Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Glossaire de la cybersécurité Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Qu'est-ce que CMMC ? Guide de certification et de conformité en cybersécurité

Qu'est-ce que CMMC ? Guide de certification et de conformité en cybersécurité

Apr 18, 2025

CMMC est un cadre de conformité en cybersécurité exigé par le DoD des États-Unis. Il définit trois niveaux de maturité (Fondamental, Avancé, Expert) basés sur la sensibilité des données traitées (FCI, CUI). Le cadre se rapporte aux normes NIST (800-171, 800-172) et exige des évaluations menées par des tiers ou par le gouvernement.


Qu'est-ce que CMMC ?

La Cybersecurity Maturity Model Certification (CMMC) est un cadre élaboré par le Département de la Défense des États-Unis (DoD) pour renforcer la posture de cybersécurité des entreprises au sein de la Base Industrielle de la Défense (DIB). Il établit des exigences de sécurité que les entrepreneurs doivent respecter pour protéger les Informations Non Classifiées Contrôlées (CUI) et les Informations sur les Contrats Fédéraux (FCI) contre les menaces cybernétiques.

Le cadre CMMC intègre des normes de sécurité issues de NIST SP 800-171, NIST SP 800-53, ISO 27001, DFARS 252.204-7012 et d'autres réglementations dans un modèle à niveaux pour garantir que les entrepreneurs de la défense se conforment aux pratiques de cybersécurité nécessaires avant de travailler avec le DoD.

Pourquoi le CMMC a été créé

Le CMMC a été introduit pour répondre aux vulnérabilités en cybersécurité dans la chaîne d'approvisionnement de la défense et garantir que tous les contractants manipulant des données sensibles du DoD suivent des protocoles de cybersécurité stricts. Les principales raisons de son introduction incluent :

  • La nécessité de renforcer la cybersécurité au sein de la DIB face à l'augmentation des menaces cybernétiques
  • Échec des organisations à mettre en œuvre correctement NIST SP 800-171, entraînant des lacunes de sécurité
  • Désir d'améliorer la responsabilité par la vérification par des tiers de la préparation à la cybersécurité
Rôle du DoD dans la conformité en cybersécurité

Le DoD joue un rôle central dans la conformité de la cybersécurité en :

  • Définition des normes de cybersécurité — Le DoD établit des politiques telles que CMMC, NIST SP 800-171 et DFARS (Defense Federal Acquisition Regulation Supplement).
  • Faire respecter la conformité — Le DoD exige que tous les entrepreneurs de la défense répondent aux exigences de cybersécurité avant de pouvoir se voir attribuer des contrats.
  • Réalisation d'audits et d'évaluations — Le DoD collabore avec des organisations d'évaluation tierces CMMC (C3PAOs) pour évaluer la préparation en cybersécurité des entrepreneurs.
  • Fournissant des orientations et des ressources — Le DoD émet des directives de cybersécurité et finance des programmes pour aider les petites et moyennes entreprises à se conformer aux normes CMMC.
  • Surveillance et réponse aux cybermenaces — Le DoD collabore avec des agences telles que la NSA, la CISA et le FBI pour atténuer les menaces pesant sur la chaîne d'approvisionnement de la défense.

Contenu connexe sélectionné :

L'évolution du CMMC : Du concept au CMMC 2.0

Avant le CMMC, les entrepreneurs de la défense devaient suivre les contrôles de sécurité NIST SP 800-171. Cependant, il n'y avait pas de vérification indépendante pour confirmer que les mesures de cybersécurité étaient correctement mises en œuvre ; les entrepreneurs devaient simplement auto-attester leur conformité. En conséquence, de nombreux entrepreneurs n'ont pas pleinement mis en œuvre les contrôles de sécurité requis, et les violations de cybersécurité dans la chaîne d'approvisionnement de la défense ont continué à augmenter.

Pour résoudre ces problèmes, le DoD a introduit le CMMC en 2019. L'objectif était de mieux protéger les données sensibles de la défense en standardisant les pratiques de cybersécurité pour tous les contractants du DoD et d'améliorer la responsabilité en exigeant une vérification indépendante de la conformité.

Principaux changements dans CMMC 2.0

En novembre 2021, le DoD a révisé le CMMC original pour simplifier la conformité et le rendre plus accessible. Les principaux changements dans le CMMC 2.0 comprennent :

  • Réduction des 5 niveaux de maturité à 3— Les trois niveaux 0 sont le Niveau 1 (Fondamental), le Niveau 2 (Avancé) et le Niveau 3 (Expert).
  • Réintroduction des auto-évaluations — Certaines organisations de niveau 1 et de niveau 2 peuvent désormais s'auto-évaluer annuellement au lieu de nécessiter une certification par un tiers. Cependant, les entrepreneurs qui gèrent des informations non classifiées à haute priorité (CUI) ont toujours besoin d'évaluations par des tiers.
  • Flexibilité dans la remédiation — Contrairement à CMMC 1.0, CMMC 2.0 permet aux organisations de soumettre des Plans d'Action & Jalons (POA&Ms), leur donnant le temps de corriger les déficiences tout en restant éligibles pour les contrats.
  • Élimination des pratiques uniques du CMMC — Le CMMC 1.0 incluait des exigences supplémentaires en matière de cybersécurité au-delà de la NIST SP 800-171. Le CMMC 2.0 les élimine et s'aligne sur les normes fédérales existantes.
  • Amélioration de la rentabilité et de l'évolutivité — L'approche rationalisée réduit les coûts pour les petites et moyennes entreprises. Les entreprises disposent désormais de directives plus claires sur ce qu'elles doivent mettre en œuvre.

Cadre et structure du CMMC

Comment CMMC s'aligne avec les normes de cybersécurité NIST

CMMC s'aligne étroitement avec les directives de cybersécurité existantes du National Institute of Standards and Technology (NIST), en particulier :

  • NIST Special Publication (SP) 800-171 — Un ensemble de 110 contrôles de sécurité qui définissent les meilleures pratiques pour protéger les CUI
  • NIST SP 800-172 — Exigences de sécurité renforcées pour la protection des informations non classifiées dans des environnements à haut risque
  • NIST Cybersecurity Framework (CSF) — Un cadre plus large pour améliorer la gestion des risques de cybersécurité à travers les industries

L'alignement garantit que les organisations qui suivent déjà NIST 800-171 auront une transition plus aisée vers la conformité CMMC.

Aperçu des trois niveaux de maturité CMMC

CMMC 2.0 définit trois niveaux de maturité en cybersécurité :

  • Le niveau 1 (Fondamental) se concentre sur les pratiques de base d'hygiène informatique.
  • Le niveau 2 (Avancé) protège les informations confidentielles en exigeant des pratiques de sécurité plus avancées.
  • Le niveau 3 (Expert) cible les entrepreneurs qui gèrent les informations confidentielles non classifiées les plus sensibles.

Niveaux de maturité CMMC et leurs exigences

Niveau 1 : Cybersécurité fondamentale

Le niveau 1 du CMMC (Fondamental) sert de point d'entrée pour les entrepreneurs du DoD. Conçu pour les organisations qui gèrent des FCI mais ne traitent pas, ne stockent pas ou ne transmettent pas de CUI, il impose le niveau le plus élémentaire d'exigences en matière de cybersécurité et nécessite seulement une auto-évaluation annuelle (aucune certification par un tiers n'est requise).

Exigences de sécurité

Les pratiques de niveau 1 du CMMC sont dérivées du Règlement d'Acquisition Fédéral (FAR) 52.204-21 (Protection de base des systèmes d'information des entrepreneurs couverts). Les 17 pratiques de sécurité se répartissent en 6 domaines, chacun avec ses propres sous-domaines :

Domaine

Sous-domaine

Contrôle d'accès (AC)

AC.1.001 : Limiter l'accès au système aux utilisateurs, appareils et processus autorisés.AC.1.002 : Authentifier ou vérifier les identités des utilisateurs, processus et appareils avant d'accorder l'accès.AC.1.003 : Restreindre l'accès au système d'information aux transactions et fonctions autorisées.

Identification et Authentification (IA)

IA.1.076 : Identifier les utilisateurs du système d'information et authentifier leur identité avant de permettre l'accès au système.

Protection des médias (MP)

MP.1.118 : Assainissez ou détruisez les FCI avant élimination.MP.1.121 : Limitez l'accès physique aux systèmes d'information organisationnels, équipements et supports.

Protection physique (PE)

PE.1.131 : Limitez l'accès physique aux systèmes et équipements d'information aux individus autorisés. PE.1.132 : Accompagnez les visiteurs et surveillez leurs activités. PE.1.133 : Maintenez des journaux d'audit d'accès physique. PE.1.134 : Contrôlez et gérez les dispositifs d'accès physique (par exemple, clés, cartes, badges).

Protection des systèmes et des communications (SC)

SC.1.175 : Surveillez, contrôlez et protégez les données transmises à travers les réseaux.SC.1.176 : Utilisez le chiffrement pour protéger les données en transit lorsque cela est nécessaire.

Intégrité du système et de l'information (SI)

SI.1.210 : Identifier et corriger les failles du système en temps opportun. SI.1.211 : Fournir une protection contre les logiciels malveillants (par exemple, logiciel antivirus). SI.1.212 : Mettre à jour régulièrement les mécanismes de protection contre les malwares. SI.1.213 : Effectuer des analyses périodiques des systèmes d'information et des analyses en temps réel des fichiers téléchargés à partir de sources externes.
Qui doit se conformer au niveau 1 du CMMC ?
  • Organisations qui gèrent des FCI mais pas de CUI
  • Les organisations qui travaillent en tant que sous-traitants dans le DIB mais ne traitent pas de données gouvernementales sensibles
  • Les organisations qui fournissent des biens ou services non critiques au DoD
Exigences d'évaluation
  • Les organisations réalisent une auto-évaluation annuelle et soumettent les résultats au DoD.
  • Aucune certification tierce n'est requise, mais la conformité doit être documentée.
  • Si elles sont choisies pour un audit, les organisations doivent fournir des preuves de la mise en œuvre des 17 pratiques de sécurité.

Niveau 2 : Protection avancée pour l'information non classifiée contrôlée

Le niveau 2 du CMMC (Avancé) est conçu pour établir une posture de cybersécurité solide afin de prévenir l'accès non autorisé aux CUI. Il est requis pour les organisations qui manipulent, traitent, stockent ou transmettent des CUI.

Exigences de sécurité

Les 110 contrôles de sécurité du Niveau 2 sont répartis en 14 domaines avec divers sous-domaines :

Domaine

Sous-domaine

1. Contrôle d'accès (AC)

Mettez en œuvre un contrôle d'accès basé sur les rôles (RBAC) pour restreindre l'accès aux informations confidentielles non classifiées (CUI). Utilisez l'authentification multifacteur (MFA) pour accéder aux systèmes sensibles. Limitez l'accès à distance et les délais d'expiration des sessions pour réduire l'exposition aux risques.

2. Sensibilisation et Formation (AT)

Menez régulièrement des formations de sensibilisation à la sécurité pour les employés qui gèrent les informations confidentielles non classifiées. Fournissez une formation sur l'identification et la réponse aux menaces cybernétiques.

3. Audit et Responsabilité (AU)

Activez la journalisation détaillée et la surveillance de l'activité du système. Conservez les journaux d'audit pour suivre les tentatives d'accès non autorisées.

4. Gestion de la configuration (CM)

Appliquez des configurations de base sécurisées pour les systèmes traitant des CUI. Surveillez et contrôlez l'installation de logiciels non autorisés.

5. Identification et Authentification (IA)

Appliquez des mots de passe forts et une authentification multifacteur pour l'accès au système.Gérez des identités d'utilisateur uniques pour suivre les interactions avec le système.

6. Réponse aux incidents (IR)

Développez et mettez en œuvre un plan de réponse aux incidents cybernétiques. Signalez et analysez les incidents de sécurité affectant les CUI.

7. Maintenance (MA)

Assurez la maintenance sécurisée des systèmes informatiques, y compris les mises à jour et les correctifs. Suivez et documentez les réparations et les changements du système.

8. Protection des médias (MP)

Contrôlez les supports physiques et numériques contenant des informations CUI. Assainissez les données CUI avant leur élimination pour prévenir les fuites de données.

9. Protection Physique (PE)

Mettez en œuvre des contrôles d'accès physiques sécurisés pour les zones de stockage des informations confidentielles non classifiées. Utilisez la surveillance des visiteurs et les journaux d'accès.

10. Sécurité du personnel (PS)

Vérifiez les employés avant de leur accorder l'accès aux CUI. Assurez-vous que les CUI sont retirés du personnel partant.

11. Évaluation des Risques (RA)

Réalisez des évaluations des risques régulières pour identifier les menaces de cybersécurité. Mettez en œuvre des stratégies d'atténuation pour réduire les vulnérabilités.

12. Évaluation de la sécurité (CA)

Effectuez des auto-évaluations et des audits de sécurité indépendants. Documentez les efforts de remédiation pour les lacunes de sécurité.

13. Protection des systèmes et des communications (SC)

Chiffrez les CUI en transit et au repos. Implémentez des pare-feu et des protocoles de communication sécurisés.

14. Intégrité du système et des informations (SI)

Surveillez le trafic réseau pour détecter toute activité suspecte. Mettez régulièrement à jour les antivirus et les systèmes de détection d'intrusion.
Qui doit se conformer au niveau 2 du CMMC ?
  • Les organisations qui manipulent, traitent ou stockent des informations confidentielles dans le cadre de contrats du DoD
  • Les organisations qui font partie de la chaîne d'approvisionnement DIB
  • Les organisations qui doivent se conformer aux exigences de sécurité NIST SP 800-171
Exigences d'évaluation

Le niveau 2 du CMMC exige que les entrepreneurs réalisent l'un des deux types d'évaluation :

  • Une évaluation par des tiers tous les 3 ans est requise pour les entrepreneurs qui gèrent des informations confidentielles critiques ; la certification est nécessaire pour être éligible aux contrats du DoD.
  • L'auto-évaluation (annuelle) est autorisée pour les sous-traitants non prioritaires présentant des risques de sécurité plus faibles. Les résultats doivent être rapportés au Supplier Performance Risk System (SPRS).

Niveau 3 : Cybersécurité de niveau expert pour les contractants à haut risque

Le niveau 3 (Expert) du CMMC représente le plus haut niveau de maturité en cybersécurité dans le cadre du CMMC 2.0. Il est conçu pour les entrepreneurs qui gèrent les informations CUI les plus sensibles dans des environnements à haut risque.

Exigences de sécurité

Le niveau 3 du CMMC s'appuie sur le niveau 2 (NIST SP 800-171) en introduisant des contrôles de sécurité supplémentaires issus du NIST SP 800-172. Ces contrôles renforcent la capacité d'une organisation à détecter, répondre et se remettre de menaces cybernétiques sophistiquées, y compris les menaces persistantes avancées (APTs).

Les domaines de sécurité renforcée dans le niveau 3 du CMMC sont fournis ci-dessous :

Domaine

Sous-domaine

1. Contrôle d'accès avancé (AC)

Mettez en œuvre une segmentation du réseau pour isoler les données sensibles. Appliquez l'least privilege access avec une surveillance dynamique. Utilisez l'authentification basée sur le comportement et les analyses d'accès.

2. Chasse aux menaces et réponse aux incidents (IR)

Mettez en place des processus proactifs de recherche de menaces. Implémentez des systèmes automatisés de détection et de réponse aux attaques. Développez une équipe d'intervention en cas d'incident (CSIRT) dédiée aux cybermenaces.

3. Protection améliorée des systèmes et des communications (SC)

Utilisez une architecture de Zero Trust (ZTA) pour une vérification continue.Mettez en œuvre un chiffrement multi-niveaux pour les CUI au repos et en transit.Utilisez des systèmes de détection d'anomalies pour identifier les intrusions cybernétiques potentielles.

4. Opérations de sécurité avancées (SI)

Déployez une surveillance de sécurité et une journalisation 24/7 avec des outils de security information and event management (SIEM). Réalisez une analyse du trafic réseau en temps réel pour la détection d'intrusions. Mettez en place des mécanismes de réponse automatisés pour neutraliser les menaces en temps réel.

5. Cyber Threat Intelligence et Risk Management (RA)

Utilisez des flux de renseignements sur les menaces cybernétiques (CTI) pour anticiper et prévenir les cyberattaques. Réalisez des évaluations des risques de sécurité continues et des tests de pénétration. Intégrez des analyses de sécurité pilotées par l'IA security analytics pour la prédiction des menaces.

6. Gestion des risques de la chaîne d'approvisionnement (SCRM)

Établissez des protocoles sécurisés de chaîne d'approvisionnement pour prévenir les attaques sur la chaîne d'approvisionnement. Mettez en œuvre des programmes d'évaluation des risques fournisseurs. Exigez que les sous-traitants répondent au niveau 2 du CMMC ou plus.
Qui doit se conformer au niveau 3 du CMMC ?
  • Les organisations qui gèrent des informations non classifiées contrôlées (CUI) cruciales pour la sécurité nationale
  • Les organisations qui travaillent sur des contrats DoD de grande valeur nécessitant une protection maximale contre les menaces d'États-nations
  • Les organisations qui soutiennent des programmes de défense critiques pour la mission
Exigences d'évaluation

Contrairement aux niveaux 1 et 2, qui impliquent des auto-évaluations ou des évaluations par des tiers, le niveau 3 du CMMC exige une évaluation dirigée par le gouvernement tous les trois ans. Réalisée par le Centre d'évaluation de la cybersécurité de la base industrielle de la défense du DoD (DIBCAC), elle nécessite une documentation extensive des contrôles de sécurité et inclut des tests d'intrusion et des scénarios simulés de menaces cybernétiques.

Conformité CMMC : Ce que cela signifie pour les entrepreneurs

Pour les entrepreneurs, la conformité CMMC est une condition préalable pour faire affaire avec le DoD. Autrement dit, ne pas atteindre le niveau de maturité en cybersécurité requis peut entraîner une inéligibilité aux contrats gouvernementaux.

Informations sur les contrats fédéraux vs. Informations non classifiées contrôlées

Comprendre la différence entre FCI et CUI est essentiel pour déterminer le niveau de conformité CMMC requis.

Tapez

Définition

Qui s'en occupe ?

Niveau CMMC requis

FCI

Informations non publiques fournies par le gouvernement américain dans le cadre d'un contrat, mais aucune donnée classifiée. Exemples : Rapports de performance de contratLivraisons de projetRegistres d'achat et de paiement

Tous les entrepreneurs du DoD qui gèrent les informations de base du contrat

CMMC Niveau 1 (Fondamental)

CUI

Informations sensibles mais non classifiées nécessitant des mesures de protection conformément à la NIST SP 800-171. Exemples : Données techniques sur l'équipement militairePlans et schémas d'ingénierieInformations contrôlées à l'exportationInformations personnelles identifiables (PII) du personnel du DoD

Des entrepreneurs travaillant sur des projets de défense impliquant des données sensibles du DoD

CMMC Niveau 2 (Avancé) ou Niveau 3 (Expert)

Processus d'évaluation CMMC et exigences de certification

Le processus de certification CMMC vérifie que les organisations se conforment aux normes de cybersécurité avant de travailler avec le DoD. La certification est requise pour pouvoir soumissionner sur les contrats du DoD.

Le type d'évaluation dépend du niveau de maturité CMMC requis pour le contrat :

CMMC Level

Type d'évaluation

Niveau 1 (Fondamental)

Auto-évaluation (annuelle)

Niveau 2 (Avancé)

Évaluation par une tierce partie (C3PAO) tous les 3 ans pour les entrepreneurs critiques ; auto-évaluation pour les autres

Niveau 3 (Expert)

Évaluation dirigée par le gouvernement (DIBCAC) tous les 3 ans

Organisations d'évaluation tierces parties certifiées

Rôle des C3PAOs

Les C3PAOs sont accrédités par l'organisme d'accréditation Cybersecurity Maturity Model Certification (CMMC-AB) pour réaliser des évaluations formelles de cybersécurité pour les entreprises cherchant à obtenir la certification CMMC Niveau 2. Ils évaluent la conformité aux exigences de sécurité du CMMC, y compris les contrôles techniques, les politiques et la documentation. Après avoir complété une évaluation, les C3PAOs soumettent leurs conclusions et recommandations au CMMC-AB pour une révision finale. Si une entreprise répond aux exigences, le CMMC-AB lui octroie la certification, valable pour trois ans.

Exigences pour les C3PAOs

Pour éviter les conflits d'intérêts, les C3PAOs ne peuvent pas agir en tant que consultants et évaluateurs pour la même entreprise. Les C3PAOs subissent des révisions et des audits réguliers pour conserver leur accréditation de la part du CMMC-AB. Ils doivent se conformer à des normes strictes de cybersécurité, y compris les exigences du Federal Risk and Authorization Management Program (FedRAMP) s'ils traitent des CUI.

Sélectionner un C3PAO

Les entreprises cherchant à obtenir la certification CMMC Niveau 2 doivent embaucher un C3PAO approuvé du CMMC Marketplace, un répertoire d'organisations d'évaluation accréditées.

Calendrier pour la mise en œuvre de CMMC et les échéances de conformité

Le DoD a publié la Règle Finale pour CMMC en octobre 2024, établissant la base pour la mise en œuvre et la conformité dans les contrats fédéraux. La règle finale du programme CMMC program rule est officiellement devenue loi le 16 décembre 2024.

Pour donner aux entrepreneurs le temps de s'adapter et d'obtenir les certifications requises avant l'application complète du CMMC, le déploiement se fera en 4 phases sur 3 ans :

Obtenir la certification CMMC

Qu'est-ce que la certification CMMC ?

Étapes pour devenir certifié CMMC

Role of Certified Third-Party Assessment Organizations (C3PAOs)

Calendrier pour la mise en œuvre de CMMC et les échéances de conformité

Préparation à une évaluation CMMC

Se préparer pour une évaluation CMMC est crucial pour les organisations qui souhaitent soumissionner ou travailler avec le DoD. Voici un résumé des exigences clés, des défis communs et des outils/ressources qui peuvent vous aider à vous préparer.

Exigences clés à satisfaire avant un audit

Avant de subir une évaluation CMMC, les organisations devraient prendre les mesures suivantes :

Processus de certification CMMC
  1. Déterminez le niveau CMMC requis.Si vous gérez des FCI (mais pas de CUI), c'est le niveau 1 ; si vous gérez des CUI, c'est le niveau 2 ou 3.
  2. Réalisez une analyse des écarts. Comparez vos politiques de cybersécurité actuelles avec les exigences CMMC pour le niveau requis. Identifiez les contrôles manquants et créez un plan de remédiation. Élaborez une documentation pour les politiques de sécurité, la réponse aux incidents et la gestion des risques.
  3. Élaborez un Plan de Sécurité du Système (SSP). Documentez comment vos politiques, procédures et contrôles de cybersécurité répondent aux contrôles requis.
  4. Créez un Plan d'Action et de Jalons (POA&M). Si des lacunes sont identifiées, définissez un plan de remédiation structuré avec des échéances pour atteindre une conformité totale.
  5. Mettez en œuvre les contrôles de sécurité requis. Appliquez des contrôles d'accès, le chiffrement, l'authentification multifacteur, la surveillance continue et d'autres mesures de sécurité en fonction de vos exigences de niveau CMMC.
  6. Effectuez une auto-évaluation. Utilisez le guide d'évaluation CMMC du DoD pour vérifier si tous les contrôles requis sont correctement mis en œuvre.
  7. Assurez-vous que la documentation de conformité est complète. Maintenez des registres détaillés de toutes les politiques, procédures et configurations des systèmes de cybersécurité pour fournir des preuves de conformité lors de l'audit.
  8. Formez les employés aux meilleures pratiques de cybersécurité. Assurez-vous que tous les membres du personnel comprennent vos politiques de sécurité et les obligations de conformité sous CMMC.

Défis courants de conformité et comment les surmonter

Atteindre la conformité CMMC peut être difficile, en particulier pour les petits et moyens entrepreneurs. Voici quelques obstacles courants et leurs solutions.

  • Documentation incomplète — Assurez-vous de créer un SSP complet détaillant les contrôles de sécurité mis en œuvre et un plan de réponse aux incidents qui décrit comment votre organisation identifiera, répondra et se remettra des incidents cyber.
  • Contrôles d'accès insuffisants — Appliquez le principe du moindre privilège en utilisant RBAC et mettez en œuvre l'authentification multifacteur dans le cadre d'un cadre de confiance zéro. Assurez-vous de mettre en place des protocoles de chiffrement appropriés.
  • Manque de surveillance continue — Surveillez les menaces en temps réel à l'aide d'outils de surveillance automatisée et de SIEM.
  • Vulnérabilités de la sécurité de la chaîne d'approvisionnement — Assurez-vous que tous vos fournisseurs et sous-traitants respectent les exigences CMMC. Incluez des clauses de cybersécurité dans leurs contrats.
  • Contraintes budgétaires — Pour mettre en œuvre les contrôles de sécurité nécessaires avec un budget serré, utilisez des outils de conformité abordables, postulez pour des subventions ou des aides financières du DoD et priorisez les lacunes de sécurité à haut risque.

Outils et ressources pour la préparation à la CMMC

Les ressources suivantes peuvent vous aider avec les tâches clés alors que vous vous préparez pour l'évaluation CMMC :

  • Approfondissez votre compréhension du CMMC — ateliers et programmes de formation CMMC
  • Évaluez la préparation de votre organisation — Outils d'auto-évaluation du CMMC Accreditation Body
  • Mettez en œuvre les contrôles requis pour la manipulation des CUI — NIST SP 800-171 Toolkit
  • Obtenez une aide complète — Des consultants accrédités CMMC peuvent vous aider à naviguer dans le processus de conformité, réaliser une analyse des écarts et vous préparer pour l'audit.

Lorsque vous êtes prêt à mettre en œuvre des contrôles de sécurité spécifiques, envisagez des outils comme les suivants :

  • Gestion de la conformité (suivre les progrès, mettre en œuvre des mesures de sécurité et générer la documentation nécessaire) — Vanta, Drata, CyberStrong
  • Surveillance en temps réel, alertes et rapports — Sumo Logic, Splunk
  • Évaluation et atténuation des risques — RiskWatch
  • Détection des faiblesses de sécurité — Tenable, Qualys, Nessus
  • Authentification forte — Okta, Microsoft Entra ID

  • Impact du CMMC sur la Base Industrielle de la Défense

Renforcement de la cybersécurité dans toute la chaîne d'approvisionnement de la défense

La DIB est composée de milliers de sous-traitants qui gèrent des informations sensibles du DoD. Une cybersécurité faible dans une seule entreprise peut créer des vulnérabilités pour l'ensemble de la chaîne d'approvisionnement.

Le CMMC exige des pratiques de cybersécurité fortes et cohérentes parmi tous les fournisseurs du DoD, ce qui aide à réduire le risque de data breaches, d'espionnage et de vol de propriété intellectuelle. Les organisations ayant des postures de cybersécurité plus faibles, telles que les petites entreprises, devront peut-être améliorer leurs mesures de sécurité pour répondre aux exigences du CMMC.

La conformité devient une exigence pour les contrats du DoD

La certification CMMC est en cours d'intégration dans les contrats du DoD jusqu'en 2026 et deviendra finalement obligatoire pour toute entreprise faisant affaire avec le DoD. Cela aura plusieurs effets sur le DIB :

  • Les sous-traitants doivent investir dans la conformité ou risquer de perdre des contrats du DoD.
  • Les entreprises certifiées CMMC obtiennent un avantage concurrentiel pour sécuriser des contrats.

Impact financier et opérationnel sur les entrepreneurs de la défense

Obtenir la certification CMMC implique souvent une variété de dépenses, y compris les suivantes :

  • Consultants en cybersécurité pour aider à concevoir et mettre en œuvre des contrôles de sécurité
  • Les investissements dans la technologie, tels que le chiffrement, l'authentification multifacteur et les outils de surveillance
  • Augmentation de la charge de travail informatique pour développer, documenter et gérer les politiques et contrôles de sécurité
  • Formation pour tout le personnel
  • Évaluations : Les évaluations de niveau 2 et de niveau 3 par les C3PAOs peuvent varier de 10 000 $ à plus de 100 000 $, selon la taille et la complexité de l'entreprise, et sont requises tous les trois ans ; l'auto-évaluation de niveau 1 (annuelle) peut être réalisée à moindre coût mais nécessite toujours de la documentation.
  • Amendes pour non-conformité
  • Revenus manqués suite à la perte de contrats

Les principaux impacts sur le DIB incluront probablement les éléments suivants :

  • Les grands entrepreneurs s'adapteront rapidement tandis que les petites entreprises pourraient avoir du mal à obtenir la certification.
  • La demande en professionnels de la cybersécurité et consultants CMMC va augmenter.
  • Les coûts de conformité peuvent entraîner une consolidation accrue.

Sécurité de la chaîne d'approvisionnement & gestion des fournisseurs plus stricte

Dans le cadre de CMMC, les entrepreneurs principaux doivent s'assurer que tous les sous-traitants répondent aux exigences du niveau CMMC nécessaire — les entreprises doivent évaluer la sécurité des fournisseurs avant de former des partenariats.

La demande accrue pour des fournisseurs conformes au CMMC donnera aux entreprises conformes un avantage concurrentiel. Cependant, la réduction potentielle du nombre de sous-traitants éligibles pourrait nuire à la flexibilité de la chaîne d'approvisionnement.

Avantage concurrentiel pour les premiers adoptants

Les entreprises qui obtiennent la certification CMMC en avance acquerront un avantage stratégique sur leurs concurrents pour sécuriser les contrats et partenariats du DoD. En fait, les premiers adoptants domineront probablement les opportunités de contrats du DoD.

L'avenir du CMMC et de la conformité en cybersécurité

CMMC continuera à évoluer. Les versions futures de CMMC pourraient introduire :

  • Plus d'exigences concernant l'automatisation et la surveillance continue
  • Obligations d'adopter les principes de sécurité Zero Trust
  • Exigences pour utiliser des fournisseurs de services cloud sécurisés (par exemple, FedRAMP High)
  • Applicabilité aux secteurs gouvernementaux au-delà du DoD

Pour rester en tête, les organisations devraient :

  • Surveillez les mises à jour provenant du Bureau du DSI du DoD et de Cyber AB.
  • Rejoignez des groupes de travail, assistez à des journées industrielles et participez à des webinaires.
  • Maintenez des programmes de cybersécurité flexibles capables de s'adapter à de nouvelles exigences.

Pensez au-delà du DoD : Préparez-vous pour les futures réglementations

Les modèles de maturité en cybersécurité tels que CMMC gagnent rapidement en pertinence bien au-delà du DoD. Voici quelques informations sur pourquoi et où ces modèles se développent, et ce que cela signifie pour les entreprises.

Expansion du paysage réglementaire

Alors que le CMMC a commencé comme une initiative du DoD, d'autres agences fédérales et secteurs commencent à adopter des modèles similaires pour gérer le risque cybernétique dans leurs chaînes d'approvisionnement. Les agences qui font maintenant référence à la NIST SP 800-171 ou qui examinent des cadres alignés sur le CMMC dans leurs propres contrats incluent :

  • GSA (Administration des services généraux)
  • DHS (Département de la Sécurité intérieure)
  • DOE (Département de l'Énergie)
  • NASA (National Aeronautics and Space Administration)
Le secteur commercial prend note

Les industries telles que la finance, la santé, l'énergie et la fabrication sont soumises à une pression croissante pour sécuriser leurs écosystèmes numériques. Les facteurs qui stimulent ce changement incluent les suivants :

  • Les attaques par rançongiciel et les attaques sur la chaîne d'approvisionnement sont en hausse.
  • Les clients, investisseurs et assureurs exigent des preuves de maturité cybernétique.
  • Les organismes de réglementation tels que la SEC, l'HIPAA et la NERC renforcent les règles de sécurité et de rapport.
La maturité cybernétique comme un avantage concurrentiel

Les organisations qui adoptent des modèles de maturité structurés peuvent :

  • Gagnez plus de contrats en prouvant qu'ils sont sécurisés et conformes
  • Négociez de meilleures primes d'assurance cyber
  • Instaurez la confiance avec les partenaires et les clients
  • Répondez plus rapidement aux audits, incidents et changements réglementaires
Implications juridiques et d'assurance

Les fournisseurs d'assurance cyber et les équipes juridiques utilisent de plus en plus les niveaux de maturité cyber pour :

  • Définissez les taux de politique
  • Évaluez la responsabilité et l'exposition aux risques
  • Gérez la réponse aux violations et les litiges

Les entreprises disposant d'une documentation claire, de contrôles testés et d'un modèle de maturité établi sont bien plus défendables en cas d'incident cybernétique.

Vers des normes mondiales

L'alignement international se renforce également. Des pays et des alliances comme l'OTAN explorent ou adoptent des modèles de type CMMC pour sécuriser leurs propres chaînes d'approvisionnement de défense et d'infrastructures critiques.

Les mouvements notables incluent :

  • Cyber Essentials Plus du Royaume-Uni
  • Directive NIS2 de l'UE
  • Intégrations de maturité ISO/IEC 27001
  • Les entreprises multinationales adoptent des cadres NIST à l'échelle mondiale

Conclusion

Le CMMC est un cadre essentiel car il établit une approche normalisée et exécutoire pour protéger les données gouvernementales sensibles à travers la chaîne d'approvisionnement de la défense. Il transforme la cybersécurité d'une fonction informatique réactive en une responsabilité proactive à l'échelle de l'organisation.

La conformité CMMC n'est plus une option — c'est une nécessité concurrentielle. Les organisations des secteurs public et privé qui adoptent une approche proactive dès maintenant ne répondront pas seulement aux exigences du DoD, mais se positionneront également comme des partenaires fiables et résilients.

FAQ

Que fait CMMC ?

CMMC est l'acronyme de Cybersecurity Maturity Model Certification. Il définit des pratiques spécifiques de cybersécurité et des niveaux de maturité que les entrepreneurs du DoD doivent respecter, en fonction de la sensibilité des données qu'ils manipulent. Sécuriser correctement les informations non classifiées contrôlées (CUI) et les informations des contrats fédéraux (FCI) renforce la sécurité de la Base Industrielle de la Défense (DIB).

Quelle est la différence entre CMMC et NIST ?

Alors que CMMC et le National Institute of Standards and Technology (NIST) sont étroitement liés dans le monde de la cybersécurité — en particulier pour les entrepreneurs de la défense — ils servent à des fins différentes. Voici les principales différences.

Fonctionnalité

CMMC

NIST

Objectif

Un cadre de certification pour vérifier les pratiques de cybersécurité des entrepreneurs du DoD

Une agence gouvernementale qui développe des normes et des directives, y compris des contrôles de cybersécurité

Concentrez-vous

Assure la conformité et la certification pour la protection des CUI et FCI dans la Base Industrielle de la Défense

Fournit des normes techniques telles que NIST SP 800-171 pour la gestion des risques de cybersécurité

Obligatoire ?

Oui, pour les contrats du DoD qui exigent la manipulation de données sensibles (une fois entièrement mis en œuvre)

Indirectement — NIST SP 800-171 est requis par DFARS 7012, mais ce n'est pas une certification

Type d'évaluation

Nécessite des auto-évaluations ou une certification par un tiers en fonction du niveau de maturité applicable

Aucune certification formelle ; les organisations mettent en œuvre et attestent elles-mêmes des exigences du NIST

Structure

Définit 3 niveaux de maturité avec une rigueur en cybersécurité croissante

Utilise des familles de contrôles (comme les 110 contrôles dans NIST SP 800-171)
Quels sont les 3 niveaux CMMC ?

Les trois niveaux de maturité définis dans CMMC 2.0 sont :

Niveau 1 : Fondamental

Se concentre sur la protection de base de FCIBasé sur 17 pratiques de FAR 52.204-21Auto-évaluation annuelleObligatoire pour les entrepreneurs travaillant avec le gouvernement fédéral mais ne manipulant pas de CUI

Niveau 2 : Avancé

Se concentre sur la protection des informations confidentielles non classifiées (CUI) Basé sur 110 contrôles du NIST SP 800-171 Évaluation par un tiers (tous les 3 ans) pour les travaux critiques de sécurité nationale ; auto-évaluation annuelle pour les programmes à moindre risque Requis pour la plupart des entrepreneurs de la défense manipulant des CUI

Niveau 3 : Expert

Se concentre sur la protection des informations confidentielles non classifiées dans les programmes de défense critiques et prioritairesBasé sur le NIST SP 800-171 ainsi qu'un sous-ensemble du NIST SP 800-172Évaluation dirigée par le gouvernementNécessaire pour les grands contractants ou ceux impliqués dans des travaux hautement sensibles

Consultez la section Détail des niveaux et exigences CMMC pour une discussion détaillée des trois niveaux.

Comment une organisation peut-elle obtenir la certification CMMC ?

Obtenir la certification CMMC implique un processus structuré pour évaluer et valider les pratiques de cybersécurité de votre organisation :

  1. Déterminez quel niveau (1, 2 ou 3) vos contrats ou travaux attendus exigent.
  2. Comparez votre posture de cybersécurité actuelle aux exigences de votre niveau cible pour identifier les contrôles manquants, les lacunes de documentation et les problèmes de processus.
  3. Développez un Plan de Sécurité du Système (SSP) et un Plan d'Action et de Jalons (POA&M).
  4. Mettez en œuvre les contrôles de sécurité requis.
  5. Faites appel à un C3PAO (pour les évaluations de niveau 2).
  6. Passez l'évaluation.

Consultez les sections Processus d'évaluation CMMC et Exigences de certification et Préparation à une évaluation CMMC pour plus de détails.

La certification CMMC en vaut-elle la peine ?

Oui, la certification CMMC est absolument avantageuse pour de nombreuses organisations, en particulier celles qui travaillent ou cherchent à travailler avec le Département de la Défense des États-Unis (DoD) et d'autres agences fédérales. Les principales raisons incluent ce qui suit :

  • Le CMMC est requis pour soumissionner et remporter de nombreux contrats du DoD.
  • CMMC vous aide à identifier et à combler les lacunes de votre sécurité. En conséquence, vous pouvez réduire le risque de violations de données et de temps d'arrêt dus à des causes telles que les rançongiciels, le hameçonnage et les attaques sur la chaîne d'approvisionnement.
  • Être certifié vous distingue des concurrents qui ne sont pas conformes — même dans le secteur privé.
  • CMMC s'aligne sur les normes NIST qui sont adoptées au-delà du DoD. Par conséquent, en devenant conforme au CMMC, vous serez mieux positionné pour les futures réglementations fédérales, étatiques et industrielles.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

Derniers blogs

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité