EN
Linkedin Twitter Facebook Youtube
Contactez nous

CMMC 2.0 – Connaître l’évolution de la certification de la DoD en matière de cybersécurité

La CMMC 2.0 simplifie les exigences du département de la Défense des États-Unis (DoD) en matière de cybersécurité en les ramenant à trois niveaux et en les alignant sur les normes de cybersécurité du NIST, bien connues et largement acceptées. Dans cet article, nous examinons les principes de base de la CMMC 2.0 et leur impact sur les contrats canadiens avec le DoD.

Les entreprises canadiennes des secteurs de la défense savent déjà que des pratiques rigoureuses en matière de traitement des renseignements sensibles sont d’une importance capitale. La nouvelle certification de cybersécurité exigée de tous les contractants du département de la Défense des États-Unis (CMMC) signifie que la façon dont vous protégez vos données déterminera si vous pouvez accéder aux opportunités lucratives du marché de l’armée américaine.

Qu’est-ce que la CMMC?

La Certification du modèle de maturité de la cybersécurité (CMMC) est un cadre conçu pour améliorer les pratiques des entreprises en matière de cybersécurité avec le DoD. Elle a été élaborée pour faire face aux menaces croissantes de cyberattaques et protéger les renseignements et les données sensibles associés aux contrats de défense.

La CMMC combine de nombreuses normes de cybersécurité différentes – notamment celles du National Institute of Standards and Technology (NIST), de l’Organisation internationale de normalisation (ISO), de l’Aerospace Industries Association et d’autres – en un standard unique et unifié pour la cybersécurité. Pour le DoD des É.-U., il s’agit d’un mécanisme plus simple d’évaluation et de vérification de la préparation des contractants en matière de cybersécurité, y compris de leur capacité à protéger les renseignements stockés dans leurs réseaux et transmis par ceux-ci.

Pour se conformer aux exigences de la CMMC, les organisations doivent se soumettre à des évaluations de leurs pratiques en matière de cybersécurité et attribuer un niveau de maturité en s’appuyant sur les résultats obtenus. Le niveau de maturité spécifique requis dépend de l’implication de l’organisation avec les contrats du DoD et de la sensibilité des renseignements qu’ils traitent.

Qu'est-ce que l'information protégée?

Conformément à la section 4.1901 du Federal Acquisition Regulation (FAR), les Federal Contract Information (FCI) sont définies comme des informations, non destinées à être rendues publiques, qui sont fournies par ou générées pour le gouvernement dans le cadre d’un contrat visant à développer ou à livrer un produit ou un service au gouvernement, à l’exclusion des informations fournies par le gouvernement au public (telles que celles figurant sur les sites web publics) ou des simples informations transactionnelles, telles que celles nécessaires au traitement des paiements.

Les informations non classifiées contrôlées (CUI) sont des informations que le gouvernement crée ou possède, ou qu’une entité crée ou possède pour le gouvernement ou en son nom, et qu’une loi, un règlement ou une politique gouvernementale exige ou autorise une agence à traiter en utilisant des contrôles de sauvegarde ou de diffusion. Le registre CUI fournit des informations sur les catégories et sous-catégories spécifiques de CUI et peut être consulté sur les sites web des Archives nationales et du DoD.

À propos de la CMMC 2.0

La CMMC 2.0 est essentiellement axée sur la protection et la sécurisation des informations des contrats fédéraux (Federal Contract Information, FCI) et des informations non classifiées contrôlées (Controlled Unclassified Information, CUI). Il exige des organisations qu’elles adhèrent à des processus et procédures visant à protéger leurs données contre les acteurs malveillants.


Le programme de la CMMC 2.0 comprend trois éléments clés :

 

  • Modèle à plusieurs niveaux : La CMMC exige que les entreprises auxquelles sont confiées des informations relatives à la sécurité nationale mettent en œuvre des normes de cybersécurité à des niveaux progressivement avancés, en fonction du type et de la sensibilité de ces informations. Le programme prévoit également un processus pour exiger la protection de l’information qui est transmise aux sous-traitants.
  • Exigence en matière d’évaluation : Les évaluations de la CMMC permettent au DoD de vérifier la mise en œuvre de normes de cybersécurité claires.
  • Mise en œuvre par le biais de contrats : Une fois la CMMC pleinement mise en œuvre, certains contractants du DoD qui traitent des informations sensibles non classifiées du DoD seront tenus d’atteindre un niveau particulier de la CMMC comme condition d’attribution du contrat.

Dans les sections ci-dessous, nous fournissons plus d’informations sur ces caractéristiques.

Modèle CMMC 2.0

Avec la mise en œuvre de la CMMC 2.0, le DoD réduit le nombre de niveaux de 5 niveaux progressifs à 3 niveaux progressifs. À titre d’information, le DoD a publié le modèle CMMC 2.0 pour tous les niveaux, les guides d’évaluation associés et les lignes directrices relatives.

CMMC 1.0

5 niveaux de plus en plus progressifs :

  • Niveau 1 –Cyber hygiène de base
  • Niveau 2 –Cyber hygiène intermédiaire
  • Niveau 3 –Cyber hygiène
  • Niveau 4 –Proactif
  • Niveau 5 –Avancé/Proactif

CMMC 2.0

3 niveaux de plus en plus progressifs :

  • Niveau 1 (identique au niveau 1 précédent)
  • Niveau 2 (niveau 3 précédent)
  • Niveau 3 (niveau 5 précédent)

En raison de l’alignement de la CMMC sur les normes du NIST, les exigences du DoD continueront d’évoluer au fur et à mesure des changements apportés aux exigences sous-jacentes des normes NIST SP 800-171 et NIST SP 800-172.

CMMC 2.0 – Évaluations

La CMMC 2.0 met en œuvre des exigences d’évaluation de niveau s’appuyant sur la sensibilité des informations partagées avec un contractant. Contrairement à la CMMC 1.0, qui exigeait de tous les contractants du DoD qu’ils fassent l’objet d’une évaluation de la CMMC par une tierce partie, pour la mise en œuvre de la CMMC 2.0 :

  • Les contractants qui ne traitent pas d’informations critiques pour la sécurité nationale (niveau 1 et un sous-ensemble du niveau 2) devront procéder à des auto-évaluations annuelles par rapport à des normes de cybersécurité clairement formulées. Il n’est pas nécessaire d’obtenir une cote, mais plutôt une mention « MET » ou « NOT MET ».
  • Les contractants qui gèrent des informations critiques pour la sécurité nationale doivent faire l’objet d’évaluations de la CMMC niveau 2 par une tierce partie.
  • Les programmes de défense critiques (niveau 3), les plus prioritaires, seront gérés exclusivement par la DCMA DIBCAC tous les 3 ans et les affirmations annuelles.

CMMC 1.0

Exigences de tous les contractants du DoD en matière d’évaluation de la conformité à la CMMC par une tierce partie

CMMC 2.0

  • Permet à la majorité des contractants, associés au niveau 1 et à un sous-ensemble d’exigences de niveau 2 de la CMMC, de procéder à des auto-évaluations annuelles.
  • Certaines exigences de niveau 2 de la CMMC doivent être satisfaites au moyen d’évaluations triennales effectuées par des tiers.
  • Les programmes de niveau 3 devront faire l’objet d’évaluations régulières.  

Niveaux 1 et 2 – Auto-évaluation annuelle

Pour les niveaux 1 et 2 de la CMMC 2.0, qui ne concernent pas des informations critiques pour la sécurité nationale, des auto-évaluations par rapport aux 15 exigences de sauvegarde définies dans la clause 52.204-21 de la FAR suffiront. Ces auto-évaluations devront être effectuées chaque année et accompagnées d’une déclaration annuelle d’un haut responsable de l’entreprise attestant que celle-ci rencontre les exigences.

Pour le niveau 1, une cote CMMC n’est pas nécessaire. Une cote MET ou NOT MET suffit.

Le DoD exige des entreprises qu’elles enregistrent les auto-évaluations et les affirmations dans le système de gestion des risques liés aux performances des fournisseurs (Supplier Performance Risk System – SPRS).

 

Niveau 2. Avancé – Évaluations par des tiers

Pour le niveau 2, une organisation demandant une évaluation (« Organization Seeking Assessment, OSA ») peut soit s’auto-évaluer, soit demander une certification auprès d’un organisme d’évaluation tierce de la CMMC (« Tierce partie Assessment Organization, C3PAO ») autorisé ou accrédité.

Le fait de rencontrer les exigences de l’auto-évaluation de niveau 2 de la CMMC (§ 170.16) ou de l’évaluation de certification de niveau 2 de la CMMC (§ 170.17) satisfait également aux exigences de l’auto-évaluation de niveau 1 de la CMMC détaillées au § 170.15 pour le même champ d’évaluation de la CMMC.

Niveau 2 : Les exigences de sécurité sont évaluées à 1, 3 ou 5 points avec une plage de -203 à 110, avec une cote minimale de 88. Un crédit partiel est accordé pour deux exigences :

  • AMF (authentification multi-facteurs) : 5 points sont déduits d’une cote globale de 110 si l’AMF n’est pas mise en œuvre ou si elle n’est mise en œuvre que pour les utilisateurs généraux et non pour les utilisateurs à distance et privilégiés.
  • AMF : 3 points sont déduits si l’AMF est mise en œuvre pour les utilisateurs distants et privilégiés mais pas pour les utilisateurs généraux.
  • FIPS (Federal Information Processing Standards) : 5 points déduits d’une cote globale de 110 si aucune cryptographie n’est employée.
  • FIPS : 3 points sont déduits si la cryptographie est utilisée mais n’est pas validée par le FIPS.

L’organisme d’accréditation de la CMMC (La Cyber AB) accréditera les C3PAO et l’organisme de certification des évaluateurs et des instructeurs de la CMMC (CAICO). Les C3PAO accrédités seront répertoriés sur The Cyber AB Marketplace.

L’entreprise de la base industrielle et technologique de défense (BITD) (y compris les entreprises canadiennes) sera entièrement responsable de l’obtention de l’évaluation et de la certification nécessaires, ceci inclut la coordination et le plan de l’évaluation CMMC. Après avoir complété l’évaluation de la CMMC, le C3PAO téléchargera le rapport d’évaluation dans le CMMC Enterprise Mission Assurance Support Service (eMASS), auquel le DoD peut accéder.

 

Niveau 3. Expert – Évaluations menées par le gouvernement

Ce niveau de conformité est requis pour toutes les organisations en quête de certification (OSC) qui traitent des informations non classifiées contrôlées utilisées dans les programmes les plus prioritaires du DoD. La plupart des leaders de l’industrie de la défense doivent rencontrer les exigences de ce niveau.

Étant donné que ce niveau exige la sécurité la plus stricte, les évaluations ne sont nécessaires que tous les trois ans, et le Centre d’évaluation de la cybersécurité de la base industrielle de défense (Defense Industrial Base Cybersecurity Assessment Center – DIBCAC) doit être impliqué dans ce processus.

Le DIBCAC de la DCMA utilisera les méthodes d’évaluation définies dans le document NIST SP 800-172A1, Assessing Enhanced Security Requirements for Controlled Unclassified Information, ainsi que les informations complémentaires contenues dans le présent guide pour réaliser les évaluations de certification de niveau 3.

Les évaluateurs réviseront l’information et les preuves pour vérifier qu’un OSC rencontre les objectifs d’évaluation énoncés pour toutes les exigences. Un OSC peut obtenir une évaluation de certification de niveau 3 pour l’ensemble de son réseau d’entreprise ou pour une ou plusieurs enclaves spécifiques, selon la manière dont la portée de l’évaluation de la CMMC est définie conformément au 32 CFR § 170.19(d).

Toutes les exigences de sécurité de niveau 3 sont évaluées à 1 point avec une cote maximale de 24. Une cote de 110 est également requise pour le niveau 2.

La DIBCAC effectuera des évaluations tous les trois ans. Les résultats seront saisis dans le CMMC Enterprise Mission Assurance Support Service (eMASS), et le statut CMMC sera valable pendant trois ans à compter de la date de statut CMMC telle que définie dans le § 170.4.

Mise à jour du la CMMC 2024

Le 15 octobre 2024, le DoD a publié sa règle finale visant à établir le programme CMMC, en amendant le titre 32 du Code des règlements fédéraux (CMMC Program Rule).

La règle finale entre en vigueur le 16 décembre 2024. Elle affectera tous les contractants et sous-traitants potentiels et actuels du DoD qui traitent ou traiteront des informations du DoD qui rencontrent les normes pour les Federal Contract Informations (FCI) ou les Controlled Unclassified Information (CUI) sur un système d’information du contractant pendant l’exécution du contrat ou du contrat de sous-traitance du DoD.

Elle aligne également le programme sur les exigences en matière de cybersécurité décrites dans la section 52.204-21 du Federal Acquisition Regulation et dans les National Institute of Standards and Technology (NIST) Special Publications (SP) 800-171 Rev 2 et -172. Elle identifie également clairement les 24 exigences du NIST SP 800-172 requises pour la certification de niveau 3 de la CMMC.

Avec la publication de cette règle actualisée du 32 CFR (Code of Federal Regulations), le DoD permettra aux entreprises d’évaluer elles-mêmes leur conformité, le cas échéant. La protection de base des FCI nécessitera une auto-évaluation au niveau 1 de la CMMC.

La protection générale des CUI nécessitera une évaluation de la part d’un tiers ou une auto-évaluation au niveau 2 de la CMMC. Certaines CUI nécessiteront un niveau de protection plus élevé contre les risques liés aux menaces persistantes avancées. Cette protection renforcée nécessitera une évaluation de niveau 3 de la CMMC menée par le Defense Industrial Base Cybersecurity Assessment Center.

CMMC 1.0

Pas d’allocation pour le plan d’actions et d’étapes (POA&M) pour répondre aux exigences de la CMMC

CMMC 2.0

  • Permet l’utilisation du POA&M
  • Non autorisé pour les auto-évaluations de niveau 1
  • Pour les évaluations de niveau 2 (auto-évaluation et C3PAO), autorisé tel que défini au § 170.21(a)(2) et doit être clôturé dans les 180 jours. Le statut définitif de la CMMC sera valable pendant trois ans à compter de la date du statut conditionnel de la CMMC.
  • Pour le niveau 3 (DIBCAC), autorisé tel que défini à l’article § 170.21(a)(3) et doit être clôturé dans les 180 jours. Le statut définitif de la CMMC est valable pendant trois ans à compter de la date du statut conditionnel de la CMMC.

Mise à jour du la CMMC 2024

Le 15 août 2024, le DoD a publié une nouvelle règle proposée qui décrit comment il intégrera les exigences de son programme CMMC dans le processus contractuel. En vertu de la règle proposée :

  • Les contractants seraient tenus d’introduire leur certificat ou leur auto-évaluation CMMC dans le SPRS au niveau spécifié dans les clauses du contrat au moment de l’attribution du contrat.
  • Les contractants devront disposer d’une déclaration de conformité continue aux exigences de sécurité définies dans le 32 CFR 170 dans le SPRS pour chacun des systèmes de renseignements du contractant qui traitent, stockent ou transmettent des FCI ou CUI et qui sont nécessaires à l’exécution du contrat.
  • Pour chaque système de renseignements du contractant qui traite, stocke ou transmet des CUI, le contractant publiera l’auto-évaluation ou la certification dans le SPRS, ce qui générera un identifiant unique du DoD (DoD UID) qui sera communiqué au responsable du contrat pour chaque système de renseignements du contractant qui traite, stocke ou transmet des FCI ou des CUI au cours de l’exécution du contrat.
  • Le contractant serait tenu d’avoir et de conserver le niveau requis de la CMMC pendant toute la durée du contrat.
  • Il est nécessaire qu’un dirigeant senior du contractant complète et tienne à jour chaque année, ou lorsque des changements interviennent dans le domaine de la sécurité, l’affirmation de conformité continue avec les exigences de sécurité du 32 CFR 170.  
  • Le contractant devra notifier au responsable du contrat tout changement apporté aux systèmes de renseignements du contractant qui traitent, stockent ou transmettent des FCI ou des CUI pendant l’exécution du contrat, y compris toute mise à jour des UID du DoD correspondants.
  • Le contractant doit s’assurer que ses sous-traitants ont le niveau approprié de la CMMC avant d’attribuer un contrat de sous-traitance ou un autre instrument contractuel. Les exigences de la clause doivent être incluses dans les contrats de sous-traitance ou autres instruments contractuels à tous les niveaux tant que le sous-traitant traite, stocke ou transmet des FCI ou des CUI.

Les commentaires sur la proposition de règle sont attendus pour le 15 octobre 2024 et pourraient entrer en vigueur en 2025.

Se préparer pour la CMMC 2.0

Étant donné que tous les fournisseurs du DoD devront être certifiés au niveau approprié de la CMMC pour continuer à faire des affaires avec le DoD, les experts de l’industrie conseillent aux organisations de démarrer dès aujourd’hui. Rhia Dancel, praticienne agréée pour la CMMC, et Tony Giles, évaluateur provisoire de la CMMC auprès de NSF International Strategic Registrations (NSF-ISR) ont formulé les recommandations suivantes dans un article récent publié sur nsf.org 

  1. Mettre en œuvre et évaluez les processus de sécurité de l’information – Élaborez un plan de sécurité des systèmes et procéder à une auto-évaluation selon les normes NIST 800-171.
  2. Améliorez les processus et soumettez votre note – En vous appuyant sur les résultats de votre auto-évaluation, créez un plan d’actions et d’étapes avec des dates cibles afin d’obtenir une note maximale de 110. Soumettez ensuite votre note au système de gestion des risques liés aux performances des fournisseurs (Supplier Performance Risk System – SPRS) du DoD.
  3. Identifiez votre champ d’application – Décidez du niveau qu’il vous est nécessaire d’atteindre pour votre entreprise, votre unité d’organisation ou votre enclave de programme.
  4. Obtenez une évaluation préliminaire des lacunes – Envisagez d’obtenir une évaluation préliminaire des lacunes auprès d’un organisme d’évaluation tiers accrédité afin d’identifier les lacunes dans votre processus de sécurité de l’information.
  5. Remédiez aux conclusions de l’évaluation des lacunes – Corrigez les lacunes identifiées en matière de sécurité de l’information et mettez en œuvre ces changements au sein de votre organisation.
  6. Choisissez un C3PAO – Utilisez The Cyber AB Marketplace pour identifier un C3PAO et planifier votre évaluation CMMC.
  7. Effectuez l’évaluation de la CMMC – Effectuez l’évaluation de la CMMC avec le C3PAO que vous avez choisi.
  8. Obtenez la certification – Les résultats de l’évaluation seront commentés par la personne chargée de l’assurance qualité au sein du C3PAO et téléchargés dans le système eMASS de la CMMC. Une certification finale ou conditionnelle de niveau 2 de la CMMC sera délivrée par le C3PAO en fonction des résultats de l’évaluation. Pour une certification finale de niveau 2 de la CMMC, votre organisation obtient une certification de trois ans de la CMMC. Dans le cas d’une certification conditionnelle de niveau 2 de la CMMC, une clôture de POA&M est requise et, si elle est réussie, une certification de trois ans de la CMMC sera délivrée.

La CMMC pour les Canadiens

Pour les exportateurs canadiens, l’enjeu est simple : si vous obtenez un niveau de certification plus élevé en matière de cybersécurité, vous aurez accès à un plus grand nombre d’opportunités du DoD. Plus important encore, si vous n’obtenez pas de certification, vous ne pourrez pas soumissionner pour des contrats du DoD.

Au-delà de la conformité réglementaire, l’obtention de la certification CMMC démontre l’engagement d’une entreprise en matière de cybersécurité. Elle signale également aux maîtres d’œuvre et aux gouvernements que l’entreprise protège les informations sensibles et peut éviter un branle-bas à la dernière minute lorsqu’une certification est requise.

Atteindre le niveau 1 de la CMMC maintenant signifie également que les entreprises canadiennes peuvent se positionner favorablement pour une conformité rapide avec le Programme canadien de certification en cybersécurité (PCCC) une fois qu’il sera entièrement mis en œuvre.

Pour commencer votre certification CMMC, consultez l’écosystème de la cybersécurité au Cyber AB, l’organisme d’accréditation officiel de l’écosystème de la CMMC et le seul partenaire non gouvernemental autorisé du DoD des É.-U. pour la mise en œuvre et la supervision du régime de conformité de la CMMC. Le Marketplace fournit le nom de personnes et d’entreprises qui pourront vous aider à assurer la conformité à la CMMC 2.0.

Tenez-vous également informé sur le Programme canadien de certification en cybersécurité (PCCC) pour travailler sur certains contrats de défense du gouvernement du Canada qui requièrent une certification PCCC.

Vendre au DoD des É.-U.

Si vous souhaitez vendre vos produits ou services au DoD, contactez-nous pour savoir comment nous pouvons vous aider.

Contactez-nous

Les renseignements fournis dans cet article ont pour seul but de fournir des conseils d’ordre général sur des questions d’intérêt. Elles ne constituent pas un avis juridique. Vous ne devez pas agir ou vous abstenir d’agir sur la base de ces renseignements sans avoir consulté au préalable un professionnel agréé.

Ce billet a été mis à jour le 23 janvier 2025.

Sujets connexes
Articles connexes​

Tenants et aboutissants de l’approvisionnement du DoD des É.-U.

Cet article vous guidera à travers tout ce que vous devez savoir sur les acquisitions du ministère de la défense.

APPD, DFARS : Accords permettant aux militaires américains d’acheter au Canada

Découvrez comment les entreprises canadiennes bénéficient d’une relation unique avec le marché du DoD américain qui leur permet de rivaliser sur un pied d’égalité avec les entreprises américaines.

Vous étudiez une opportunité avec un gouvernement étranger?​

Laissez-nous vous aider à explorer les moyens par lesquels le gouvernement du Canada peut vous aider à remporter davantage de marchés internationaux.

Parlez à un conseiller de la CCC
À propos de CCC

Assemblée publique annuelle
Rapports d’entreprise
Notre histoire

Accessibilité
Accès à l’information
Protection de la vie privée
Transparence et divulgation

Contactez nous

Corporation commerciale canadienne
350, rue Albert, bureau 1100
Ottawa, Ontario K1A 0S6
1-613-996-0034

Linkedin Twitter Facebook Youtube

© Corporation commerciale canadienne (CCC) •  Avis de confidentialité | Conditions d’utilisation | Plan du site | Mouchards

Rechercher
Rechercher

Challenge.gov |

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

La CCC utilise des témoins (cookies) et d’autres outils de suivi pour vous offrir une meilleure expérience de navigation sur notre site. Visitez notre page sur les règles relatives aux témoins pour en savoir plus ou pour modifier vos préférences. En continuant d’utiliser notre site, vous consentez à l’utilisation de cookies.
Acceptez