CMMC
Qu'est-ce que CMMC ?
CMMCProgramme de certification du Département de la Défense américain qui vérifie que les contractants de la base industrielle de défense disposent de contrôles de cybersécurité adéquats.
La Cybersecurity Maturity Model Certification (CMMC) est un programme du DoD qui impose aux contractants de la Defense Industrial Base (DIB) traitant des Federal Contract Information (FCI) ou des Controlled Unclassified Information (CUI) de démontrer la conformité à des exigences de cybersécurité avant l'attribution d'un contrat. CMMC 2.0 comprend trois niveaux : Niveau 1 (Foundational, 17 pratiques issues du FAR, auto-évaluation annuelle), Niveau 2 (Advanced, 110 pratiques du NIST SP 800-171, évaluation par une C3PAO pour la plupart des contrats avec CUI) et Niveau 3 (Expert, ajout des contrôles NIST SP 800-172, évalué par la DIBCAC). Le programme est imposé via la clause DFARS 252.204-7021, avec un déploiement progressif dans les contrats du DoD.
● Exemples
- 01
Un sous-traitant de défense réalisant une évaluation C3PAO pour atteindre le Niveau 2 avant de répondre à un marché impliquant des CUI.
- 02
Un fournisseur de pièces effectuant l'auto-évaluation Niveau 1 pour un contrat ne comportant que des FCI.
● Questions fréquentes
Qu'est-ce que CMMC ?
Programme de certification du Département de la Défense américain qui vérifie que les contractants de la base industrielle de défense disposent de contrôles de cybersécurité adéquats. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie CMMC ?
Programme de certification du Département de la Défense américain qui vérifie que les contractants de la base industrielle de défense disposent de contrôles de cybersécurité adéquats.
Comment se défendre contre CMMC ?
Les défenses contre CMMC combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de CMMC ?
Noms alternatifs courants : Cybersecurity Maturity Model Certification.