Ce site utilise des cookies pour améliorer votre navigation et réaliser des statistiques de visites. En savoir plus sur l'utilisation des cookies et la manière de modifier vos paramètres.
Toutes les offres

Accompagnement certification CMMC (DFAR 252-204-2021)

Défense et spatial | Gouvernance & conformité

Demande d'information

Accompagnement vers la certification CMMC (DFAR 252-204-2021)

 

Les entreprises qui souhaitent travailler avec le département de la Défense US (US DoD) doivent démontrer un niveau de maturité dans la protection des CUI (Controlled Unclassified Information) tel que documenté dans le FAR (Federal Acquisition Regulation) 52.204-21 Basic Safeguarding of Covered Contractor Information Systems

 

Le supplément DFARS 252.204-7012 Safeguarding Covered Defense Information and Cyber Incident Reporting clause publié en 2016 introduit le référentiel NIST Special Publication (SP) 800-171 qui s'impose dès aujourd'hui aux fournisseurs du DoD au travers de 110 exigences de sécurité.

 

L'US DoD a défini au travers des DFARS 252.204 successifs un plan progressif d'augmentation des exigences pour l'ensemble des prestataires dans sa Supply Chain :

  1. DFARS 252.204-7019

  2. DFARS 252.204-7020

  3. DFARS 252.204-7021

 

La version finale (-7021) qui s'imposera à tous les fournisseurs à partir de 2026, exige la certification CMMC. Cette certification, basée sur les 110 exigences du NIST SP 800-171, nécessite de démontrer un niveau de maturité du SMSI (1 à 5) qui ne peut s'obtenir sans une approche progressive sur le long terme pour les sociétés n'ayant pas déjà un haut niveau de maturité, ou éloignées de la cybersécurité. Pour cela, une étape intermédiaire de certification ISO 27001 est une opportunité car parfaitement adaptée pour structurer l'organisation et répondre aux attendes des marchés Européens.

 

L'offre "Accompagnement à la certification CMMC" de SCASSI regroupe les activités suivantes :

  1. Un Etat des lieux par rapport au référentiel après avoir validé le périmètre cible

  2. La définition d'un plan d'actions sur les non conformités

  3. Une analyse de risques Ebios RM pour adapter le plan d'actions au niveau réel de risques et contribuer à la DdA (Déclaration d'Applicabilité) de l'ISO 27001

  4. Un accompagnement à l'exécution du plan d'actions (assistance, documentation, définition d'architectures, etc.)

  5. Un audit final pour valider la conformité au référentiel pour le périmètre ciblé

 

Cette démarche est compatible de l'approche Diagnostic Cyber Défense de la DGA, ce qui permet aux sociétés éligibles de disposer d'un financement partiel.

 

Ces activités sont déroulées successivement sur 3 phases pour permettre d'atteindre le niveau de maturité requis par la certification CMMC V2 niveau 2 ou 3 d'ici 2026:

  1. Référentiel NIST-SP 800-171 rev2 pour répondre aux exigences actuelles du DoD et son utilisation directe sur le Supplier Performance Risk System (SPRS) du DOD

  2. Référentiel ISO 27001 (optionnel) pour augmenter le niveau de maturité du SMSI et des personnels de l'entreprise

  3. Référentiel CMMC V2 en vue d'obtenir la certification éventuelle par une third-party assessment organization (C3PAOs) incluant les 61 "NFO Control" obligatoires du NIST-SP-800-171 référençant le NIST-SP-800-53

 

Référentiels :

  1. FAR 52.204-21 & DFARS 252.204-7012, -7019,-7020,-7021

  2. NIST-SP 800-171 rev2 & NIST-SP 800-172 & NIST-SP 800-53

  3. ISO 27001

  4. CMMC V2

 

Expériences : AHG

 

Offres liées

Contactez-nous pour plus d'information

1000caractères restants

Je ne souhaite pas recevoir de communication commerciale de la part de SCASSI.

Notre politique de confidentialités est conçue pour vous informer de la façon dont nous utilisons vos données personnelles .

Nous vous expliquons également quels sont vos droits et la façon de les excercer.