Académique Documents
Professionnel Documents
Culture Documents
niveau de base de la certification et implique une série de pratiques qui correspondent aux exigences de base en
a clause 52.204-21 du FAR (Federal Acquisition Regulation). ce niveau contient 17 pratiques de base pour la
thentification, mise en œuvre de l'identité, contrôles d'accès de base). L'objectif principal du premier niveau est de
Contract Information) et l'identité requise pour tous ceux qui obtiennent un contrat DoD mais ne produisent pas
mmerciaux prêts à l'emploi. La plupart des contrats du DoD exigent ce niveau de certification.
veau est de fournir un niveau de base de cybersécurité pour une organisation qui a accès aux CUI (Controlled
e qui nécessite un niveau plus élevé que les organisations qui n'ont accès qu'aux FCI. Ce niveau de certification
ation de politiques écrites pour tous les domaines couverts par la certification du modèle de maturité de la
ues documentées pour la mise en œuvre des politiques pour chaque domaine. Ce niveau aura un ensemble plus
urité (55 pratiques supplémentaires au total) mises en place en plus de celles répertoriées dans le premier niveau
sième niveau est de protéger la CUI, d'étendre les pratiques de sécurité de base qui ont été introduites dans les
ux ainsi que d'augmenter la sécurité de l'organisation. Ce niveau de certification exigera que l'organisation crée,
plan qui présente la gestion des activités de mise en œuvre de CMMC. Ces pratiques couvrent toutes les exigences
-171 et fournissent des normes et pratiques supplémentaires (58 supplémentaires au total) à celles déjà requises
ui gèrent à la fois le CUI et le FCI doivent satisfaire à l'exigence du troisième niveau de CMMC ou supérieur.
uatrième niveau est d'augmenter la capacité de l'organisation à protéger les CUI des APT (Advanced Persistent
autant d'ajouts aux pratiques qui doivent être mises en œuvre que les deuxième et troisième niveaux. Cependant, ces
s longues et complexes à mettre en œuvre et à maintenir.
offre des pratiques supplémentaires (26 ajouts au total) à celles déjà requises pour le troisième niveau. Il faudra que
esure et examine l'efficacité du DRAFT NIST SP 800-171B ainsi que d'autres pratiques de sécurité.
exigera de l'organisation qu'elle optimise et normalise les processus de mise en œuvre à travers elle. Son objectif
pour y parvenir, il met en œuvre des pratiques de sécurité plus avancées pour l'organisation.
n offre des pratiques supplémentaires (15 ajouts au total) à celles déjà requises pour le quatrième niveau. Ces
sophistication et la profondeur de la capacité de cybersécurité de l'organisation.
Domaines Les pratiques
er le contenu malveillant
score total du domaine
score total du Niveau
points faibles Évaluation Score
1
1
3
2
2
3
3
4
4
5
5
6
12
29
Domain Les pratiques
C001 - Établir les exigences d'accès au système
Protection du système et des C038 - Définir les exigences de sécurité pour les
Communications systèmes et les communications
Sécurité du Personnel
C027- Protéger les CUI lors des actions du
personnel
s
Niveau 2
iques Documents justificatifs pratiques mise en place
d'accès au système
système interne
mes à distance
s journaux d'audit
ontrôles
illance du réseau et du
0
0
0
0
Domain Les pratiques
C002 – Contrôler l'accès au système interne
score
score
score
Identification et C015 – Accorder l'accès aux entités authentifiéet
Authentification
score
C018 - Élaborer et mettre en œuvre une réponse à un incide
déclaré
Réponse aux Incidents
C020 - Tester la réponse aux incidents
score
score
Intégrité des systèmes et des C042 - Effectuer la surveillance du réseau et du système
informations C043- Mettre en place des protections de messagerie avancées
score
score
Niveau 3
pratiques Documents justificatifs pratiques mise en place
système interne
stèmes à distance
données aux processus et Utilisateurs
s journaux d'audit
de sensibilisation à la sécurité
x incidents
r les médias
pendantle transport
score total du domaine
que
score total du domaine
s
score total du domaine
les risques
0
0
0
0
Domain Les pratiques
C002 – Contrôler l'accès au système interne
Contrôle d'accès
C003 - Contrôler les systèmes à distance
score total d
La gestion d'actifs C006 – Gérer l'inventaire des actifs
score total d
C010 - Examiner et gérer les journaux
Audit et Responsabilité
d'audit
score total d
C011 - Mener des activités de sensibilisation à la
Sensibilisation et formation sécurité
score total d
Gestion de la C014 - Effectuer la configuration et la gestion des
Configuration modifications
score total d
Réponse aux C016 - Planifier la réponse aux Incidents
C018 - Élaborer et mettre en œuvre une réponse à un
Incidents: incident déclaré
score total d
Gestion des C031 - Identifier et évaluer les risques
C033 - Gérer le risque de la chaîne
Risques: d'approvisionnement
score total d
C034 - Élaborer et gérer un plan de sécurité du
système
Évaluation de
la sécurité
C035 - Définir et gérer les contrôles
score total d
connaissance de C037- Mettre en œuvre la surveillance des menaces
la situation
score total d
C038 - Définir les exigences de sécurité pour les
Protection du système et systèmes et les communications
des Communications C039- Contrôler la communication aux limites du
système
score total d
Intégrité des systèmes C040 - Identifier et gérer les failles du système
et des informations D'information
score total d
score total
Niveau 4
Documents justificatifs pratiques mise en place points faibles
0
0
0
Domain Les pratiques
score t
Audit et
C008 – Effectuer l'audit
Responsabilité
score t
Gestion de la C014 - Effectuer la configuration et la gestion des
Configuration modifications
score t
score t
C030 - Gérer la continuité de la sécurité de
Récupération l'information
score t
C031 - Identifier et évaluer les risques
Gestion des Risques
C032- Gérer le risque
score t
C038 - Définir les exigences de sécurité pour les
Protection du système et des systèmes et les communications
Communications C039- Contrôler la communication aux limites du
système
score t
30
25
20
30
25
20
15
10
0
: x
cè
s ne in
e la in
e
au
ai e n
et ilité m a n d tio m a
ac m s e ts m
d' t
do udi sab do stio ura do pon iden do
le du A on du g u u
rô l G e onfi al d Ré Inc ld
ont
ta e s p tal C t ta
C t o R t o to to
e e e re
cor cor cor co
s s s s
Les pratiques
pratiques mise en place points faib
Niveau 5
Documents
justificatifs
pratiques mise en place points faibles
0
0
2
2
2
6
0
0
2
5
2
5
2
5
24
30
25
20
15
10
0
: ux es ns
ès ne ne e la n in
e on ne ne ne
cc ai e t lité ai d tio m a se a ts rati ai ai s qu ai tio
a m i m m m i m a m
d' t n
do udi sab do stio ura do pon iden up
é do do sR do ni
c do
le u n du g u u c u e u u u
rt ô l d A o
p tal
e
G on al d
fi Ré Inc ld Ré ld d ld m ld
n t a s C tot ta ta on ta om ta ité d
Co to R e to to to s ti to C to
e e e e e Ge e s e gr s
or or or or or or de or Inté t de
sc sc sc sc sc sc e t s c e
e
tèm
s
sy
du
n
tio
tec
o
Pr
Les pratiques Documents justifica
pratiques mise en place points faibles Évaluation Score
e s ne s ne es ne au
ue ai on ai ai ve
sq ti èm ns i
R i
do
m ica do
m t
ys tio do
m
u
N
es u un u s s ma u ld
ld m l d e
d r l d t a
ta om ta é fo ta to
to sC to grit s in to re
e e e o
or de or Inté t de or sc
sc et sc e sc
e
èm
st
sy
du
n
tio
Documents justificatifs
tion Score
Les notes Description Les critères
0 Inexistant
1 Faible
2 Moyen
3 Forte