La certification du modèle de maturité de la cybersécurité (CMMC) est une nouvelle norme universelle établie par le ministère de la défense américain (DoD Department of Defense). Ce modèle a été développé en raison de la lenteur de l’adoption de son prédécesseur, le Defense Acquisition Federal Regulation Supplement (DFARS). Il a été largement reconnu que les recommandation générales du DFARS ne fonctionnaient pas et conduisaient les fournisseurs sous-traitants du DoD à prétendre à tort être en conformité en termes de sécurité alors qu’en réalité ils ne l’étaient pas.
Face à l’augmentation des cybermenaces, on comprend que le DoD ait voulu créer un nouveau cadre avec une échelle de maturité de la cybersécurité à cinq niveaux. Les contractants du DoD peuvent l’utiliser pour s’évaluer et obtenir une certification.
Cette échelle est connue sous le nom de norme CMMC. Le niveau 1 démontre une hygiène de cybersécurité de base, et 5 démontre un programme de cybersécurité avancé et progressif qui associe des politiques, des processus, une répétabilité et une efficacité dans la protection proactive contre les cybermenaces. Le CMMC se concentre sur les contrôles traditionnels du NIST 8700-171 (norme informatique américaine pour les informations non classifiées), tout en ajoutant quelques contrôles « autres » pour compléter ce programme spécifique au DoD.
Sont concernés l’ensemble des sous-traitants (directs ou indirects) du DoD, soit plus de 300 000 entreprises dans le monde. Plus particulièrement ceux amenés à manipuler des données contrôlées non classifiées ou des informations fournies par le DoD dans le cadre d’un contrat et qui ne sont pas destinées à être diffusées au public.
