CMMC et UK Cyber Essentials: baselines cyber de défense
Guide - Baselines cyber de défense et gouvernement
Deux baselines cyber portées par les pouvoirs publics conditionnent désormais l'accès aux chaines d'approvisionnement de défense et du secteur public de part et d'autre de l'Atlantique: CMMC 2.0 (Cybersecurity Maturity Model Certification) cote américain, qui gouverne la base industrielle de défense sous l'autorité du DoD (Department of Defense), et Cyber Essentials avec son niveau audite Cyber Essentials Plus cote britannique, qui gouverne l'accès aux contrats publics du Royaume-Uni sous gouvernance du NCSC via l'IASME Consortium. Les deux sont des schémas d'assurance cybersécurité corporate, pas des régimes de cybersécurité produit. Ils visent le système d'information du contractant, son traitement d'informations sensibles, et ses pratiques operationnelles. Pour les fabricants électroniques et intégrateurs exposes aux chaines d'approvisionnement défense ou gouvernement, l'absence de l'une ou l'autre baseline ferme l'accès a des catégories entières de contrats, indépendamment de la conformité produit. Ce guide cartographie les deux schémas, leurs niveaux, les voies d'évaluation, et les pieges de cadrage récurrents.
CMMC 2.0: la baseline de la base industrielle de défense US
Section intitulée « CMMC 2.0: la baseline de la base industrielle de défense US »La DIB (Défense Industrial Base) est le réseau de contractants et sous-traitants américains et allies soutenant le DoD pour le matériel, le logiciel, les services et la recherche. Elle inclut les contractants principaux, les fournisseurs de composants et sous-systèmes, les intégrateurs, et une longue traine de petits fournisseurs specialises. CMMC 2.0 est le cadre qui conditionne l'assurance cybersécurité pour tout participant a la DIB manipulant de l'information fédérale.
Ancrage réglementaire: 32 CFR Part 170 et DFARS 252.204-7021
Section intitulée « Ancrage réglementaire: 32 CFR Part 170 et DFARS 252.204-7021 »CMMC 2.0 a ete publie dans 32 CFR Part 170 avec date d'entrée en vigueur en décembre 2024. La clause contractuelle qui fait d'un niveau CMMC une condition d'attribution est 48 CFR / DFARS 252.204-7021, Contractor Compliance with the Cybersecurity Maturity Model Certification Level Requirement. La clause est progressivement intégrée aux appels d'offres DoD jusqu'en 2027, avec priorité donnée aux contrats impliquant de la CUI sur des programmes d'acquisition critiques.
Deux catégories distinctes d'information fédérale dictent le périmètre:
- FCI (Fédéral Contract Information): information fournie par ou générée pour le gouvernement dans le cadre d'un contrat, non destinée a publication; applicabilité large dans la base des contractants.
- CUI (Controlled Unclassified Information): information qui necessite des mesures de protection en vertu de la loi, du règlement ou d'une politique gouvernementale, sans pour autant être classifiee. Exemples: données de conception sur des systèmes militaires, données techniques contrôlées, informations soumises a controle d'exportation sous ITAR / EAR.
Le niveau exige par un contrat donne dépend de l'information FCI ou CUI traitée par le contractant.
Niveau 1, Foundational
Section intitulée « Niveau 1, Foundational »CMMC niveau 1 s'applique aux contractants manipulant uniquement de la FCI, sans CUI dans le périmètre. Il couvre les 15 pratiques de protection de base dérivées de FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems. Ces pratiques incluent:
- les fondamentaux du controle d'accès (identification et authentification des utilisateurs, limitation aux utilisateurs autorises),
- les fondamentaux de la protection des supports (assainissement avant destruction),
- la protection physique des installations et des équipements,
- la protection des systèmes et des communications (protection des frontières),
- l'intégrité des systèmes et de l'information (protection anti-malware, traitement des alertes de sécurité).
L'évaluation est réalisée par auto-évaluation annuelle avec attestation d'un dirigeant, sans tiers. Le résultat est enregistre dans SPRS (Supplier Performance Risk System), le référentiel central de scoring du risque fournisseur du DoD.
Niveau 2, Advanced
Section intitulée « Niveau 2, Advanced »CMMC niveau 2 s'applique aux contractants manipulant de la CUI. Il couvre les 110 pratiques de NIST SP 800-171 Rev 2, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, publie en février 2020. Ces pratiques sont organisées en 11 familles:
- controle d'accès,
- sensibilisation et formation,
- audit et traceabilite,
- gestion de configuration,
- identification et authentification,
- réponse aux incidents,
- maintenance,
- protection des supports,
- sécurité du personnel,
- protection physique,
- évaluation des risques,
- évaluation de la sécurité,
- protection des systèmes et des communications,
- intégrité des systèmes et de l'information.
Chaque pratique porte un poids (1, 3 ou 5 points) dans le modele de scoring NIST SP 800-171, avec un score SPRS maximal de 110 lorsque toutes les pratiques sont pleinement implémentées.
L'évaluation est différenciée:
- Pour les acquisitions prioritaires (typiquement les contrats impliquant de la CUI sur des programmes critiques), l'évaluation est réalisée par un C3PAO (CMMC Third Party Assessor Organization) accredite par le Cyber AB (CMMC Accreditation Body). Une évaluation réussie donne un certificat CMMC niveau 2 valable trois ans.
- Pour les acquisitions non prioritaires, l'évaluation est par auto-évaluation avec attestation d'un dirigeant, enregistrée dans SPRS, valable un an.
La séparation est fixée par le contrat; le contractant ne choisit pas la voie.
Niveau 3, Expert
Section intitulée « Niveau 3, Expert »CMMC niveau 3 s'applique aux contractants manipulant de la CUI sur les programmes DoD les plus sensibles. Il ajoute un sous-ensemble des pratiques de NIST SP 800-172 au-dessus du socle niveau 2. NIST SP 800-172, Enhanced Security Requirements for Protecting CUI (publie en février 2021), fournit 35 pratiques renforcées; CMMC niveau 3 en retient environ 24.
L'évaluation est conduite par le DIBCAC (Défense Industrial Base Cybersecurity Assessment Center), le bras d'évaluation propre du DoD. Il n'y a pas de voie tierce au niveau 3, et la certification est valable trois ans.
POA&M et certifications conditionnelles
Section intitulée « POA&M et certifications conditionnelles »Un POA&M (Plan of Action and Milestones) est autorise sous CMMC 2.0 sur un ensemble limite de pratiques, sous reserve que:
- le score d'évaluation atteigne le seuil (typiquement 80 % du maximum, avec contraintes sur les pratiques éligibles),
- les pratiques critiques (celles portant un poids 5 dans le modele de scoring SPRS) ne soient pas en POA&M,
- les éléments POA&M soient clos dans un délai de 180 jours apres l'évaluation.
Le contractant reçoit une certification conditionnelle qui devient définitive a la cloture de tous les éléments POA&M. Un élément POA&M reste ouvert au-dela de la fenetre de 180 jours invalide la certification conditionnelle et declenche une re-évaluation. La gestion du cycle de vie POA&M est l'aspect le plus sensible opérationnellement de la conformité CMMC, particulièrement pour les organisations a equipe cybersécurité interne reduite.
SPRS et l'auto-évaluation NIST 800-171 existante
Section intitulée « SPRS et l'auto-évaluation NIST 800-171 existante »Le SPRS (Supplier Performance Risk System) est le référentiel central du DoD pour les informations de risque fournisseur, incluant le score d'auto-évaluation NIST SP 800-171 requis depuis 2020 sous DFARS 252.204-7012 et 252.204-7019 / 7020. Un contractant DIB manipulant de la CUI a typiquement déjà depose un score d'auto-évaluation dans SPRS.
CMMC niveau 2 s'appuie directement sur cette base: les 110 pratiques sont identiques, le modele de scoring est le même, seule la voie d'évaluation change (auto-évaluation seule de 2020 a 2024, certification formelle par C3PAO ou DIBCAC sous CMMC). Une organisation avec un score SPRS eleve existant et des preuves documentées a des délais matériellement plus courts pour la certification niveau 2.
Cout CMMC: a quoi s'attendre
Section intitulée « Cout CMMC: a quoi s'attendre »Le coût varie selon la taille de l'entreprise, l'ampleur du traitement de CUI, la posture de sécurité existante et la voie d'évaluation (auto-évaluation vs C3PAO vs DIBCAC). Le DoD a publie des estimations de coût dans la regle finale a 32 CFR Part 170, ventilées par niveau, type d'évaluation et cycle (initial, attestation, surveillance). Des points de données pilotes existent depuis les évaluations C3PAO conduites en 2024 et 2025, mais varient largement. Il convient de se référer aux estimations de coût DoD publiées plutôt qu'aux chiffres publies par les prestataires, qui reflètent souvent un cas de cadrage etroit.
UK Cyber Essentials: la baseline britannique
Section intitulée « UK Cyber Essentials: la baseline britannique »Le régime équivalent britannique est structurellement plus simple: un schéma unique a deux niveaux (basique et Plus), construit sur cinq controles techniques prescriptifs, administre par un organisme d'accréditation unique depuis 2020.
Ancrage réglementaire et institutionnel: NCSC et IASME
Section intitulée « Ancrage réglementaire et institutionnel: NCSC et IASME »Le schéma est détenu par le NCSC (National Cyber Security Centre), l'autorité technique du gouvernement britannique en cybersécurité (partie du GCHQ). La livraison opérationnelle et l'accréditation des assesseurs sont conduites par l'IASME Consortium, designe par le NCSC comme seul organisme d'accréditation pour Cyber Essentials en 2020 (il avait auparavant ete l'un de plusieurs). IASME accredite un réseau d'organismes de certification, qui a leur tour emploient ou sous-traitent des assesseurs certifies IASME habilites a délivrer les évaluations Cyber Essentials et Cyber Essentials Plus.
Perimetre obligatoire pour les contrats publics britanniques
Section intitulée « Perimetre obligatoire pour les contrats publics britanniques »Cyber Essentials est requis pour de nombreux contrats du gouvernement central britannique depuis 2014, particulièrement ceux impliquant:
- le traitement d'informations personnelles,
- le traitement d'informations sensibles,
- la fourniture de services ou produits ICT.
Le MOD (Ministry of Defence) exige Cyber Essentials sur de nombreux contrats de sa chaine d'approvisionnement, avec Cyber Essentials Plus obligatoire dans les niveaux les plus sensibles. Au-dela du secteur public, Cyber Essentials est largement demande par les acheteurs prives des secteurs régulés (services financiers, santé, infrastructures critiques) et comme prérequis contractuel par les grands intégrateurs répercutant l'exigence sur leurs fournisseurs.
Cinq controles techniques
Section intitulée « Cinq controles techniques »Le schéma repose sur cinq controles techniques définis de maniere prescriptive, pas fondes sur le risque:
- Firewalls (pare-feu): chaque équipement doit être protege par un pare-feu correctement configure (ou équivalent réseau); mots de passe administrateur par défaut changes; services entrants restreints a ceux requis et autorises.
- Secure configuration (configuration sécurisée): équipements et logiciels configures pour réduire les vulnérabilités; comptes par défaut supprimes ou renommes; services inutiles désactivés; auto-exécution désactivée sur les supports amovibles.
- User access control (controle d'accès utilisateur): comptes utilisateur attribues aux seuls individus autorises; privilèges administratifs accordes uniquement lorsque nécessaire; authentification multi-facteur sur les services cloud; exigences mots de passe alignées sur les recommandations NCSC.
- Malware protection (protection contre les malwares): logiciel anti-malware, allow-listing applicatif ou sandboxing; signatures a jour; analyse temps réel lorsque applicable.
- Security update management (gestion des mises a jour de sécurité): logiciels sous licence et supportes; mises a jour de sécurité appliquées dans les délais définis par le schéma (typiquement 14 jours apres publication pour les vulnérabilités élevées ou critiques).
L'ensemble des controles est mis a jour périodiquement par le NCSC et IASME (l'itération actuelle en vigueur est référencée par IASME sous une version nommée, avec rafraîchissement periodique); les fabricants doivent référencer la version active du schéma sur les sites NCSC et IASME au moment de l'évaluation.
Cyber Essentials, niveau basique
Section intitulée « Cyber Essentials, niveau basique »Le niveau basique est delivre sur auto-évaluation vérifiée:
- Le candidat remplit le questionnaire IASME, mappant chacun des cinq controles au parc IT en périmètre (IT corporate, BYOD lorsque utilise pour le travail, services cloud, postes de travail).
- Le questionnaire est examine par un assesseur certifie IASME.
- Sur examen favorable, le certificat est émis et l'organisation est listée dans l'annuaire IASME.
- Le certificat est valable 12 mois et requiert un renouvellement annuel.
Le niveau basique est structurellement proche d'un régime déclaratif avec verification documentaire par l'assesseur. Il n'inclut pas d'audit technique pratique.
Cyber Essentials Plus, niveau audite
Section intitulée « Cyber Essentials Plus, niveau audite »Le niveau Plus couvre les mêmes cinq controles mais ajoute un audit technique pratique par l'assesseur certifie IASME, incluant typiquement:
- scan de vulnérabilités externes des actifs exposes a Internet, recherchant les vulnérabilités connues et les services non patches,
- scan de vulnérabilités interne d'un échantillon représentatif de postes de travail,
- test de détection malware (détonation de fichiers test contre le controle de protection anti-malware, pour vérifier qu'il les bloque effectivement),
- test de configuration des navigateurs et clients de messagerie, vérifiant que les défauts s'alignent sur le schéma (pas d'exécution de scripts non signes sur les pièces jointes, pas d'auto-exécution des supports amovibles, etc.).
L'échec sur l'un des éléments d'audit, y compris un navigateur non patche sur un poste de l'échantillon, conduit a la non-emission du certificat jusqu'a remédiation. Plus est valable 12 mois et requiert un renouvellement annuel.
IASME Cyber Assurance: l'alternative britannique a ISO 27001
Section intitulée « IASME Cyber Assurance: l'alternative britannique a ISO 27001 »Pour les PME ayant besoin d'une assurance au niveau système de management sans le coût et la complexité d'ISO 27001, IASME opere également IASME Cyber Assurance (anciennement IASME Governance), un référentiel developpe au Royaume-Uni aligne sur ISO 27001 mais plus accessible. Il est typiquement associe a Cyber Essentials et joue un rôle comparable a celui d'ISO 27001, de la même maniere que Cyber Essentials joue un rôle comparable a un sous-ensemble fonde sur des controles d'ISO/IEC 27001.
CMMC et Cyber Essentials cote a cote
Section intitulée « CMMC et Cyber Essentials cote a cote »Les deux schémas partagent une philosophie commune (assurance cybersécurité corporate conditionnant l'accès aux chaines d'approvisionnement publiques) mais different sur la structure:
| Critere | CMMC 2.0 | Cyber Essentials / Plus |
|---|---|---|
| Juridiction | Etats-Unis, DoD | Royaume-Uni, NCSC |
| Gouvernance | DoD CIO, Cyber AB, C3PAOs, DIBCAC | NCSC, IASME Consortium (seul organisme d'accréditation depuis 2020) |
| Niveaux | L1 (Foundational), L2 (Advanced), L3 (Expert) | Cyber Essentials (basique), Cyber Essentials Plus (audite) |
| Referentiel | NIST SP 800-171 Rev 2 (L2), NIST SP 800-172 (sous-ensemble L3) | Schema NCSC Cyber Essentials, cinq controles |
| Voie d'évaluation | Auto-évaluation, C3PAO ou DIBCAC selon niveau | Auto-évaluation vérifiée (basique), audite (Plus) |
| Validite du certificat | 3 ans (L2 C3PAO, L3 DIBCAC), 1 an (auto-évaluation) | 12 mois, renouvellement annuel |
| Type d'information en périmètre | FCI (L1), CUI (L2, L3) | Information de contrat public britannique largement |
| Clause contractuelle | DFARS 252.204-7021 | Exigences fournisseurs UK depuis 2014 |
| Modele de maturité | Pratique-based, prescriptif | Controle-based, prescriptif |
| Reconnaissance mutuelle | Aucune avec schémas non-US | Aucune avec schémas non-UK |
| Systeme de management adjacent | ISO 27001 soutient les preuves | ISO 27001 ou IASME Cyber Assurance |
Aucun des deux schémas ne delivre de réciprocité avec l'autre. Un contractant américain disposant d'un certificat CMMC niveau 2 ne peut pas utiliser ce certificat pour satisfaire une exigence Cyber Essentials britannique, et reciproquement. Une organisation opérant des deux cotes de l'Atlantique doit obtenir les deux schémas si elle répond a des contrats des deux cotes.
Considerations transversales
Section intitulée « Considerations transversales »Quelques points de cadrage récurrent en pratique méritent d'être explicites, notamment pour les fabricants électroniques et intégrateurs.
ISO 27001 couvre un périmètre plus large mais ne satisfait pas CMMC ou Cyber Essentials
Section intitulée « ISO 27001 couvre un périmètre plus large mais ne satisfait pas CMMC ou Cyber Essentials »ISO/IEC 27001 est la norme internationale de système de management pour la sécurité de l'information. Son périmètre est plus large (ISMS fonde sur le risque a l'échelle de l'organisation) que CMMC (ensemble de controles spécifique sur les systèmes traitant la CUI) ou Cyber Essentials (cinq controles techniques prescriptifs). Un ISMS ISO 27001 mature:
- soutient la collecte de preuves CMMC sur nombre des 110 pratiques NIST SP 800-171, particulièrement dans les familles évaluation des risques, évaluation de la sécurité et réponse aux incidents,
- soutient la collecte de preuves Cyber Essentials sur la gestion de configuration, le controle d'accès et la gestion des mises a jour,
- ne delivre pas par lui-même l'un ou l'autre certificat.
Des tables de correspondance existent entre NIST SP 800-171 et les controles Annexe A d'ISO 27001, mais ne sont pas formellement reconnues comme réciprocité par le DoD ou par IASME.
NIS 2 et DORA: régimes UE adjacents
Section intitulée « NIS 2 et DORA: régimes UE adjacents »Pour les organisations avec exposition UE, deux régimes adjacents recoupent CMMC et Cyber Essentials en ampleur d'effort sans délivrer de réciprocité:
- la directive NIS 2 (Network and Information Security Directive 2, directive UE 2022/2555), en vigueur depuis janvier 2023 et transposée nationalement jusqu'en 2024, s'applique aux entités essentielles et importantes incluant certains fabricants et intégrateurs des secteurs infrastructure numérique et services ICT,
- DORA (Digital Operational Resilience Act, règlement UE 2022/2554), applicable depuis janvier 2025, s'applique aux entités financières et a leurs prestataires ICT tiers critiques.
Les deux imposent des régimes d'assurance cybersécurité corporate structurellement comparables a CMMC et Cyber Essentials, mais avec périmètre juridictionnel UE et voies d'évaluation propres. Un fabricant touchant plusieurs régimes affronte un effort de conformité multiplie, avec de fortes opportunités de réutilisation des preuves mais sans réciprocité formelle.
Cyber produit vs cyber corporate
Section intitulée « Cyber produit vs cyber corporate »C'est la confusion de cadrage la plus frequente dans le secteur de la fabrication électronique. CMMC, Cyber Essentials et les régimes cyber corporate adjacents (NIS 2, DORA, ISO 27001) concernent l'environnement IT et OT du contractant lui-même, pas le produit livre au client. Ils couvrent le controle d'accès, la journalisation, la réponse aux incidents, la gestion de configuration des systèmes corporate.
La cybersécurité cote produit pour les produits radio et connectes est régie par un autre ensemble de régimes:
- en UE, les actes delegues de la directive RED Article 3(3)(d), (e), (f), avec norme harmonisée EN 18031 applicable depuis août 2025 (traite dans Checklist RED Article 3(3)(d-f) cybersécurité),
- en UE, le Cyber Resilience Act (CRA, règlement UE 2024/2847), traite dans Cyber Resilience Act (CRA),
- pour l'automatisation industrielle, la famille de normes IEC 62443,
- pour l'IoT grand public, ETSI EN 303 645, traite dans EN 303 645 cybersécurité IoT,
- pour les modules cryptographiques, FIPS 140-3, traite dans FIPS 140-3 modules cryptographiques,
- pour la certification produit haut niveau d'assurance, les Criteres Communs (ISO/IEC 15408), traites dans Criteres Communs ISO 15408, et le schéma national français CSPN dans CSPN ANSSI.
Un fournisseur défense doit adresser les deux axes: cyber corporate via CMMC et Cyber Essentials, plus cyber produit via le régime cote produit applicable. Confondre les deux est l'erreur de cadrage typique des nouveaux entrants.
Voir aussi
Section intitulée « Voir aussi »- PSA Certified: sécurité IoT pilotée par Arm
- SESIP: méthodologie d'évaluation cybersécurité IoT
- TPM 2.0 et sécurité matérielle TCG
- CRA : Cyber Resilience Act, exigences UE numérique
Pieges récurrents
Section intitulée « Pieges récurrents »Plusieurs erreurs reviennent dans les projets CMMC et Cyber Essentials menes par les fabricants électroniques et intégrateurs.
- Confondre CMMC et cybersécurité produit. CMMC concerne l'environnement IT corporate du contractant, pas le produit. Implémenter IEC 62443 sur une ligne de produits ne contribue pas a la conformité CMMC, et reciproquement.
- System Security Plan (SSP) manquant ou incomplet. Le SSP est le document de cadrage fondateur de tout dossier NIST SP 800-171 / CMMC niveau 2. Il définit la frontière de l'environnement en périmètre, les flux de données, l'inventaire des actifs CUI, et l'implémentation de chacune des 110 pratiques. Un SSP absent ou faible est la cause la plus courante d'échec d'évaluation.
- Elements POA&M laisses expirer. Une certification CMMC conditionnelle devient nulle si les éléments POA&M restent ouverts a l'échéance de 180 jours. Les organisations sous-estiment l'effort de remédiation et perdent le certificat conditionnel, déclenchant une re-évaluation complete.
- Cyber Essentials Plus échouant sur un navigateur non patche. Le test de configuration des navigateurs et clients de messagerie de l'audit Plus detecte les postes avec versions de navigateur obsoletes. Un seul poste echantillonne non conforme peut faire échouer l'audit complet. La gestion des correctifs sur les postes de travail doit être rigoureuse dans les semaines précédant l'audit.
- Rotation des assesseurs IASME entraînant un effort de re-évaluation. Lorsque l'assesseur certifie IASME initial change de centre de certification ou quitte le réseau, la continuité relationnelle est perdue. Le renouvellement au sein du même organisme est recommande lorsque la relation avec l'assesseur est opérationnellement critique.
- Cadrer l'environnement en périmètre trop large ou trop etroit. Une frontière SSP trop large multiplie la charge de preuve sur l'ensemble de l'organisation; trop étroite risque d'exclure des systèmes qui touchent la CUI et d'invalider la certification. Des revues de cadrage avec des consultants experimentes dans les mois précédant l'évaluation sont rentables.
- Supposer qu'un score SPRS eleve garantit la certification CMMC niveau 2. L'auto-évaluation SPRS utilise les mêmes 110 pratiques mais un standard de preuve moins rigoureux qu'une évaluation C3PAO. Un score de 105 dans SPRS ne garantit pas une évaluation C3PAO favorable si les preuves sur les pratiques sous-jacentes sont minces.
- Traiter ISO 27001 comme un substitut. Aucun des deux schémas n'accepte ISO 27001 comme équivalent. ISO 27001 soutient la collecte de preuves mais ne delivre pas le certificat. Les organisations certifiées ISO 27001 doivent encore passer CMMC et Cyber Essentials separement.
- Cycles de renouvellement manques. Cyber Essentials et Plus expirent annuellement; CMMC niveaux 2 et 3 expirent apres trois ans. Laisser l'un ou l'autre expirer rompt l'éligibilité contractuelle. Le renouvellement doit être planifie trois a six mois avant expiration.
- Sous-estimer le périmètre BYOD pour Cyber Essentials. Les terminaux personnels utilises pour le courrier électronique professionnel ou l'accès VPN sont dans le périmètre de Cyber Essentials. De nombreuses organisations le découvrent tard et constatent que les terminaux BYOD échouent aux controles techniques (pare-feux non geres, versions d'OS non supportées).
Synthese
Section intitulée « Synthese »- CMMC 2.0 est la baseline US DoD pour la base industrielle de défense, ancrée dans 32 CFR Part 170 (en vigueur décembre 2024) et DFARS 252.204-7021 (déploiement progressif jusqu'en 2027). Trois niveaux: L1 Foundational (15 pratiques de FAR 52.204-21, auto-évaluation), L2 Advanced (110 pratiques de NIST SP 800-171 Rev 2, C3PAO ou auto-évaluation selon contrat), L3 Expert (sous-ensemble de NIST SP 800-172, évaluation DIBCAC).
- Cyber Essentials est la baseline britannique sous gouvernance NCSC via l'IASME Consortium (seul organisme d'accréditation depuis 2020), fondée sur cinq controles techniques (pare-feu, configuration sécurisée, controle d'accès utilisateur, protection anti-malware, gestion des mises a jour de sécurité). Requis pour de nombreux contrats publics britanniques depuis 2014.
- Cyber Essentials Plus ajoute un audit technique pratique (scans de vulnérabilités, test malware, configuration navigateurs/messagerie) par un assesseur certifie IASME.
- Les deux schémas concernent l'environnement IT corporate du contractant, pas le produit. La cybersécurité produit est régie ailleurs: RED Article 3(3)(d-f), CRA, IEC 62443, EN 303 645, FIPS 140-3, Criteres Communs.
- ISO 27001 soutient la collecte de preuves dans les deux schémas mais ne delivre aucune réciprocité formelle.
- Aucune reconnaissance mutuelle entre CMMC et Cyber Essentials. Un fournisseur transatlantique a besoin des deux.
- Le POA&M sous CMMC 2.0 permet une certification conditionnelle sous reserve que les éléments soient remedies dans 180 jours; expiration entraine annulation de la certification. Les pratiques critiques ne sont pas éligibles au POA&M.
- Renouvellement: 12 mois pour Cyber Essentials et Plus, 3 ans pour CMMC niveaux 2 (C3PAO) et 3 (DIBCAC). La planification de renouvellement doit démarrer plusieurs mois avant.
- Pour une cartographie plus large des certifications de cybersécurité, voir Cyber Resilience Act (CRA), EN 303 645 cybersécurité IoT, FIPS 140-3 modules cryptographiques, Criteres Communs ISO 15408, CSPN ANSSI, Checklist RED, et le Glossaire pour les définitions.
Sources & références
- CMMC 2.0 Program, 32 CFR Part 170 , Office of the Federal Register www.ecfr.gov/current/title-32/subtitle-A/chapter-I/subchapter-D/part-170
- DFARS 252.204-7021, Contractor Compliance with the CMMC Level Requirement , Defense Acquisition Regulations System www.acquisition.gov/dfars/252.204-7021-contractor-compliance-cybersecurity-maturity-model-certification-level-requirement
- NIST SP 800-171 Rev 2, Protecting Controlled Unclassified Information in Nonfederal Systems , National Institute of Standards and Technology csrc.nist.gov/pubs/sp/800/171/r2/final
- NIST SP 800-172, Enhanced Security Requirements for Protecting CUI , National Institute of Standards and Technology csrc.nist.gov/pubs/sp/800/172/final
- NCSC Cyber Essentials scheme , National Cyber Security Centre www.ncsc.gov.uk/cyberessentials/overview
- IASME Consortium, Cyber Essentials delivery partner , IASME Consortium iasme.co.uk/cyber-essentials/
- DoD CIO, CMMC Program Resources , Department of Defense Chief Information Officer dodcio.defense.gov/CMMC/
Questions fréquentes
- Qu'est-ce que CMMC 2.0 et qui est concerne ?
- CMMC (Cybersecurity Maturity Model Certification) 2.0 est le cadre du US Department of Defense (DoD) pour évaluer la posture de cybersécurité de la base industrielle de défense. Il s'applique a tout contractant ou sous-traitant qui traite, stocke ou transmet de la Federal Contract Information (FCI) ou de la Controlled Unclassified Information (CUI) sur des contrats soumis aux clauses DFARS de cybersécurité. La regle finale a ete publiée dans 32 CFR Part 170 avec entrée en vigueur en décembre 2024, et la clause contractuelle 48 CFR / DFARS 252.204-7021 est progressivement intégrée aux appels d'offres jusqu'en 2027. Les organisations concernées incluent les contractants principaux, les sous-traitants de tout rang, les fabricants de composants et les intégrateurs électroniques fournissant les chaines d'approvisionnement DoD.
- Quels sont les trois niveaux CMMC ?
- Le niveau 1 (Foundational) couvre 15 pratiques de base dérivées de FAR 52.204-21 et s'applique aux contractants ne manipulant que de la FCI; il repose sur une auto-évaluation annuelle avec attestation d'un dirigeant. Le niveau 2 (Advanced) couvre les 110 pratiques de NIST SP 800-171 Rev 2 et s'applique aux contractants manipulant de la CUI; l'évaluation est réalisée par un C3PAO (CMMC Third Party Assessor Organization) pour les contrats prioritaires et par auto-évaluation avec attestation sinon. Le niveau 3 (Expert) ajoute un sous-ensemble des pratiques de NIST SP 800-172 par-dessus le niveau 2 et s'applique aux contractants manipulant de la CUI sur les programmes les plus sensibles; l'évaluation est conduite par le DIBCAC (Défense Industrial Base Cybersecurity Assessment Center). Chaque niveau est dicte par le contrat, pas choisi par le contractant.
- Comment CMMC s'articule-t-il avec l'auto-évaluation NIST SP 800-171 déjà déposée dans SPRS ?
- Depuis 2020, les contractants DoD manipulant de la CUI doivent réaliser une auto-évaluation au regard de NIST SP 800-171 Rev 2 et soumettre le score résultant a SPRS (Supplier Performance Risk System), le référentiel central de risque fournisseur du gouvernement. CMMC niveau 2 s'appuie directement sur ce cadre: les 110 pratiques sont identiques. Le changement apporte par CMMC est le passage de l'auto-attestation seule a une évaluation par un tiers C3PAO pour les contrats prioritaires, avec certification formelle valable trois ans. La soumission SPRS reste le point d'entrée, et un score SPRS eleve avec preuves documentées raccourcit le chemin vers une évaluation CMMC niveau 2.
- Qu'est-ce que UK Cyber Essentials et qui en a besoin ?
- Cyber Essentials est le schéma soutenu par le gouvernement britannique, opere par l'IASME Consortium sous la gouvernance du National Cyber Security Centre (NCSC), seul organisme d'accréditation depuis 2020. Il repose sur cinq controles techniques: pare-feu, configuration sécurisée, controle d'accès utilisateur, protection contre les malwares, et gestion des mises a jour de sécurité. Il est delivre sur la base d'une auto-évaluation annuelle validée par un assesseur certifie IASME. Depuis 2014, Cyber Essentials est requis pour de nombreux contrats publics britanniques et est largement demande dans les chaines d'approvisionnement de défense, les marches publics et comme prérequis contractuel par les acheteurs prives. Cyber Essentials Plus est le niveau supérieur avec verification auditée des mêmes controles.
- Quelle est la différence entre Cyber Essentials et Cyber Essentials Plus ?
- Cyber Essentials (basique) est delivre sur auto-évaluation vérifiée: le candidat remplit un questionnaire mappe aux cinq controles, un assesseur certifie IASME examine les réponses, et le certificat est émis. Cyber Essentials Plus est delivre sur audit technique pratique par le même assesseur: scan de vulnérabilités externes des actifs exposes a Internet, scan interne d'un échantillon de postes de travail, test de détection malware (détonation de fichiers contre le controle de protection), et verification de la configuration des navigateurs et clients de messagerie. Plus est requis pour les contrats ou l'autorité contractante exige une assurance auditée. Les deux expirent annuellement et requièrent un renouvellement.
- ISO 27001 satisfait-il les exigences CMMC ou Cyber Essentials ?
- Non, ni pour CMMC ni pour Cyber Essentials, mais ISO 27001 soutient fortement la collecte de preuves dans les deux cas. ISO/IEC 27001 est une norme de système de management avec un périmètre organisationnel plus large que l'un ou l'autre programme, couvrant la sécurité de l'information fondée sur le risque a l'échelle de l'organisation. CMMC niveau 2 mappe sur NIST SP 800-171 Rev 2 avec des définitions fédérales US spécifiques du traitement de la CUI qu'ISO 27001 n'adresse pas par défaut. Cyber Essentials est un schéma fonde sur des controles, sur cinq controles techniques prescriptifs, distinct de l'approche fondée sur le risque d'ISO 27001. Un ISMS ISO 27001 mature réduit l'effort marginal des deux, mais aucun ne delivre de réciprocité formelle.
- CMMC concerne-t-il le produit ou l'environnement IT de l'entreprise ?
- CMMC concerne l'environnement IT et OT corporate du contractant, pas le produit livre. Les 110 pratiques de NIST SP 800-171 couvrent le controle d'accès, la journalisation d'audit, la réponse aux incidents, la gestion de configuration et autres controles IT entreprise appliques aux systèmes qui traitent de la CUI. La cybersécurité cote produit pour les produits radio et connectes est régie en UE par les actes delegues de la directive RED Article 3(3)(d-f) et largement par IEC 62443 pour l'automatisation industrielle. Confondre conformité CMMC et cybersécurité produit est l'une des erreurs de cadrage les plus frequentes, notamment dans le secteur de la fabrication électronique.
- Comment fonctionnent les POA&M et les certifications conditionnelles sous CMMC 2.0 ?
- CMMC 2.0 autorise un POA&M (Plan of Action and Milestones) sur un ensemble limite de pratiques, sous reserve que le seuil de score soit atteint et que les éléments soient remedies dans un délai de 180 jours. Une certification conditionnelle est alors émise, devenant définitive a la cloture des éléments POA&M. Les pratiques critiques (celles pondérées le plus lourdement dans le modele de scoring SPRS) ne sont pas éligibles au POA&M et doivent être implémentées au moment de l'évaluation. Les éléments POA&M restes ouverts au-dela de la fenetre de 180 jours invalident la certification conditionnelle et nécessitent une re-évaluation. C'est l'aspect le plus sensible opérationnellement du cycle de vie post-évaluation.