CMMC 2.0 – Connaître l’évolution de la certification de la DoD en matière de cybersécurité
Compared to the first version, CMMC 2.0 streamlines U.S. Department of Defense’s (DoD) cybersecurity requirements down to three levels and aligns the requirements at each level with well-known and widely accepted NIST cybersecurity standards. In this article we will review the basics of CMMC 2.0 and what we know so far about how this will impact contracts with DoD.
Les entreprises canadiennes qui travaillent dans les secteurs de la défense ou de la finance savent déjà que des méthodes rigoureuses de traitement des informations sensibles sont d’une importance capitale. Avec la mise à jour de la certification de cybersécurité qui sera bientôt exigée de tous les contractants du DoD, la façon dont vous protégez vos données déterminera si vous pouvez accéder aux opportunités lucratives du marché militaire américain.
Qu’est-ce que la CMMC?
La Certification du modèle de maturité cybersécurité (CMMC) est un cadre conçu pour améliorer les pratiques de cybersécurité des entreprises travaillant avec le DoD des É.-U. Elle a été élaborée pour répondre aux menaces croissantes que représentent les cyberattaques et pour protéger les renseignements et les données sensibles associés aux contrats de défense.
La CMMC combine les nombreuses normes de cybersécurité actuelles, notamment celles du National Institute of Standards and Technology (NIST), de l’Organisation internationale de normalisation (ISO), de l’Aerospace Industries Association et d’autres organismes, en une seule norme unifiée pour la cybersécurité. Le DoD des É.-U. dispose ainsi d’un mécanisme plus simple pour évaluer et vérifier la préparation des contractants en matière de cybersécurité, notamment leur capacité à protéger les renseignements protégés stockés dans leurs réseaux et transmis par ces derniers.
Pour se conformer aux exigences de la CMMC, les organisations doivent se soumettre à des évaluations de leurs méthodes de cybersécurité et leur attribuer un niveau de maturité en s’appuyant sur leurs conclusions. Le niveau de maturité spécifique requis dépend de l’implication de l’organisation dans les contrats du DoD et de la sensibilité des informations qu’elle traite.
Conformément à la section 4.1901 du Federal Acquisition Regulation (FAR), les Federal Contract Information (FCI) sont définies comme des informations, non destinées à être rendues publiques, qui sont fournies par ou générées pour le gouvernement dans le cadre d’un contrat visant à développer ou à livrer un produit ou un service au gouvernement, à l’exclusion des informations fournies par le gouvernement au public (telles que celles figurant sur les sites web publics) ou des simples informations transactionnelles, telles que celles nécessaires au traitement des paiements.
Les informations non classifiées contrôlées (CUI) sont des informations que le gouvernement crée ou possède, ou qu’une entité crée ou possède pour le gouvernement ou en son nom, et qu’une loi, un règlement ou une politique gouvernementale exige ou autorise une agence à traiter en utilisant des contrôles de sauvegarde ou de diffusion. Le registre CUI fournit des informations sur les catégories et sous-catégories spécifiques de CUI et peut être consulté sur les sites web des Archives nationales et du DoD.
À propos de la CMMC 2.0
La CMMC 2.0 est essentiellement axée sur la protection et la sécurisation des renseignements relatifs aux contrats fédéraux (FCI) et des renseignements non classifiés contrôlés (CUI). Elle exige des organisations qu’elles adhèrent à un ensemble de processus et de procédures visant à protéger leurs données contre les acteurs malveillants.
Le programme CMMC 2.0 présente trois caractéristiques essentielles :
- Modèle à plusieurs niveaux : La CMMC exige que les entreprises auxquelles sont confiées des informations relatives à la sécurité nationale mettent en œuvre des normes de cybersécurité à des niveaux progressivement plus avancés, en fonction du type et de la sensibilité des informations. Le programme prévoit également un processus pour exiger la protection des informations transmises aux sous-traitants.
- Exigence en matière d’évaluation : Les évaluations de la CMMC permettent au DoD de vérifier la mise en œuvre de normes de cybersécurité claires.
- Mise en œuvre par le biais de contrats : Une fois la CMMC pleinement mise en œuvre, certains contractants du DoD qui traitent des informations sensibles non classifiées du DoD seront tenus d’atteindre un niveau particulier de la CMMC comme condition d’attribution du contrat.
Dans les sections ci-dessous, nous fournissons plus d’informations sur ces caractéristiques.
Modèle CMMC 2.0
Avec la mise en œuvre de la CMMC 2.0, le DoD a l’intention de réduire le nombre de niveaux de 5 niveaux progressifs à 3 niveaux progressifs. Le DoD a publié, à titre d’information, le modèle CMMC 2.0 pour les niveaux 1 et 2, les guides d’évaluation qui leur sont associés et les orientations relatives (en anglais) au champ d’application. Les informations relatives au niveau 3 seront publiées dès qu’elles seront disponibles.
CMMC 1.0 | CMMC 2.0 |
5 niveaux de plus en plus progressifs :
| 3 niveaux de plus en plus progressifs :
|
En raison de l’alignement de la CMMC sur les normes du NIST, les exigences du DoD continueront d’évoluer au fur et à mesure des changements apportés aux exigences sous-jacentes des normes NIST SP 800-171 et NIST SP 800-172.
CMMC 2.0 – Évaluations
La CMMC 2.0 met en œuvre des exigences d’évaluation de niveau s’appuyant sur la sensibilité des informations partagées avec un contractant. Contrairement à la CMMC 1.0, qui exigeait de tous les contractants du DoD qu’ils fassent l’objet d’une évaluation de la CMMC par une tierce partie, pour la mise en œuvre de la CMMC 2.0 :
- Les contractants qui ne traitent pas d’informations jugées critiques pour la sécurité nationale (niveau 1 et un sous-ensemble du niveau 2) seront tenus de procéder à des auto-évaluations annuelles par rapport à des normes de cybersécurité clairement formulées.
- Les contractants qui gèrent des informations critiques pour la sécurité nationale seront tenus de se soumettre à des évaluations de niveau 2 de la CMMC par une tierce partie.
- Les programmes de défense les plus prioritaires et les plus critiques (niveau 3) devront faire l’objet d’évaluations menées par le gouvernement.
CMMC 1.0 | CMMC 2.0 |
Exigences de tous les contractants du DoD en matière d’évaluation de la conformité à la CMMC par une tierce partie |
|
Niveau 1. Fondamental – Auto-évaluation annuelle
Pour les exigences de niveau 1 de la CMMC 2.0 et les exigences de niveau 2 qui ne concernent pas des informations critiques pour la sécurité nationale, des auto-évaluations suffiront. Celles-ci seront exigées sur une base annuelle, accompagnées d’une déclaration annuelle d’un haut responsable de l’entreprise attestant que l’entreprise satisfait aux exigences.
Le DoD a l’intention d’exiger des entreprises qu’elles enregistrent les auto-évaluations et les affirmations dans le système de gestion des risques liés aux performances des fournisseurs (Supplier Performance Risk System – SPRS).
Niveau 2. Avancé – Évaluations par des tiers
Une fois que la CMMC 2.0 sera mise en œuvre, les contractants seront tenus d’obtenir une évaluation de niveau 2 de la CMMC par une tierce partie pour un sous-ensemble d’acquisitions qui impliquent des informations critiques pour la sécurité nationale.
L’organisme d’accréditation du CMMC (The Cyber AB) accréditera les organismes d’évaluation de tierces parties de la CMMC (C3PAO) et l’organisme de certification des évaluateurs et des instructeurs de la CMMC (CAICO). Les C3PAO accrédités seront répertoriés sur The Cyber AB Marketplace.
La Defense Industrial Base (DIB) company (y compris pour les entreprises canadiennes) sera entièrement responsable de l’obtention de l’évaluation et de la certification nécessaires, y compris de la coordination et de la planification de l’évaluation de la CMMC. Une fois l’évaluation de la CMMC terminée, le C3PAO téléchargera le rapport d’évaluation dans le système EMASS de la CMMC, auquel le DoD pourra accéder.
Niveau 3. Expert – Évaluations menées par le gouvernement
Ce niveau de conformité est requis pour tous les contractants qui traitent des informations non classifiées contrôlées utilisées dans les programmes les plus prioritaires du DoD. La plupart des leaders de l’industrie de la défense doivent satisfaire aux exigences de ce niveau.
Étant donné que ce niveau exige la sécurité la plus stricte, les évaluations ne sont nécessaires que tous les trois ans et le Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) doit être impliqué dans ce processus.
CMMC 2.0 – Mise en œuvre
Une fois la CMMC 2.0 mise en œuvre, le niveau de CMMC requis pour les contractants et les sous-traitants sera spécifié dans l’appel d’offres et dans les demandes d’information (RFI). Le DoD prévoit de permettre aux entreprises de recevoir des contrats avec un plan pour répondre aux exigences de la CMMC. Toutefois, il se peut que le DoD ne permette pas que certaines exigences CMMC soient remplies après l’attribution du contrat.
CMMC 1.0 | CMMC 2.0 |
Pas d’allocation pour le plan d’actions et d’étapes (POA&M) pour répondre aux exigences de la CMMC |
|
Dans le cadre de la CMMC 2.0, le DoD a l’intention d’autoriser une procédure de dérogation limitée afin d’exclure les exigences de la CMMC des acquisitions pour certaines exigences essentielles à une mission. Les exigences du DoD à l’égard des gestionnaires de programme souhaitant obtenir une dérogation à la CMMC devront être approuvées par les hauts dirigeants du DoD et la durée de la dérogation sera limitée.
CMMC 1.0 | CMMC 2.0 |
Il n’y a pas de dérogation possible. |
|
Mise à jour du la CMMC 2024
Le 15 août 2024, le DoD a publié une nouvelle règle proposée qui décrit comment il intégrera les exigences de son programme CMMC dans le processus contractuel. En vertu de la règle proposée :
- Les contractants seraient tenus d’introduire leur certificat ou leur auto-évaluation CMMC dans le SPRS au niveau spécifié dans les clauses du contrat au moment de l’attribution du contrat.
- Les contractants devront disposer d’une déclaration de conformité continue aux exigences de sécurité définies dans le 32 CFR 170 dans le SPRS pour chacun des systèmes de renseignements du contractant qui traitent, stockent ou transmettent des FCI ou CUI et qui sont nécessaires à l’exécution du contrat.
- Pour chaque système de renseignements du contractant qui traite, stocke ou transmet des CUI, le contractant publiera l’auto-évaluation ou la certification dans le SPRS, ce qui générera un identifiant unique du DoD (DoD UID) qui sera communiqué au responsable du contrat pour chaque système de renseignements du contractant qui traite, stocke ou transmet des FCI ou des CUI au cours de l’exécution du contrat.
- Le contractant serait tenu d’avoir et de conserver le niveau requis de la CMMC pendant toute la durée du contrat.
- Il est nécessaire qu’un dirigeant senior du contractant complète et tienne à jour chaque année, ou lorsque des changements interviennent dans le domaine de la sécurité, l’affirmation de conformité continue avec les exigences de sécurité du 32 CFR 170.
- Le contractant devra notifier au responsable du contrat tout changement apporté aux systèmes de renseignements du contractant qui traitent, stockent ou transmettent des FCI ou des CUI pendant l’exécution du contrat, y compris toute mise à jour des UID du DoD correspondants.
- Le contractant doit s’assurer que ses sous-traitants ont le niveau approprié de la CMMC avant d’attribuer un contrat de sous-traitance ou un autre instrument contractuel. Les exigences de la clause doivent être incluses dans les contrats de sous-traitance ou autres instruments contractuels à tous les niveaux tant que le sous-traitant traite, stocke ou transmet des FCI ou des CUI.
Les commentaires sur la proposition de règle sont attendus pour le 15 octobre 2024 et pourraient entrer en vigueur en 2025.
Calendrier de la CMMC 2.0
Lorsque le DoD mettra en œuvre son programme CMMC, il le fera en quatre phases sur une période de deux ans et demi.
- Phase 1 : Les contractants doivent évaluer eux-mêmes leur conformité au niveau 1 ou 2 de la CMMC (selon le cas) pour pouvoir prétendre à un contrat. Le DoD peut également inclure dans certains contrats des exigences d’évaluation de la CMMC de niveau 2 par une tierce partie.
- Phase 2 : Cette phase débute six mois après la phase 1 et les contractants devront réussir une évaluation CMMC de niveau 2 réalisée par une tierce partie pour pouvoir prétendre à des contrats comportant l’exigence de certification CMMC de niveau 2. Le DoD peut également inclure des exigences d’évaluation de la CMMC de niveau 3 dans certains contrats.
- Phase 3 : Cette phase débute un an après la phase 2 et le DoD étendra l’exigence d’évaluation de la certification CMMC de niveau 2 aux contrats applicables qui ont été attribués avant la finalisation par le DoD de la règle relative à la CMMC. Cela veut dire que le DoD n’exercera pas d’options sur les contrats existants à moins que le contractant n’ait passé avec succès une évaluation de la CMMC de niveau 2 par une tierce partie. Le DoD ajoutera également des exigences d’évaluation de la certification CMMC de niveau 3 à tous les contrats applicables.
- Phase 4 : Cette phase débute un an après la phase 3 et marque la mise en œuvre complète du programme de la CMMC.
Se préparer pour la CMMC 2.0
Étant donné que tous les fournisseurs du DoD devront être certifiés au niveau approprié de la CMMC pour continuer à faire des affaires avec le DoD, les experts de l’industrie conseillent aux organisations de démarrer tôt. Rhia Dancel, praticienne agréée pour la CMMC, et Tony Giles, évaluateur provisoire de la CMMC auprès de NSF International Strategic Registrations (NSF-ISR) ont formulé les recommandations suivantes dans un article récent publié sur nsf.org (en anglais).
- Mettre en œuvre et évaluez les processus de sécurité de l’information – Élaborez un plan de sécurité des systèmes et procéder à une auto-évaluation selon les normes NIST 800-171.
- Améliorez les processus et soumettez votre note – En vous appuyant sur les résultats de votre auto-évaluation, créez un plan d’actions et d’étapes avec des dates cibles afin d’obtenir une note maximale de 110. Soumettez ensuite votre note au système de gestion des risques liés aux performances des fournisseurs (Supplier Performance Risk System – SPRS) du DoD.
- Identifiez votre champ d’application – Décidez du niveau qu’il vous est nécessaire d’atteindre pour votre entreprise, votre unité d’organisation ou votre enclave de programme. Notez que le Cyber-AB, l’organisme d’accréditation autorisé à superviser toutes les évaluations et formations de la CMMC, n’a publié jusqu’à présent que le guide d’évaluation des niveaux 1-2 de la CMMC 2.0.
- Obtenez une évaluation préliminaire des lacunes – Envisagez d’obtenir une évaluation préliminaire des lacunes auprès d’un organisme d’évaluation tiers accrédité afin d’identifier les lacunes dans votre processus de sécurité de l’information.
- Remédiez aux conclusions de l’évaluation des lacunes – Corrigez les lacunes identifiées en matière de sécurité de l’information et mettez en œuvre ces changements au sein de votre organisation.
- Choisissez un C3PAO – Utilisez The Cyber AB Marketplace pour identifier un C3PAO et planifier votre évaluation CMMC.
- Effectuez l’évaluation de la CMMC – Effectuez l’évaluation de la CMMC avec le C3PAO que vous avez choisi.
- Obtenez la certification – Cyber-AB examine l’évaluation soumise par le C3PAO et prend une décision finale sur la certification de votre organisation. En cas d’approbation, votre organisation reçoit une certification CMMC de trois ans.
La CMMC pour les Canadiens
Pour les exportateurs canadiens, l’enjeu est simple : si vous obtenez un niveau de certification plus élevé en matière de cybersécurité, vous aurez accès à un plus grand nombre d’opportunités du DoD. Plus important encore, si vous n’obtenez pas de certification, vous ne pourrez pas soumissionner pour des contrats du DoD.
De nombreux contractants n’auront probablement rien à faire de nouveau par rapport à ce qu’ils font actuellement en termes de cybersécurité, surtout s’ils n’ont besoin que de satisfaire aux deux premiers niveaux de certification de la CMMC 1.0.
Pour la plupart des entreprises canadiennes, le cadre de la CMMC est un mécanisme plus formel de reconnaissance des meilleures méthodes qu’elles ont déjà mises en place. C’est peut-être aussi le début d’une approche plus large de la cybersécurité pour tous les contrats passés avec le gouvernement américain.
Pour commencer à préparer votre certification CMMC, consultez l’écosystème de la cybersécurité à Cyber AB, l’organisme d’accréditation officiel de l’écosystème CMMC et le seul partenaire non gouvernemental autorisé par le DoD des É.-U. pour la mise en œuvre et la supervision du régime de conformité CMMC. Son « Marketplace » fournit le nom de personnes et d’entreprises qui pourront vous aider à atteindre la conformité CMMC 2.0.
Renseignez-vous également sur le Programme canadien de certification en cybersécurité (CPCSC). Non seulement il est prévu que la CMMC et le CPCSC soient équivalents, mais à partir de l’hiver 2025, les fournisseurs qui souhaitent soumissionner ou travailler sur certains contrats de défense du gouvernement du Canada doivent être certifiés CPCSC.
Vendre au DoD des É.-U.
Ce billet a été mis à jour le 5 septembre 2024.
Cet article vous guidera à travers tout ce que vous devez savoir sur les acquisitions du ministère de la défense.
Découvrez comment les entreprises canadiennes bénéficient d’une relation unique avec le marché du DoD américain qui leur permet de rivaliser sur un pied d’égalité avec les entreprises américaines.
Laissez-nous vous aider à explorer les moyens par lesquels le gouvernement du Canada peut vous aider à remporter davantage de marchés internationaux.