuellement par la suite, les organisations doivent fournir une attestation de la haute direction confirmant le maintien de la conformité. Le défaut de fournir cette attestation annuelle entraîne l’expiration du statut d’évaluation, ce qui oblige l’entrepreneur à mettre à jour son dossier dans le SPRS afin de maintenir sa conformité.

Niveau 2 avancé — C3PAO

Pour obtenir la certification de niveau 2 du CMMC 2.0 par l’entremise d’un C3PAO, les entrepreneurs doivent se conformer aux 110 exigences en matière de cybersécurité énoncées dans la norme NIST SP 800-171 Révision 2, conformément à la clause DFARS 252.204-7012. Les évaluations sont réalisées par un Certified Third-Party Assessment Organization (C3PAO) au moins une fois tous les trois ans, et les résultats sont consignés dans le CMMC Enterprise Mission Assurance Support Service (eMASS). Le statut CMMC obtenu est valide pendant trois ans à compter de la date officielle de statut CMMC, telle que définie à l’article § 170.4. À la suite de chaque évaluation, puis annuellement par la suite, les organisations doivent fournir une attestation de la haute direction confirmant le maintien de la conformité. Le défaut de fournir cette attestation entraîne l’expiration du statut d’évaluation, et l’entrepreneur doit mettre à jour son dossier dans le SPRS afin de maintenir sa conformité. Le CMMC Accreditation Body (The Cyber AB) est responsable de l’accréditation des C3PAO ainsi que de la CMMC Assessors and Instructors Certification Organization (CAICO). Les C3PAO accrédités sont répertoriés dans le Marketplace de The Cyber AB.

Niveau 3 — Expert — Évaluations dirigées par le gouvernement

Pour obtenir la certification de niveau 3 du CMMC 2.0, les entrepreneurs doivent se conformer aux 110 exigences en matière de cybersécurité de la norme NIST SP 800-171 Révision 2, ainsi qu’à 24 pratiques supplémentaires sélectionnées à partir de NIST SP 800-172 (février 2021), telles que décrites dans le tableau 1 de l’article § 170.14(c)(4). Une certification préalable de niveau 2 par un C3PAO, couvrant le même périmètre d’évaluation CMMC, est requise avant de procéder à une évaluation de niveau 3. Les évaluations de niveau 3 sont réalisées par le Information System Security Certification and Accreditation Center du département de la Guerre des É.-U. (DIBCAC) au moins une fois tous les trois ans, et les résultats sont consignés dans le CMMC Enterprise Mission Assurance Support Service (eMASS). Le statut CMMC obtenu est valide pendant trois ans à compter de la date officielle de statut CMMC, telle que définie à l’article § 170.4. À la suite de chaque évaluation, puis annuellement par la suite, les organisations doivent fournir une attestation de la haute direction confirmant le maintien de la conformité. Le défaut de fournir cette attestation entraîne l’expiration du statut d’évaluation, et l’entrepreneur doit mettre à jour son dossier dans le SPRS afin de demeurer conforme. De plus, l’attestation annuelle de niveau 2 réalisée par un C3PAO doit continuer d’être complétée afin de maintenir la conformité préalable requise pour la certification de niveau 3.

Comment préparer mon entreprise au marché du département de la Guerre des É.-U.?

Comment préparer mon plan d’affaires et mes ressources pour le marché du département de la Guerre des É.-U.?

Comment sélectionner et établir des relations avec mes clients cibles du département de la Guerre des É.-U. ?
Comment sélectionner une stratégie d’entrée sur le marché du département de la Guerre des É.-U. ?
Comment budgéter le développement des affaires avec le département de la Guerre des É.-U. ?
Comment réaliser une analyse de la concurrence pour les contrats du département de la Guerre des É.-U. ?
Comment créer des supports de présentation efficaces pour les contrats du département de la Guerre des É.-U. ?
Comment me préparer à la rédaction de propositions pour le département de la Guerre des É.-U. ?

Comment être conforme pour faire affaire avec le département de la Guerre des É.-U.?

Que sont les DFARS et qu’est-ce que cela signifie pour les entreprises canadiennes qui vendent au département de la Guerre des É.-U. ?
Comment satisfaire aux exigences de cybersécurité du département de la Guerre des É.-U. ?
Qu’est-ce que le CMMC?
Comment obtenir une habilitation de sécurité industrielle pour mon entreprise?
Comment obtenir des habilitations de sécurité pour mes employés?
Comment obtenir une autorisation pour accéder à des données techniques militaires non classifiées dans le cadre de travaux pour le département de la Guerre des É.-U. ?
Comment obtenir une autorisation pour examiner, détenir ou transférer des marchandises contrôlées?
Comment se conformer à l’ITAR?
Comment se préparer à la conformité au FAR et au DFARS?
La CCC utilise des témoins (cookies) et d’autres outils de suivi pour vous offrir une meilleure expérience de navigation sur notre site. Visitez notre page sur les règles relatives aux témoins pour en savoir plus ou pour modifier vos préférences. En continuant d’utiliser notre site, vous consentez à l’utilisation de cookies.
Acceptez