Cybersecurity Maturity Model Certification (CMMC)

CMMC 2.0 est la nouvelle « version » du modèle de cybersécurité CMMC du Département de la Défense. Elle rationalise les exigences en trois niveaux de cybersécurité (Fondamental, Avancé et Expert), et aligne les exigences de chaque niveau sur les normes de cybersécurité bien connues et largement acceptées du NIST.

Le 3 décembre 2021, le DoD a publié la présentation du modèle CMMC 2.0. Le modèle CMMC 2.0 englobe les exigences de protection de base pour les informations sur les contrats fédéraux (FCI) spécifiées dans la Federal Acquisition Regulation (FAR) 52.204-21 et les exigences de sécurité pour les Informations non classifiées contrôlées (CUI) dans le NIST SP 800-171r2 en vertu de la clause 252.204-7012 du Defense Federal Acquisition Regulation Supplement (DFARS).

• CMMC Niveau 1 (Fondamentaux) pour les entreprises avec FCI uniquement. Les informations doivent être protégées, mais ne sont pas déterminantes pour la sécurité nationale. Requiert 17 pratiques de protection de base. Directives de cadrage du CMMC Niveau 1
• CMMC Niveau 2 (Avancé) pour les entreprises ayant des CUI. Exigera les 110 pratiques du NIST SP 800-171r2. Peut exiger des évaluations par des tiers ou des auto-évaluations, selon le type d’informations. Directives de cadrage du CMMC Niveau 2
• CMMC Niveau 3 (Expert) pour les programmes les plus prioritaires comportant des CUI. Utilisera un sous-ensemble du NIST SP 800-172. Sera évalué par des représentants du gouvernement.

La cybersécurité fait partie des priorités absolues du Département de la Défense des États-Unis.

La base industrielle et technologique de défense (BITD) est la cible de cyberattaques toujours plus fréquentes et complexes. Pour protéger l'ingéniosité et les informations de sécurité intérieure des États-Unis, le Département de la Défense a développé CMMC 2.0 afin d'améliorer de manière dynamique la cybersécurité de la BITD dans le but de faire face à l'évolution des menaces et de protéger les informations.

Une fois la mise en œuvre du programme CMMC terminée, certains sous-traitants du Département de la Défense (DoD) qui traitent des informations non classifiées sensibles seront tenus d’obtenir un niveau CMMC spécifique comme condition préalable à l’attribution du contrat.

Le DoD a indiqué qu’il n’avait pas l’intention d’approuver l’inclusion d’une exigence CMMC dans un quelconque contrat avant l’achèvement du processus de réglementation du programme CMMC 2.0.  Le DoD estime que ce processus devrait prendre entre 9 et 24 mois à compter de novembre 2021.

Une fois le programme CMMC 2.0 mis en œuvre, le DoD précisera le niveau CMMC requis dans la demande de soumission et dans toute demande de renseignements (RFI), le cas échéant.

Un large éventail d’organisations, de programmes et de sous-traitants de la chaîne d’approvisionnement du DoD utilisent AWS pour transformer leurs activités et leurs opérations. Ils s'appuient sur AWS pour créer des environnements cloud sécurisés afin de traiter, d'entretenir et de stocker les données du gouvernement fédéral américain, conformément au Defense Federal Acquisition Regulation Supplement (DFARS), au DoD Cloud Computing Security Requirements Guide (SRG), au Federal Risk and Authorization Management Program (FedRAMP) et à d'autres programmes fédéraux de conformité.

N’hésitez pas à consulter les études de cas pour savoir comment AWS aide le DoD, y comprisla Defense Logistics Agency (Agence logistique de la défense) des États-Unis, l’Air Force (les forces aériennes) des États-Unis, la Navy (marine) des États-Unis et le Special Operations Command (Commandement des opérations spéciales) des États-Unis, ainsi que des sous-traitants du DoD tels que Lockheed Martin, Raytheon et GDIT. Pour plus d’informations sur la manière dont AWS répond aux exigences de sécurité élevées du DoD, consultez la page Web Cloud Computing pour la défense.

La règle DFARS provisoire prévoyait une période de transition de cinq ans au cours de laquelle la conformité avec le programme CMMC ne serait requise que pour certains contrats pilotes, tels qu’approuvés par l’Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) (bureau du sous-secrétaire à la Défense pour les acquisitions et le maintien en puissance). Le DoD a indiqué qu'il n'avait pas l'intention d'approuver l'inclusion d'une exigence CMMC dans un quelconque contrat avant l'achèvement du processus de réglementation du programme CMMC 2.0.

Une fois la certification CMMC 2.0 codifiée en vertu de la réglementation, le DoD exigera que les entreprises respectent le cadre CMMC 2.0 révisé.

Non. La CMMC mesure les capacités et les processus de cybersécurité d'un sous-traitant de la BITD par rapport aux exigences d'un niveau CMMC spécifique.

En tant que fournisseur de services cloud (CSP), AWS est autorisé par FedRAMP au niveau FedRAMP High et par la Defense Information Systems Agency (DISA) aux niveaux SRG Impact 2, 4 et 5.

Non. Le DoD n'a pas encore défini la correspondance entre les autres programmes de conformité, tels que FedRAMP ou ISO 27001 (Systèmes de gestion de sécurité de l'information) et les niveaux CMMC 2.0.

Le package AWS CMMC Customer fournit une répartition des contrôles de sécurité CMMC Level 2 /NIST SP 800-171 dont les clients peuvent hériter d’AWS en utilisant l’accélérateur de la zone de destination AWS dans AWS GovCloud (US).

Le package AWS CMMC Customer est disponible au téléchargement pour les clients dans AWS Artifact, dans les régions AWS Standard et AWS GovCloud (US).

Oui. Les consultants AWS Professional Services sont formés à l’accélérateur de la zone de destination AWS dans AWS GovCloud (US), et sont en mesure de prendre en charge les implémentations client qui répondent aux défis de conformité CMMC.

AWS prévoit de fournir aux clients la flexibilité nécessaire pour déployer et certifier les solutions AWS CMMC 2.0 dans les régions standard et restreintes (États-Unis Est/Ouest, AWS GovCloud (US), etc.) en fonction des exigences de leurs activités et des programmes et contrats du DoD.