Este sitio web utiliza cookies para mejorar su experiencia de navegación y compilar estadísticas sobre el tráfico.
Más información sobre cómo usamos las cookies y de qué manera puede cambiar su configuración.
Defensa y espacio | Gobierno y conformidad
Les entreprises qui souhaitent travailler avec le département de la Défense US (US DoD) doivent démontrer un niveau de maturité dans la protection des CUI (Controlled Unclassified Information) tel que documenté dans le FAR (Federal Acquisition Regulation) 52.204-21 Basic Safeguarding of Covered Contractor Information Systems
Le supplément DFARS 252.204-7012 Safeguarding Covered Defense Information and Cyber Incident Reporting clause publié en 2016 introduit le référentiel NIST Special Publication (SP) 800-171 qui s'impose dès aujourd'hui aux fournisseurs du DoD au travers de 110 exigences de sécurité.
L'US DoD a défini au travers des DFARS 252.204 successifs un plan progressif d'augmentation des exigences pour l'ensemble des prestataires dans sa Supply Chain :
DFARS 252.204-7019
DFARS 252.204-7020
DFARS 252.204-7021
La version finale 2021 qui s'imposera à tous les fournisseurs à partir de 2026, exige la certification CMMC. Cette certification, basée sur les 110 exigences du NIST SP 800-171, introduit 20 exigences supplémentaires, et nécessite de démontrer un niveau de maturité du SMSI (1 à 5) qui ne peut s'obtenir sans une approche progressive sur le long terme pour les sociétés n'ayant pas déjà un haut niveau de maturité, ou éloignées de la cybersécurité. Pour cela, une étape intermédiaire de certification ISO 27001 est une opportunité car parfaitement adaptée pour structurer l'organisation.
L'offre "Accompagnement à la certification CMMC" de SCASSI regroupe les activités suivantes :
Un Etat des lieux par rapport au référentiel après avoir validé le périmètre cible
La définition d'un plan d'actions sur les non conformités
Une analyse de risques Ebios RM pour adapter le plan d'actions au niveau réel de risques et contribuer à la DdA (Déclaration d'Applicabilité) de l'ISO 27001
Un accompagnement à l'exécution du plan d'actions (assistance, documentation, définition d'architectures, etc.)
Un audit final pour valider la conformité au référentiel pour le périmètre ciblé
Ces activités sont déroulées successivement sur 3 phases pour permettre d'atteindre le niveau de maturité requis par la certification CMMC niveau 3 d'ici 2026:
Référentiel NIST-SP 800-171 rev2 pour répondre aux exigences actuelles du DoD et son utilisation directe sur le Supplier Performance Risk System (SPRS) du DOD
Référentiel ISO 27001 (optionnel) pour augmenter le niveau de maturité du SMSI et des personnels de l'entreprise
Référentiel CMMC en vue d'obtenir la certification par une third-party assessment organization (C3PAOs)
Référentiels :
FAR 52.204-21
DFARS 252.204-7012 & NIST-SP 800-171 rev2
ISO 27001
CMMC (DFARS 252.204-7019,-7020,-7021)
Expériences : AHG