Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesListe de contrôle
Liste de contrôle de conformité CMMC : Votre guide essentiel pour la conformité CMMC 2.0

Liste de contrôle de conformité CMMC : Votre guide essentiel pour la conformité CMMC 2.0

Lorsque les organisations font des affaires avec le gouvernement fédéral, elles créent ou gèrent souvent des données sensibles. Pour assurer la sécurité de ces données, le Département de la Défense (DoD) a créé la Certification du Modèle de Maturité en Cybersécurité (CMMC). Le cadre CMMC est obligatoire pour les entreprises de la Base Industrielle de la Défense (DIB) et celles qui cherchent à obtenir un contrat avec le DoD.

Le CMMC a été mis à jour vers la version 2.0 en 2021. Les organisations qui ne se conforment pas au CMMC 2.0 risquent de compromettre leurs contrats avec le DoD, ce qui rend essentielle la compréhension des modifications apportées au cadre. Une liste de contrôle de conformité CMMC peut servir d'outil utile aux organisations pour naviguer efficacement dans ces mises à jour.

Cette liste de contrôle de conformité CMMC pour la version 2.0 peut vous aider à commencer votre chemin vers la conformité. Notez qu'elle n'est pas une source exhaustive sur toutes les étapes impliquées et que vous devez consulter une organisation de fournisseurs enregistrés CMMC (RPO) pour obtenir votre certification CMMC.

Comprendre le CUI et le FCI

Un glossaire des termes clés est fourni à la fin de cette liste de vérification d'audit CMMC, mais deux termes que les organisations doivent comprendre pour suivre cette liste sont CUI et FCI:

  • CUI (informations non classifiées contrôlées) — « Informations que le gouvernement crée ou possède, ou qu'une entité crée ou possède pour ou au nom du gouvernement, qu'une loi, un règlement ou une politique gouvernementale exige ou autorise une agence à gérer en utilisant des contrôles de protection ou de diffusion. »
  • FCI (Informations sur les contrats fédéraux) — "informations, non destinées à la diffusion publique, qui sont fournies par ou générées pour le Gouvernement dans le cadre d'un contrat pour développer ou fournir un produit ou service au Gouvernement, mais n'incluant pas les informations fournies par le Gouvernement au public."

Pour atteindre la conformité CMMC, les organisations doivent stocker, transférer et traiter les informations CUI et FCI de manière appropriée, en suivant les contrôles CMMC nécessaires.

Objectifs CMMC

Le CMMC est un programme de formation, de certification et d'évaluation en cybersécurité qui vise à garantir que les entrepreneurs de la DIB gèrent le CUI de manière sécurisée. Cela inclut le flux de données vers les sous-traitants dans la chaîne d'approvisionnement.

Les exigences clés incluent les éléments suivants :

  • Protégez les informations sensibles grâce à des pratiques de cybersécurité adéquates, souvent en utilisant un modèle de « confiance mais vérification » qui s'aligne avec la CMMC controls list.
  • Renforcez continuellement les pratiques de cybersécurité existantes afin de suivre l’évolution du paysage des menaces.
  • Assurez la responsabilité à travers l'organisation afin que les erreurs puissent être identifiées et résolues.
  • Facilitez la conformité aux exigences du DoD.
  • Favoriser une culture collaborative qui donne la priorité à la cybersécurité et à la cyber-résilience.
  • Maintenez la confiance du public grâce aux normes professionnelles, éthiques et de transparence les plus élevées.

Le CMMC s'aligne avec NIST SP 800-171 et NIST SP 800-172, donc les entreprises cherchant à obtenir la certification CMMC devraient se familiariser avec ces normes et examiner attentivement la liste des contrôles CMMC 2.0.

CMMC 1.0 vs CMMC 2.0 : Principales différences

Les principales différences entre CMMC 1.0 et CMMC 2.0 sont :

  • Moins de niveaux — Le niveau de certification CMMC qu'une organisation obtient peut déterminer le type de contrat pour lequel elle est éligible. CMMC 1.0 définissait cinq niveaux ; CMMC 2.0 n'en a que trois : Niveau 1 Fondamental, Niveau 2 Avancé et Niveau 3 Expert.
  • Réduction des coûts d'évaluation — CMMC 2.0 permet à toutes les organisations de niveau 1 et à certaines organisations de niveau 2 de démontrer leur conformité par auto-évaluation, ce qui élimine les coûts des évaluations par une Organisation d'Évaluation Certifiée par un Tiers (C3PAO).
  • Responsabilité accrue — Les évaluations par des tiers doivent désormais répondre à des normes professionnelles et éthiques plus élevées.
  • Plus de flexibilité — CMMC 2.0 permet à certaines entreprises d'obtenir la certification via un Plan d'Action et de Jalons (POA&M). Il permet également au gouvernement de délivrer des dérogations dans certaines circonstances.
  • Suppression des sections « Capacités » et « Processus » — Dans CMMC 1.0, les Capacités couvraient les objectifs liés à l'hygiène en cybersécurité, tandis que la section Processus traitait des flux de travail, politiques, contrôles de sécurité et autres méthodes pour démontrer la progression vers un objectif de cybersécurité.

Quand la conformité CMMC est-elle requise ?

Le CMMC 2.0 a été annoncé en novembre 2021 et devait être mis en œuvre d'ici novembre 2023. La date a été repoussée, mais le CMMC 2.0 arrive dès 2025, donc il est conseillé aux organisations de ne pas retarder les changements nécessaires pour obtenir la certification CMMC 2.0 et pour répondre aux exigences de la liste de contrôle du niveau 2 du CMMC.

À quelles organisations s'applique le CMMC ?

Le CMMC s'applique principalement aux organisations au sein du DIB, qui comprend plus de 300 000 entreprises et universités participant à la fabrication d'équipements pour les Forces Armées des États-Unis. Cela inclut, mais n'est pas limité à :

  • Contractants
  • Sous-traitants
  • Personnel d'ingénierie
  • Ressources de la chaîne d'approvisionnement
  • Recherche et développement (R&D)

Les entrepreneurs DIB peuvent obtenir un niveau de certification CMMC particulier sur l'ensemble de leur réseau ou simplement pour certaines parties de celui-ci, en fonction de leurs processus de stockage de CUI et de FCI. Cependant, il est généralement recommandé de maintenir un niveau uniforme de conformité afin que tous les segments du réseau puissent communiquer et partager des données sans risque de violation de la conformité, comme décrit dans une liste de vérification d'audit CMMC détaillée.

Contracteurs et CMMC 2.0

CMMC 2.0 exige que les principaux entrepreneurs du DoD effectuent une auto-évaluation de leur mise en œuvre des pratiques NIST SP 800-171. Ils peuvent le faire via la NIST SP 800-171 DoD Assessment Methodology.

Pour maintenir la continuité sur l'ensemble de la chaîne d'approvisionnement, ils peuvent demander que les sous-traitants fassent de même. L'évaluation génère un score que les entrepreneurs doivent soumettre au Supplier Performance Risk System (SPRS). Pour qu'une évaluation obtienne une note de "moyen" ou "élevé", elle doit être effectuée par le DoD plutôt que par auto-évaluation.

Quels sont les domaines et pratiques CMMC ?

Les exigences de cybersécurité de CMMC se répartissent dans les 17 domaines suivants, chacun avec des contrôles CMMC spécifiques à suivre :

  • Contrôle d'accès (AC)
  • Réponse aux incidents (IR)
  • Gestion des risques (RM)
  • Gestion des accès (AM)
  • Maintenance (MA)
  • Évaluation de la sécurité (CA)
  • Sensibilisation et formation (AT)
  • Protection des médias (MP)
  • Audit et Responsabilité (AU)
  • Sécurité du personnel (PS)
  • Système et Communications (SC)
  • Gestion de la configuration (CM)
  • Protection physique (PE)
  • Intégrité du système et de l'information (SI)
  • Identification et Authentification (IA)
  • Récupération (RE)
  • Conscience situationnelle (SA)

Les normes NIST SP 800-171 et NIST SP 800-172 énumèrent les pratiques de cybersécurité pour ces domaines. Ceux qui recherchent un niveau de certification CMMC spécifique doivent suivre les pratiques établies dans la norme correspondante.

Quels sont les niveaux de conformité CMMC ?

Votre niveau de conformité CMMC détermine votre éligibilité pour certains contrats gouvernementaux. CMMC 2.0 définit trois niveaux :

CMMC Niveau 1 : Fondamental

Ce niveau est généralement le mieux adapté aux entreprises qui gèrent des FCI ou d'autres données nécessitant une protection mais qui ne sont pas essentielles pour la sécurité nationale. Une liste de contrôle CMMC Niveau 1 comprend la vérification que votre entreprise adhère aux 17 pratiques définies dans le NIST SP 800-171 et peut démontrer sa conformité par des auto-évaluations.

CMMC Niveau 2 : Avancé

Ce niveau est destiné aux organisations qui gèrent des informations non classifiées contrôlées (CUI) en plus des informations contractuelles (FCI). Une liste de vérification de niveau 2 CMMC implique la mise en œuvre de 110 pratiques (et non seulement 17) NIST SP 800-171 et de subir des évaluations triennales d'un C3PAO.

CMMC Niveau 3 : Expert

Le plus haut niveau de certification dans CMMC 2.0 est destiné aux entreprises impliquées dans des programmes gouvernementaux de haut niveau et vise à protéger leur CUI contre les menaces persistantes avancées (APTs). Une liste de contrôle de niveau 3 CMMC incluant le suivi des 110+ pratiques avancées de NIST SP 800-172 et la réussite des évaluations triennales du gouvernement plutôt que d'un C3PAO.

Récapitulatif

Le tableau suivant résume les principales différences entre les trois niveaux dans CMMC 2.0 :

Exigences

Pour les entreprises avec

Évaluations

Niveau 1 : Fondamental

17 pratiques

FCI (non critique pour la sécurité nationale)

Auto-évaluation annuelle

Niveau 2 : Avancé

110 pratiques alignées sur NIST SP 800-171

CUI

Triennale par C3PAO

Niveau 3 : Expert

Plus de 110 pratiques basées sur le NIST SP 800-172

CUI, programmes les plus sensibles

Tous les trois ans par le gouvernement

Comment mon organisation peut-elle commencer à se conformer à la CMMC ?

La première étape cruciale dans votre parcours de conformité au Cybersecurity Maturity Model est de découvrir où se trouve le CUI dans votre environnement, qui peut y accéder et comment vous l'utilisez. Des solutions comme Netwrix Auditor et Netwrix Data Classification peuvent vous aider à effectuer ces tâches cruciales de manière précise et efficace.

Pour plus d'informations, consultez la FAQ sur le site web du Secretary of Defense. Vous pouvez également y soumettre des questions, et le bureau concerné répondra par e-mail.

Glossaire

  • AB — Organisme d'accréditation
  • C3PAO — Organisation d'évaluation tierce partie certifiée
  • CUI — Information non classifiée contrôlée
  • DFARS — Règlement fédéral d'acquisition de la défense
  • DIB — Base industrielle de la défense
  • FCI — Informations sur les contrats fédéraux
  • OSC — Organisation en quête de certification
  • POAM — Plan d'actions et de jalons
  • RPO — Organisation de Fournisseurs Enregistrés
  • SSP — Plan de Sécurité du Système

FAQ

Qu'est-ce que l'Information Contrôlée Non Classifiée (CUI) ?

Le CUI est une information que le gouvernement crée ou possède, ou qu'une entité crée ou possède pour ou au nom du gouvernement, qu'une loi, un règlement ou une politique gouvernementale exige ou permet à une agence de manipuler en utilisant des contrôles de protection ou de diffusion.

Qu'est-ce que CMMC ?

La Cybersecurity Maturity Model Certification (CMMC) est une norme pour la mise en œuvre de la cybersécurité à travers la base industrielle de la défense et la quantification du niveau de maturité en cybersécurité d'une organisation. Le cadre CMMC offre une assurance accrue au DoD qu'une entreprise de la DIB a mis en place des pratiques de cybersécurité appropriées pour protéger les FCI et les CUI.

Pourquoi le CMMC 2.0 a-t-il été créé ?

Le DoD migre vers le nouveau cadre CMMC pour améliorer et mieux évaluer la posture de cybersécurité des organisations DIB.

Y a-t-il un CMMC 3.0 ?

Une troisième version du cadre CMMC est en cours de développement.

Les contrats non-DoD utiliseront-ils CMMC ?

La mise en œuvre initiale du CMMC 2.0 ne se fera que dans le DoD et suivra la clause DFARS 252.204-7021.

Quelle est la relation entre NIST et CMMC ?

Le niveau 2 du CMMC 2.0 exige que les entreprises répondent aux 110 exigences de sécurité spécifiées dans le NIST SP 800-171. Le niveau 3 nécessite un sous-ensemble des pratiques du NIST SP 800-172.

Qu'est-ce qu'une Organisation d'Évaluation Tierce Partie CMMC (C3PAO) ?

Les C3PAOs sont responsables de la réalisation de certaines évaluations CMMC et de la délivrance des certificats CMMC appropriés en fonction des résultats. Les C3PAOs autorisés et accrédités sont répertoriés sur le site web du CMMC-AB Marketplace.

Comment une organisation peut-elle être certifiée en utilisant un C3PAO ?

L'entreprise sélectionne l'un des C3PAOs sur le site web du CMMC-AB Marketplace et collabore avec lui pour planifier l'évaluation CMMC. Le C3PAO fournira un rapport d'évaluation ; s'il n'y a pas de lacunes, il délivrera un certificat CMMC pour le niveau de certification approprié. Le C3PAO soumettra également une copie du rapport d'évaluation et du certificat CMMC au DoD.

À quelle fréquence une organisation doit-elle être réévaluée ?

En général, un certificat CMMC est valide pendant trois ans.

Si mon organisation possède une certification CMMC et que mon réseau non classifié est compromis, est-ce que je perds ma certification ?

Un incident de cybersécurité n'entraînera pas automatiquement la perte de la certification CMMC pour une entreprise DIB. Selon les circonstances de l'incident, le gestionnaire de programme du DoD peut ordonner une réévaluation.

Mon organisation ne gère pas les CUI. Dois-je quand même être certifié ?

Si une entreprise DIB ne possède pas, ne stocke pas ou ne transmet pas de CUI mais possède des FCI, elle doit répondre à la clause FAR 52.204-21 et obtenir au minimum une certification CMMC Niveau 1.

Les entreprises qui produisent uniquement des produits commerciaux disponibles sur étagère (COTS) n'ont pas besoin d'une certification CMMC.

Si mon organisation est un sous-traitant sur un contrat du DoD, doit-elle être certifiée ?

Si le contrat du DoD comporte une exigence CMMC et que votre entreprise ne produit pas uniquement des produits COTS, vous aurez besoin d'un certificat CMMC. Le niveau du certificat CMMC dépend du type et de la nature des informations provenant de votre entrepreneur principal.

Comment saurai-je quel niveau CMMC est requis pour un contrat ?

Le DoD précisera le niveau CMMC requis dans chaque Demande d'Information (RFI) et Demande de Propositions (RFP).

Cartographie de la conformité CMMC de Netwrix

Identifiez, priorisez et atténuez les risques pour le CUI et le FCI afin de renforcer la sécurité des données réglementées par le CMMC

Obtenir une cartographie de conformité CMMC

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management