Niveaux de CMMC

- Le premier niveau est le niveau de base de la certification et implique

matière de protection de la clause 52.204-21 du FAR (Federal Acquis
Niveau 1 cybersécurité (exemple : authentification, mise en œuvre de l'identité, co
protéger les FCI (Federal Contract Information) et l'identité requise pou
uniquement des produits commerciaux prêts à l'emploi. La plupart des con

- L'objectif du deuxième niveau est de fournir un niveau de base de c

Unclassified Information), ce qui nécessite un niveau plus élevé que les
nécessitera à la fois la création de politiques écrites pour tous les do
cybersécurité et des pratiques documentées pour la mise en œuvre des
étendu de pratiques de sécurité (55 pratiques supplémentaires au total) m
Niveau 2

Niveau 3 - L'objectif principal du troisième niveau est de protéger la CUI, d'étend

premier et deuxième niveaux ainsi que d'augmenter la sécurité de l'org
ressource et maintienne un plan qui présente la gestion des activités de m
de sécurité du NIST SP 800-171 et fournissent des normes et pratiques
pour le deuxième niveau.
- Toutes les organisations qui gèrent à la fois le CUI et le FCI doivent satisf

Niveau 4 - L'objectif principal du quatrième niveau est d'augmenter la capacité

Threats). Ce niveau n'a pas autant d'ajouts aux pratiques qui doivent être m
pratiques sont beaucoup plus longues et complexes à mettre en œuvre et à
- Ce niveau de certification offre des pratiques supplémentaires (26 ajouts
l'organisation en question mesure et examine l'efficacité du DRAFT NIST
 - Ce niveau de certification exigera de l'organisation qu'elle optimise et n
principal est le CUI des APT, pour y parvenir, il met en œuvre des pratique
Niveau 5 - Ce niveau de certification offre des pratiques supplémentaires (15 aj
pratiques augmenteront la sophistication et la profondeur de la capacité d
 Niveaux de CMMC

niveau de base de la certification et implique une série de pratiques qui correspondent aux exigences de base en
a clause 52.204-21 du FAR (Federal Acquisition Regulation). ce niveau contient 17 pratiques de base pour la
thentification, mise en œuvre de l'identité, contrôles d'accès de base). L'objectif principal du premier niveau est de
Contract Information) et l'identité requise pour tous ceux qui obtiennent un contrat DoD mais ne produisent pas
mmerciaux prêts à l'emploi. La plupart des contrats du DoD exigent ce niveau de certification.

veau est de fournir un niveau de base de cybersécurité pour une organisation qui a accès aux CUI (Controlled
e qui nécessite un niveau plus élevé que les organisations qui n'ont accès qu'aux FCI. Ce niveau de certification
ation de politiques écrites pour tous les domaines couverts par la certification du modèle de maturité de la
ues documentées pour la mise en œuvre des politiques pour chaque domaine. Ce niveau aura un ensemble plus
urité (55 pratiques supplémentaires au total) mises en place en plus de celles répertoriées dans le premier niveau

sième niveau est de protéger la CUI, d'étendre les pratiques de sécurité de base qui ont été introduites dans les
ux ainsi que d'augmenter la sécurité de l'organisation. Ce niveau de certification exigera que l'organisation crée,
plan qui présente la gestion des activités de mise en œuvre de CMMC. Ces pratiques couvrent toutes les exigences
-171 et fournissent des normes et pratiques supplémentaires (58 supplémentaires au total) à celles déjà requises

ui gèrent à la fois le CUI et le FCI doivent satisfaire à l'exigence du troisième niveau de CMMC ou supérieur.

uatrième niveau est d'augmenter la capacité de l'organisation à protéger les CUI des APT (Advanced Persistent
autant d'ajouts aux pratiques qui doivent être mises en œuvre que les deuxième et troisième niveaux. Cependant, ces
s longues et complexes à mettre en œuvre et à maintenir.
offre des pratiques supplémentaires (26 ajouts au total) à celles déjà requises pour le troisième niveau. Il faudra que
esure et examine l'efficacité du DRAFT NIST SP 800-171B ainsi que d'autres pratiques de sécurité.
 exigera de l'organisation qu'elle optimise et normalise les processus de mise en œuvre à travers elle. Son objectif
pour y parvenir, il met en œuvre des pratiques de sécurité plus avancées pour l'organisation.
n offre des pratiques supplémentaires (15 ajouts au total) à celles déjà requises pour le quatrième niveau. Ces
sophistication et la profondeur de la capacité de cybersécurité de l'organisation.
 Domaines Les pratiques

C001 - Établir les exigences d'accès au sy

Contrôle d'accès C002 – Contrôler l'accès au système inter

C004 - limiter l'accès aux données aux pr

Utilisateurs autorisés

Identification et Authentification C015 – Accorder l'accès aux entités authe

Protection des C024 – s'assurer Qu'aucune Information

Médias n'est publiée sur les médias

Protection C028 – Limiter l'accès physique

Physique

C039 - Contrôler les communications aux

Protection du système et des Communications système

C040 - Identifier et gérer les failles d

Intégrité des systèmes D'information
et des informations C041 - Identifier le contenu malveillant
 Niveau 1
Les pratiques Documents justificatifs pratiques mise en place

les exigences d'accès au système

ôler l'accès au système interne

l'accès aux données aux processus et

torisés

score total du domaine

der l'accès aux entités authentifiées
score total du domaine

urer Qu'aucune Information classifiée

ur les médias

score total du domaine

r l'accès physique
score total du domaine
ler les communications aux limites du

score total du domaine

tifier et gérer les failles du système

er le contenu malveillant
score total du domaine
score total du Niveau
points faibles Évaluation Score
1

1
3
2
2

3
3

4
4

5
5

6
12
29
 Domain Les pratiques
C001 - Établir les exigences d'accès au système

C002 – Contrôler l'accès au système interne

Contrôle d'accès
C003 - Contrôler les systèmes à distance

C004 - Limiter l'accès aux données aux processus et

Utilisateurs autorisés

C007 – Définir les exigences d'audit

Audit et Responsabilité C008- Réaliser L'audit

C010 - Examiner et gérer les journaux d'audit

C011 - Mener des activités de sensibilisation à la

Sensibilisation et Formation sécurité
C012 - Mener uneformation

C013 - Établir les bases de configuration

Gestion de la Configuration C014 - Effectuer la configuration et la gestion des
modifications

Identification et C015 – Accorder l'accès aux entités authentifiéet

Authentification

C016 - Planifier la réponse aux Incidents

C017- Détecter et signaler les événements
Réponse aux Incidents C018 - Élaborer et mettre en œuvre une réponse à un
incident déclaré
C019 - Effectuer des revues post-inciden

Maintenance C021 - Gérer l'entretien

Protection des Médias C023 - Protéger et contrôler les médias

Protection Physique C028 - Limiter l'accès physique

Récupération C029 - Gérer les sauvegardes

C031 - Identifier et évaluer les risques

Gestion des Risques
C032- Gérer le risque
 C034 - Élaborer et gérer un plan de sécurité du
système
Évaluation de
la sécurité
C035 - Définir et gérer les contrôles

Protection du système et des C038 - Définir les exigences de sécurité pour les
Communications systèmes et les communications

C026 - Personnel D'écran

Sécurité du Personnel
C027- Protéger les CUI lors des actions du
personnel

C040 - Identifier et gérer les failles du

système D'information
Intégrité des systèmes
et des informations
C042 - Effectuer la surveillance du réseau et du
système

s
 Niveau 2
iques Documents justificatifs pratiques mise en place
d'accès au système

système interne

mes à distance

données aux processus et

score total du domaine

s d'audit

s journaux d'audit

score total du domaine

s de sensibilisation à la

score total du domaine

onfiguration
uration et la gestion des

score total du domaine

x entités authentifiéet

score total du domaine

aux Incidents
es événements
n œuvre une réponse à un
post-inciden
score total du domaine

score total du domaine

les médias
score total du domaine
que
score total du domaine
s
score total du domaine
les risques

score total du domaine

un plan de sécurité du

ontrôles

score total du domaine

ces de sécurité pour les

ons

score total du domaine

lors des actions du

score total du domaine

failles du

illance du réseau et du

score total du domaine

score total du Niveau
points faibles Évaluation Score

0
0

0
0
 Domain
Contrôle d'accès
La gestion d'actifs
Audit et Responsabilité
Sensibilisation et Formation
Gestion de la Configuration
Identification et
Authentification
Réponse aux Incidents
Maintenance
Protection des Médias
Les pratiques
C002 – Contrôler l'accès au système interne
C003 - Contrôler les systèmes à distance
C004 - Limiter l'accès aux données aux processus et Utilisateu
autorisés
score
C005 – Actifs d'identité et de documents
score
C007 – Définir les exigences d'audit
C008- Réaliser L'audit
C009 - Identifier et protéger les informations d'audit
C010 - Examiner et gérer les journaux d'audit
score
C011 - Mener des activités de sensibilisation à la sécurité
score
C014 - Effectuer la configuration et la gestion des modification
score
C015 – Accorder l'accès aux entités authentifiéet
score
C018 - Élaborer et mettre en œuvre une réponse à un incide
déclaré
C020 - Tester la réponse aux incidents
score
C021 - Gérer l'entretien
score
C022 - Identifier et marquer les supports
C023 - Protéger et contrôler les médias
C025 - Protéger les médias pendantle transport
 score
Protection Physique C028 - Limiter l'accès physique
score
Récupération C029 - Gérer les sauvegardes
score
C031 - Identifier et évaluer les risques
Gestion des Risques
C032- Gérer le risque
score
Évaluation de C035 - Définir et gérer les contrôles
la sécurité C036 - Effectuer des revues de code
score
connaissance de la situation C037- Mettre en œuvre la surveillance des menaces
score
C038 - Définir les exigences de sécurité pour les systèmes et l
Protection du système et des communications
Communications
C039- Contrôler la communication aux limites du système

score
Intégrité des systèmes et des C042 - Effectuer la surveillance du réseau et du système
informations C043- Mettre en place des protections de messagerie avancées
score
score
 Niveau 3
pratiques Documents justificatifs pratiques mise en place

système interne

stèmes à distance
données aux processus et Utilisateurs

score total du domaine

e documents
score total du domaine
s d'audit

les informations d'audit

s journaux d'audit

score total du domaine

de sensibilisation à la sécurité

score total du domaine

ation et la gestion des modifications

score total du domaine

x entités authentifiéet
score total du domaine
en œuvre une réponse à un incident

x incidents

score total du domaine

score total du domaine

r les supports

r les médias

pendantle transport
 score total du domaine
que
score total du domaine
s
score total du domaine
les risques

score total du domaine

ontrôles
de code
score total du domaine
urveillance des menaces
score total du domaine
s de sécurité pour les systèmes et les

ication aux limites du système

score total du domaine

nce du réseau et du système
rotections de messagerie avancées
score total du domaine
score total du Niveau
points faibles Évaluation Score

0
0

0
0
 Domain Les pratiques
C002 – Contrôler l'accès au système interne
Contrôle d'accès
C003 - Contrôler les systèmes à distance
score total d
La gestion d'actifs C006 – Gérer l'inventaire des actifs
score total d
C010 - Examiner et gérer les journaux
Audit et Responsabilité
d'audit
score total d
C011 - Mener des activités de sensibilisation à la
Sensibilisation et formation sécurité
score total d
Gestion de la C014 - Effectuer la configuration et la gestion des
Configuration modifications
score total d
Réponse aux C016 - Planifier la réponse aux Incidents
C018 - Élaborer et mettre en œuvre une réponse à un
Incidents: incident déclaré
score total d
Gestion des C031 - Identifier et évaluer les risques
C033 - Gérer le risque de la chaîne
Risques: d'approvisionnement
score total d
C034 - Élaborer et gérer un plan de sécurité du
système
Évaluation de
la sécurité
C035 - Définir et gérer les contrôles

connaissance de
la situation
Protection du système
des Communications
score total d
C037- Mettre en œuvre la surveillance des menaces
score total d
C038 - Définir les exigences de sécurité pour les
et systèmes et les communications
C039- Contrôler la communication aux limites du
système
score total d
Intégrité des systèmes C040 - Identifier et gérer les failles du système
et des informations D'information
score total d
score total
 Niveau 4
Documents justificatifs pratiques mise en place points faibles

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine
score total du Niveau
Évaluation Score

0
0
0
 Domain Les pratiques

Contrôle d'accès: C002 – Contrôler l'accès au système interne

score t
Audit et
C008 – Effectuer l'audit
Responsabilité
score t
Gestion de la C014 - Effectuer la configuration et la gestion des
Configuration modifications
score t

C016 - Planifier la réponse aux Incidents

Réponse aux C018 - Élaborer et mettre en œuvre une réponse à un

Incidents incident déclaré

C020 - Tester la réponse aux incidents

score t
C030 - Gérer la continuité de la sécurité de
Récupération l'information
score t
C031 - Identifier et évaluer les risques
Gestion des Risques
C032- Gérer le risque

score t
C038 - Définir les exigences de sécurité pour les
Protection du système et des systèmes et les communications
Communications C039- Contrôler la communication aux limites du
système
score t

C041 - Identifier le contenu malveillant

Intégrité des systèmes
et des informations C042 - Effectuer la surveillance du réseau et du
système
score t
score

30

25

20
 30

25

20

15

10

0
: x
cè
s ne in
e la in
e
au
ai e n
et ilité m a n d tio m a
ac m s e ts m
d' t
do udi sab do stio ura do pon iden do
le du A on du g u u
rô l G e onfi al d Ré Inc ld
ont
ta e s p tal C t ta
C t o R t o to to
e e e re
cor cor cor co
s s s s

Les pratiques
pratiques mise en place points faib
 Niveau 5
Documents
justificatifs
pratiques mise en place points faibles

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du domaine

score total du Niveau
 la e x ne on ne es ne ns ne es ne au
de on a
in au ai ai qu ai tio ai ai
n rati om s e ts m rati m i s m a m tè m s
n m N ive
d on en do pé do sR do ic do s o
sy ti do du
gu du ép ncid u cu du de du un du des rma du
l R I ld Ré l n l m l l t al
ta ta a a m a o a o
to to to
t tio to
t o t
to grit s in
é f
to
t t
e e es e esC e e e or
e
or o r G o r d or té d or s c
sc sc sc et sc In et sc
e
èm
st
sy
du
on
ti
ec
rot
P

es pratiques Documents justificatifs

ratiques mise en place points faibles Évaluation Score
Évaluation Score

0
0

2
2

2
6

0
0

2
5

2
5

2
5
24
 30

25

20

15

10

0
: ux es ns
ès ne ne e la n in
e on ne ne ne
cc ai e t lité ai d tio m a se a ts rati ai ai s qu ai tio
a m i m m m i m a m
d' t n
do udi sab do stio ura do pon iden up
é do do sR do ni
c do
le u n du g u u c u e u u u
rt ô l d A o
p tal
e
G on al d
fi Ré Inc ld Ré ld d ld m ld
n t a s C tot ta ta on ta om ta ité d
Co to R e to to to s ti to C to
e e e e e Ge e s e gr s
or or or or or or de or Inté t de
sc sc sc sc sc sc e t s c e
e
tèm
s
sy
du
n
tio
tec
o
Pr
Les pratiques Documents justifica
pratiques mise en place points faibles Évaluation Score
e s ne s ne es ne au
ue ai on ai ai ve
sq ti èm ns i
R i
do
m ica do
m t
ys tio do
m
u
N
es u un u s s ma u ld
ld m l d e
d r l d t a
ta om ta é fo ta to
to sC to grit s in to re
e e e o
or de or Inté t de or sc
sc et sc e sc
e
èm
st
sy
du
n
tio

Documents justificatifs
tion Score
Les notes Description Les critères
0 Inexistant
1 Faible
2 Moyen
3 Forte