Your experience on this site will be improved by allowing cookies. Más información sobre cómo usamos las cookies y de qué manera puede cambiar su configuración.
All offers

DEFENSE & SPACE/Accompagnement vers la certification CMMC (DFAR 252-204-2021)

Défense et spatial | Gouvernance et conformité

Information request

Les entreprises qui souhaitent travailler avec le département de la Défense US (US DoD) doivent démontrer un niveau de maturité dans la protection des CUI (Controlled Unclassified Information) tel que documenté dans le FAR (Federal Acquisition Regulation) 52.204-21 Basic Safeguarding of Covered Contractor Information Systems

 

Le supplément DFARS 252.204-7012 Safeguarding Covered Defense Information and Cyber Incident Reporting clause publié en 2016 introduit le référentiel NIST Special Publication (SP) 800-171 qui s'impose dès aujourd'hui aux fournisseurs du DoD au travers de 110 exigences de sécurité.

 

L'US DoD a défini au travers des DFARS 252.204 successifs un plan progressif d'augmentation des exigences pour l'ensemble des prestataires dans sa Supply Chain :

  1. DFARS 252.204-7019

  2. DFARS 252.204-7020

  3. DFARS 252.204-7021

 

La version finale 2021 qui s'imposera à tous les fournisseurs à partir de 2026, exige la certification CMMC. Cette certification, basée sur les 110 exigences du NIST SP 800-171, introduit 20 exigences supplémentaires, et nécessite de démontrer un niveau de maturité du SMSI (1 à 5) qui ne peut s'obtenir sans une approche progressive sur le long terme pour les sociétés n'ayant pas déjà un haut niveau de maturité, ou éloignées de la cybersécurité. Pour cela, une étape intermédiaire de certification ISO 27001 est une opportunité car parfaitement adaptée pour structurer l'organisation.

 

L'offre "Accompagnement à la certification CMMC" de SCASSI regroupe les activités suivantes :

  1. Un Etat des lieux par rapport au référentiel après avoir validé le périmètre cible

  2. La définition d'un plan d'actions sur les non conformités

  3. Une analyse de risques Ebios RM pour adapter le plan d'actions au niveau réel de risques et contribuer à la DdA (Déclaration d'Applicabilité) de l'ISO 27001

  4. Un accompagnement à l'exécution du plan d'actions (assistance, documentation, définition d'architectures, etc.)

  5. Un audit final pour valider la conformité au référentiel pour le périmètre ciblé

 

Ces activités sont déroulées successivement sur 3 phases pour permettre d'atteindre le niveau de maturité requis par la certification CMMC niveau 3 d'ici 2026:

  1. Référentiel NIST-SP 800-171 rev2 pour répondre aux exigences actuelles du DoD et son utilisation directe sur le Supplier Performance Risk System (SPRS) du DOD

  2. Référentiel ISO 27001 (optionnel) pour augmenter le niveau de maturité du SMSI et des personnels de l'entreprise

  3. Référentiel CMMC en vue d'obtenir la certification par une third-party assessment organization (C3PAOs)

 

Référentiels :

  1. FAR 52.204-21

  2. DFARS 252.204-7012 & NIST-SP 800-171 rev2

  3. ISO 27001

  4. CMMC (DFARS 252.204-7019,-7020,-7021)

 

Expériences : AHG

 

Related offers

Contact us for more information

1000remaining characters

I do not wish to receive commercial communications from SCASSI.

Our privacy policy is designed to inform you about how we use your personal data .

We also explain what your rights are and how to exercise them.