{"id":146554,"date":"2021-03-25T17:06:21","date_gmt":"2021-03-25T17:06:21","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/conformite-cmmc-pour-les-msp\/"},"modified":"2026-05-05T12:43:23","modified_gmt":"2026-05-05T12:43:23","slug":"conformite-cmmc-pour-les-msp","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/conformite-cmmc-pour-les-msp\/","title":{"rendered":"Un guide sur la certification CMMC 2.0 : Comment obtenir la certification CCMC"},"content":{"rendered":"<p>La <a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/cmmc-apercu-et-definition\/\">certification du mod\u00e8le de maturit\u00e9 de la cybers\u00e9curit\u00e9 (CMMC)<\/a> \u00e9tablit des processus, des pratiques et des exigences en mati\u00e8re de cybers\u00e9curit\u00e9 afin de prot\u00e9ger les informations sensibles et non classifi\u00e9es partag\u00e9es par le minist\u00e8re de la d\u00e9fense (DoD) et ses contractants et sous-traitants. Plus pr\u00e9cis\u00e9ment, il vise \u00e0 prot\u00e9ger la base industrielle de d\u00e9fense (BID) contre des cyberattaques plus complexes.<\/p>\n<p>La certification CMMC 2.0 a \u00e9t\u00e9 lanc\u00e9e en novembre 2021, et tous les contractants et sous-traitants du DoD doivent satisfaire \u00e0 toutes les exigences du CMMC d&rsquo;ici \u00e0 2025 pour pouvoir soumissionner \u00e0 de nouveaux contrats ou poursuivre leurs activit\u00e9s avec le minist\u00e8re.<\/p>\n<p>Cet article explique <b>comment obtenir la certification CMMC<\/b> et tout ce qu&rsquo;il faut savoir pour se conformer \u00e0 la norme CMMC.<\/p>\n<p><div class=\"in-context-cta\"><p><span data-sheets-root=\"1\">D\u00e9couvrez comment NinjaOne applique les contr\u00f4les de s\u00e9curit\u00e9 requis pour la conformit\u00e9 au CMMC.<\/p>\n<p><a href=\"https:\/\/www.ninjaone.com\/fr\/gestion-informatique-grande-entreprise\/securite\/\">En savoir plus sur la s\u00e9curit\u00e9 des terminaux informatiques d\u2019entreprise avec NinjaOne<\/a>.<\/span><\/p>\n<\/div><br \/>\n<!--more--><\/p>\n<h2>Qu&rsquo;est-ce que le CMMC ?<\/h2>\n<p><span style=\"font-weight: 400;\">Le CMMC, qui n&rsquo;est pas le m\u00eame que le <a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-the-certificate-of-cloud-security-knowledge\/\">CCSK<\/a>, signifie Cybersecurity Maturity Model Certification, une nouvelle norme qui s&rsquo;applique \u00e0 tous les contractants et sous-traitants du minist\u00e8re de la d\u00e9fense (DoD). La nouvelle certification a \u00e9t\u00e9 con\u00e7ue comme un cadre de cybers\u00e9curit\u00e9 visant \u00e0 assurer la protection des informations sensibles non classifi\u00e9es et \u00e0 se pr\u00e9munir contre les attaques de type \u00ab\u00a0cha\u00eene d&rsquo;approvisionnement\u00a0\u00bb men\u00e9es par des cybercriminels.\u00a0<\/span><\/p>\n<p>Le CMMC veille \u00e0 ce que les fournisseurs et les sous-traitants du minist\u00e8re de la d\u00e9fense prot\u00e8gent les informations sensibles et maintiennent une position solide en mati\u00e8re de cybers\u00e9curit\u00e9. Il s&rsquo;appuie sur les normes et pratiques existantes, notamment les normes NIST SP 800-171 et NIST SP 800-53.<\/p>\n<h3>Qu&rsquo;est-ce que le mod\u00e8le CMMC 2.0 ?<\/h3>\n<p>Le CMMC 2.0 est la prochaine it\u00e9ration du mod\u00e8le initial de cybers\u00e9curit\u00e9. Alors que le mod\u00e8le 1.0 comportait un syst\u00e8me d&rsquo;\u00e9valuation \u00e0 cinq niveaux, chaque niveau devenant progressivement plus difficile et plus co\u00fbteux, le programme 2.0 simplifie ces exigences en les ramenant \u00e0 trois niveaux.<\/p>\n<ul>\n<li aria-level=\"1\">Le <b>niveau 1<\/b> est requis pour les entreprises travaillant avec des informations contractuelles f\u00e9d\u00e9rales (FCI) et n&rsquo;exige que des strat\u00e9gies de cybers\u00e9curit\u00e9 de base telles que d\u00e9finies dans la FAR 52.204-21, \u00ab\u00a0<a href=\"https:\/\/www.acquisition.gov\/far\/52.204-21\" target=\"_blank\" rel=\"noopener\">Basic Safeguarding of Covered Contractor Information Systems<\/a> (<a href=\"https:\/\/www.acquisition.gov\/far\/52.204-21\" target=\"_blank\" rel=\"noopener\">sauvegarde de base des syst\u00e8mes d&rsquo;information contractuels couverts)<\/a> Ce niveau se concentre g\u00e9n\u00e9ralement sur le contr\u00f4le d&rsquo;acc\u00e8s physique, la gestion des risques et l&rsquo;int\u00e9grit\u00e9 des syst\u00e8mes.<\/li>\n<li aria-level=\"1\">Le <b>niveau 2<\/b> est requis pour les entreprises travaillant avec des informations non classifi\u00e9es contr\u00f4l\u00e9es (CUI) et est conforme aux 110 contr\u00f4les de s\u00e9curit\u00e9 d\u00e9finis dans le document NIST 800-171, \u00ab\u00a0<a href=\"https:\/\/csrc.nist.gov\/pubs\/sp\/800\/171\/r3\/final\" target=\"_blank\" rel=\"noopener\">Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations<\/a> (<a href=\"https:\/\/csrc.nist.gov\/pubs\/sp\/800\/171\/r3\/final\" target=\"_blank\" rel=\"noopener\">Protection des informations non classifi\u00e9es contr\u00f4l\u00e9es dans les syst\u00e8mes et entreprises non f\u00e9d\u00e9raux)<\/a> Ce niveau couvre g\u00e9n\u00e9ralement la r\u00e9ponse aux incidents de cybers\u00e9curit\u00e9 et toutes les autres exigences \u00e9nonc\u00e9es au niveau 1.<\/li>\n<li aria-level=\"1\">Le <b>niveau 3 <\/b>est le niveau de conformit\u00e9 le plus \u00e9lev\u00e9, destin\u00e9 aux entreprises travaillant avec des CUI et cibl\u00e9es par des <a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/qu-est-ce-qu-une-menace-persistante-avancee-advanced-persistent-threat-apt\/\">menaces persistantes avanc\u00e9es<\/a> (APT). Il faut se conformer \u00e0 la norme NIST 800-172, \u00ab\u00a0<a href=\"https:\/\/csrc.nist.gov\/Pubs\/sp\/800\/172\/Final\" target=\"_blank\" rel=\"noopener\">Enhanced Security Requirements for Protecting Controlled Unclassified Information \u00a0\u00bb (exigences de s\u00e9curit\u00e9 renforc\u00e9es pour la protection des informations non classifi\u00e9es contr\u00f4l\u00e9es) : A Supplement to NIST Special Publication 800-171<\/a> et comprend des strat\u00e9gies proactives pour d\u00e9tecter les menaces et y rem\u00e9dier avant qu&rsquo;elles n&rsquo;aient un impact sur l&rsquo;entreprise. En tant que tel, le niveau 3 comprend \u00e9galement des capacit\u00e9s de d\u00e9tection et d&rsquo;att\u00e9nuation sophistiqu\u00e9es et des exigences en mati\u00e8re de <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/guide-complet-du-durcissement-des-systemes\/\">renforcement des syst\u00e8mes<\/a>.<\/li>\n<\/ul>\n<p>N&rsquo;oubliez pas que les niveaux du CMMC se renforcent les uns les autres. Ainsi, vous devez terminer le niveau 1 pour atteindre le niveau 2, et ainsi de suite.<\/p>\n<p>La structure actualis\u00e9e a \u00e9galement simplifi\u00e9 consid\u00e9rablement les objectifs \u00e0 atteindre :<\/p>\n<ul>\n<li aria-level=\"1\">Sauvegarde des informations sensibles et militaires.<\/li>\n<li aria-level=\"1\">Renforcer les normes de cybers\u00e9curit\u00e9 de la DIB pour r\u00e9pondre \u00e0 l&rsquo;\u00e9volution des menaces.<\/li>\n<li aria-level=\"1\">Assurer la responsabilit\u00e9 de la conformit\u00e9 avec le CMMC.<\/li>\n<li aria-level=\"1\">Construire une culture de la cybers\u00e9curit\u00e9 et de la cyberr\u00e9silience.<\/li>\n<li aria-level=\"1\">Maintenir la confiance du public gr\u00e2ce \u00e0 des normes professionnelles et \u00e9thiques.<\/li>\n<\/ul>\n<h2>CMCC 1.0 vs. 2.0<\/h2>\n<p>Bien que les deux programmes soient essentiellement identiques en ce qui concerne la protection des informations contr\u00f4l\u00e9es non classifi\u00e9es, le programme 2.0 a apport\u00e9 plusieurs changements cl\u00e9s, qui peuvent \u00eatre d\u00e9crits comme suit :<\/p>\n<table>\n<tbody>\n<tr>\n<td rowspan=\"3\"><b>\u00c9valuations\u00a0<\/b><\/td>\n<td><b>CMCC 1.0<\/b><\/td>\n<td><b>CMCC 2.0<\/b><\/td>\n<\/tr>\n<tr>\n<td>5 niveaux de plus en plus progressifs, du niveau de base au niveau avanc\u00e9.<\/td>\n<td rowspan=\"2\">3 niveaux de plus en plus progressifs.<\/p>\n<ul>\n<li aria-level=\"1\">Niveau 1 (<i>identique au niveau 1 pr\u00e9c\u00e9dent<\/i>)<\/li>\n<li aria-level=\"1\">Niveau 2 (<i>identique au niveau 3 pr\u00e9c\u00e9dent<\/i>)<\/li>\n<li aria-level=\"1\">Niveau 3 (<i>identique au niveau 5 pr\u00e9c\u00e9dent<\/i>)<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td>Les niveaux 2 et 4 sont des \u00e9tapes de transition entre les niveaux 1, 3 et 5.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2><\/h2>\n<ul>\n<li><b>Mod\u00e8le plus rationalis\u00e9. <\/b>Le CMMC 2.0 ne comporte que trois niveaux de conformit\u00e9, contre 5 pour le mod\u00e8le pr\u00e9c\u00e9dent. De plus, le CMMC 2.0 est plus \u00e9troitement align\u00e9 sur les mod\u00e8les de cybers\u00e9curit\u00e9 du NIST.<\/li>\n<li aria-level=\"1\"><b>Am\u00e9lioration de la fiabilit\u00e9 des \u00e9valuations. <\/b>Le CMMC 2.0 permet \u00e0 toutes les entreprises de niveau 1 et \u00e0 un sous-ensemble d&rsquo;entreprises de niveau 2 de d\u00e9montrer leur conformit\u00e9 par le biais d&rsquo;auto-\u00e9valuations, ce qui se traduit par une plus grande responsabilisation.<\/li>\n<li aria-level=\"1\"><b>Mise en \u0153uvre flexible. <\/b>Le CMMC 2.0 permet aux entreprises de cr\u00e9er leurs propres plans d&rsquo;action et jalons (POA&amp;Ms) dans des circonstances pr\u00e9cises. Il permet \u00e9galement au gouvernement de renoncer \u00e0 l&rsquo;inclusion des exigences du CMMC, dans des conditions particuli\u00e8res.<\/li>\n<\/ul>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone size-full wp-image-304529 aligncenter\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2024\/10\/N1-0921-Starting-Cybersecurity-Maturity-Model-Certification-CMMC-Compliance-for-MSPs-and-IT-Pros-graphic-3.png\" alt=\"Graphique CCMC v1 vs v2\" width=\"808\" height=\"673\" \/><\/p>\n<h3>Pourquoi le DoD a-t-il cr\u00e9\u00e9 le programme CMMC 2.0 ?<\/h3>\n<p>Apr\u00e8s le lancement du CMMC 1.0, les repr\u00e9sentants du minist\u00e8re de la d\u00e9fense ont re\u00e7u des informations en retour de la part des parties prenantes concern\u00e9es. La plupart des commentaires sur le mod\u00e8le 1.0 concernaient son co\u00fbt actuel, la mani\u00e8re d&rsquo;accro\u00eetre la confiance dans l&rsquo;\u00e9cosyst\u00e8me d&rsquo;\u00e9valuation du CMMC, ainsi que la clarification et l&rsquo;alignement de ses exigences sur d&rsquo;autres normes f\u00e9d\u00e9rales et commun\u00e9ment accept\u00e9es.<\/p>\n<h2>Qui a besoin de la certification du CMMC ?<\/h2>\n<p>Toute entreprise manipulant des informations classifi\u00e9es ou classifi\u00e9es doit obtenir la certification du CMMC au niveau sp\u00e9cifi\u00e9 dans son contrat. S&rsquo;il n&rsquo;a pas encore de contrat, il est recommand\u00e9 de demander le niveau qui correspond le mieux \u00e0 ses capacit\u00e9s actuelles.<\/p>\n<p>Notez que si vous disposez d&rsquo;une clause <a href=\"https:\/\/www.acquisition.gov\/dfars\/subpart-204.73-safeguarding-covered-defense-information-and-cyber-incident-reporting\" target=\"_blank\" rel=\"noopener\">DFARS 7012<\/a>, vous \u00eates soumis aux exigences de la CMMC.<\/p>\n<h3>Que signifie la CMMC pour les PSM ?<\/h3>\n<p>La conformit\u00e9 au CMMC pour les <a href=\"https:\/\/www.ninjaone.com\/what-is-an-msp\/\">fournisseurs de services g\u00e9r\u00e9s<\/a> (MSP) travaillant avec des clients connect\u00e9s au DoD peut devenir une exigence, et ils doivent \u00e9laborer un plan pour r\u00e9pondre aux exigences \u00e9nonc\u00e9es dans le CMMC de niveau 1. Cela permettra au client de poursuivre ses activit\u00e9s et d&rsquo;am\u00e9liorer la s\u00e9curit\u00e9 globale des clients non connect\u00e9s au D\u00e9partement de la d\u00e9fense. Bon nombre des exigences du CMMC de niveau 1, comme la capacit\u00e9 \u00e0 fournir des \u00e9valuations de s\u00e9curit\u00e9 et des formations de sensibilisation, peuvent \u00eatre des services pr\u00e9cieux \u00e0 inclure dans votre <a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/le-guide-des-accords-de-services-geres-pour-les-fournisseurs-de-services-informatiques-geres\/\">contrat de services g\u00e9r\u00e9s (MSA).<\/a><\/p>\n<p>Pour les prestataires de services de gestion engag\u00e9s dans d&rsquo;autres secteurs de l&rsquo;administration f\u00e9d\u00e9rale et locale, un certain niveau de conformit\u00e9 au CMMC pourrait \u00e9galement devenir la nouvelle norme pour les organismes publics. Compte tenu de l&rsquo;augmentation du nombre de violations de la vie priv\u00e9e et de la demande de services de cybers\u00e9curit\u00e9, le CMMC peut servir de guide utile pour identifier la voie \u00e0 suivre pour d\u00e9velopper l&rsquo;entreprise. Le CMMC a \u00e9galement \u00e9t\u00e9 d\u00e9velopp\u00e9 en partenariat avec des pays europ\u00e9ens comme la Suisse et le Royaume-Uni, ce qui laisse entrevoir la possibilit\u00e9 d&rsquo;une norme internationale en mati\u00e8re de cybers\u00e9curit\u00e9 et de nouvelles opportunit\u00e9s de croissance.<\/p>\n<h2>Quand le CMMC deviendra-t-il obligatoire dans les contrats ?<\/h2>\n<p>Les exigences de certification du mod\u00e8le de maturit\u00e9 de la cybers\u00e9curit\u00e9 (\u00e9galement connu sous le nom de <a href=\"https:\/\/www.acquisition.gov\/dfars\/252.204-7012-safeguarding-covered-defense-information-and-cyber-incident-reporting.\" target=\"_blank\" rel=\"noopener\">DFARS 252.204-7021<\/a>) ont \u00e9t\u00e9 publi\u00e9es en janvier 2024 et d\u00e9crivent sa mise en \u0153uvre et son inclusion dans les contrats d&rsquo;ici mars 2025. N&rsquo;oubliez pas que le CMMC 2.0 n&rsquo;est pas (et ne sera pas) une exigence contractuelle tant que le DoD n&rsquo;aura pas compl\u00e8tement mis en \u0153uvre et codifi\u00e9 le programme.<\/p>\n<p>Cela dit, les experts encouragent vivement les entreprises, les entrepreneurs et les MSP concern\u00e9s \u00e0 commencer \u00e0 r\u00e9pondre aux exigences du CMMC d\u00e8s que possible.<\/p>\n<h3>Dois-je encore me conformer au CMMC 1.0 maintenant que le CMMC 2.0 a \u00e9t\u00e9 publi\u00e9 ?<\/h3>\n<p>Une fois que le CMMC 2.0 sera codifi\u00e9 dans le DFARS, le DoD exigera de toutes les entreprises qu&rsquo;elles adh\u00e8rent au cadre r\u00e9vis\u00e9 du CMMC.<\/p>\n<p>Actuellement, le CMMC 1.0 n&rsquo;est requis que dans le cadre de certains contrats pilotes, approuv\u00e9s par le bureau du sous-secr\u00e9taire aux acquisitions et au soutien (OUSD (A&amp;S))<\/p>\n<h2>Comment savoir de quel niveau de certification j&rsquo;ai besoin ?<\/h2>\n<p><span style=\"font-weight: 400;\">La plupart des contrats n&rsquo;exigent qu&rsquo;une certification de niveau 1. Il s&rsquo;agit donc d&rsquo;une premi\u00e8re \u00e9tape importante que tous les contractants et sous-traitants du DoD devraient franchir. Au-del\u00e0, les nouveaux contrats indiqueront le niveau de CMMC requis.<\/span><\/p>\n<h2>Quel est le co\u00fbt du CMMC ?<\/h2>\n<p><span style=\"font-weight: 400;\">On estime que le maintien du niveau 1 de la CMMC, la norme la plus basse, co\u00fbtera 3 000 dollars par an.<\/span><\/p>\n<p>\u00c0 partir de l\u00e0, le co\u00fbt de chaque niveau suivant augmente consid\u00e9rablement. En moyenne, le minist\u00e8re de la d\u00e9fense indique que le co\u00fbt du CMMC de niveau 2 est de 100 000 dollars, au minimum. Ce nombre peut augmenter en fonction d&rsquo;autres facteurs, tels que l&rsquo;auto-\u00e9valuation et la n\u00e9cessit\u00e9 \u00e9ventuelle de recourir \u00e0 une expertise externe.<\/p>\n<h2>Quelles sont les exigences du niveau CMMC ?<\/h2>\n<p>Les exigences du CMMC 2.0 sont fortement influenc\u00e9es par les normes et les lignes directrices du NIST. Nous pouvons r\u00e9sumer ces exigences comme suit :<\/p>\n<table>\n<tbody>\n<tr>\n<td><b>Niveau<\/b><\/td>\n<td><b>Exigences<\/b><\/td>\n<td><b>L&rsquo;\u00e9valuation<\/b><\/td>\n<td><b>Description<\/b><\/td>\n<\/tr>\n<tr>\n<td>1<\/td>\n<td>R\u00e9pond aux 15 exigences de la norme SP 800-171<\/td>\n<td>Auto-\u00e9valuation annuelle<\/td>\n<td>Cr\u00e9er et entretenir :<\/p>\n<ul>\n<li aria-level=\"1\">Cadre de r\u00e9ponse aux incidents<\/li>\n<li aria-level=\"1\"><a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/comment-creer-un-plan-de-reprise-d-activite-apres-incident\/\">Plan de reprise apr\u00e8s sinistre<\/a><\/li>\n<li aria-level=\"1\"><a href=\"https:\/\/www.ninjaone.com\/?page_id=251058\">Syst\u00e8me de gestion des correctifs<\/a><\/li>\n<li aria-level=\"1\"><a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/sauvegarde-et-recuperation-des-donnees-backup\/\">Sauvegarde et r\u00e9cup\u00e9ration des donn\u00e9es<\/a><\/li>\n<li aria-level=\"1\">Contr\u00f4les physiques de ces syst\u00e8mes<\/li>\n<li aria-level=\"1\">Et bien plus encore<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td>2<\/td>\n<td>R\u00e9pond aux exigences du niveau 1 et aux 110 normes d\u00e9termin\u00e9es par une \u00e9valuation tierce.<\/td>\n<td>\u00c9valuation par un tiers tous les trois ans.<\/td>\n<td>Surveiller et contr\u00f4ler :<\/p>\n<ul>\n<li aria-level=\"1\">Vuln\u00e9rabilit\u00e9s du syst\u00e8me<\/li>\n<li aria-level=\"1\">Communication \u00e0 tous les niveaux, dispositifs et syst\u00e8mes<\/li>\n<li aria-level=\"1\">Formation \u00e0 la cybers\u00e9curit\u00e9<\/li>\n<li aria-level=\"1\"><a href=\"https:\/\/www.ninjaone.com\/fr\/blog\/presentation-detaillee-de-la-securite-des-terminaux\/\">S\u00e9curit\u00e9 des terminaux<\/a><\/li>\n<li aria-level=\"1\">Et bien plus encore<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td>3<\/td>\n<td>Doit d\u00e9passer les exigences de la norme 110 SP 800-171 et la conformit\u00e9 aux niveaux 1 et 2.<\/td>\n<td>\u00c9valuations triennales men\u00e9es par le centre d&rsquo;\u00e9valuation de la cybers\u00e9curit\u00e9 de la base industrielle de d\u00e9fense (DIBCAC)<\/td>\n<td>Impl\u00e9mentation et maintenance :<\/p>\n<ul>\n<li aria-level=\"1\">Protocoles de cybers\u00e9curit\u00e9 actualis\u00e9s<\/li>\n<li aria-level=\"1\">Programme efficace de d\u00e9tection et d&rsquo;att\u00e9nuation<\/li>\n<li aria-level=\"1\">Surveillance continue de l&rsquo;ensemble de l&rsquo;infrastructure informatique<\/li>\n<li aria-level=\"1\">Et bien plus encore<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Comment obtenir la certification du CMMC ?<\/h2>\n<ol>\n<li aria-level=\"1\">Effectuer une auto-\u00e9valuation en utilisant les normes NIST 800-171.<\/li>\n<li aria-level=\"1\">Cr\u00e9er un plan d&rsquo;action et des \u00e9tapes (POA &amp; Ms) sur la base des r\u00e9sultats de l&rsquo;auto-\u00e9valuation. Tenter d&rsquo;atteindre le score maximum de 110.<\/li>\n<li aria-level=\"1\">Soumettre le score au SPRS (Supplier Performance Risk System) du DoD (Department of Defense).<\/li>\n<li aria-level=\"1\">D\u00e9terminer l&rsquo;\u00e9tendue de vos services. Il convient de noter que <a href=\"https:\/\/cyberab.org\/About-Us\/Overview\" target=\"_blank\" rel=\"noopener\">Cyber-AB<\/a>, l&rsquo;organisme d&rsquo;accr\u00e9ditation officiel de l&rsquo;\u00e9cosyst\u00e8me CMMC, n&rsquo;a publi\u00e9 que le guide d&rsquo;\u00e9valuation pour le CMMC 2.0, niveaux 1 et 2.<\/li>\n<li aria-level=\"1\">Planifiez une \u00e9valuation pr\u00e9liminaire des lacunes par une entreprise tierce afin d&rsquo;identifier les lacunes dans votre processus de s\u00e9curit\u00e9 de l&rsquo;information. <i>Cette \u00e9tape est facultative, mais recommand\u00e9e.\u00a0<\/i><\/li>\n<li aria-level=\"1\">Corriger les \u00e9ventuelles lacunes de s\u00e9curit\u00e9 identifi\u00e9es \u00e0 l&rsquo;\u00e9tape 5.<\/li>\n<li aria-level=\"1\">Utilisez la place de march\u00e9 Cyber-AB pour trouver un C3PAO tel que <a href=\"https:\/\/www.nsf.org\/management-systems\/information-security\/cybersecurity-maturity-model-certification\" target=\"_blank\" rel=\"noopener\">NSF-ISR et<\/a> planifier votre \u00e9valuation du CMMC.<\/li>\n<li aria-level=\"1\">Se soumettre \u00e0 l&rsquo;\u00e9valuation du CMMC.\n<ol>\n<li aria-level=\"2\">La phase 1 comprend la planification de la pr\u00e9-\u00e9valuation, l&rsquo;identification des membres de l&rsquo;\u00e9quipe d&rsquo;\u00e9valuation et l&rsquo;\u00e9laboration d&rsquo;un ordre de grandeur approximatif.<\/li>\n<li aria-level=\"2\">La phase 2 couvre l&rsquo;\u00e9valuation C3PAI proprement dite. Il comprend une analyse et un examen des donn\u00e9es objectives relatives aux pratiques du CMMC.<\/li>\n<li aria-level=\"2\">La phase 3 est celle du rapport post-\u00e9valuation, qui comprend un examen de l&rsquo;assurance qualit\u00e9 et d&rsquo;\u00e9ventuelles recommandations.<\/li>\n<li aria-level=\"2\">La phase 4 peut n\u00e9cessiter des mesures correctives si votre entreprise ne satisfait pas \u00e0 certaines exigences du CMMC. En r\u00e8gle g\u00e9n\u00e9rale, un d\u00e9lai de 90 jours est pr\u00e9vu pour rem\u00e9dier \u00e0 d&rsquo;\u00e9ventuelles lacunes.<\/li>\n<\/ol>\n<\/li>\n<li aria-level=\"1\">Recevez votre certification CMMC.<\/li>\n<\/ol>\n<p>N&rsquo;oubliez pas que les entreprises ne peuvent pas soumettre leur auto-\u00e9valuation du CMMC aux niveaux les plus \u00e9lev\u00e9s. Au lieu de cela, des agences tierces effectuent un audit impartial et identifient le niveau de maturit\u00e9 de votre entreprise en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n<p>Un fournisseur de services g\u00e9r\u00e9s ou des organisateurs d&rsquo;\u00e9valuations tierces (C3PAO) peuvent vous aider \u00e0 mieux comprendre le cadre du CMMC et les am\u00e9liorations qui peuvent \u00eatre apport\u00e9es pour faciliter le processus de certification<\/p>\n<div class=\"in-context-cta\"><p><span data-sheets-root=\"1\">Atteignez la conformit\u00e9 CMMC gr\u00e2ce \u00e0 l\u2019automatisation des correctifs, la surveillance et la g\u00e9n\u00e9ration de rapports.<\/p>\n<p>\u2192<a href=\"https:\/\/www.ninjaone.com\/fr\/phase-de-test-gratuit\/\"> Inscrivez-vous pour un essai gratuit de 14 jours de NinjaOne<\/a>.<\/span><\/p>\n<\/div>\n<h2>Comment NinjaOne aide les professionnels de l&rsquo;informatique \u00e0 prendre de l&rsquo;avance sur le CCMC<\/h2>\n<p><span style=\"font-weight: 400;\">S&rsquo;assurer que vos services peuvent \u00eatre fournis via le cloud afin d&rsquo;acc\u00e9l\u00e9rer les efforts de mise en conformit\u00e9 avec le CMMC et de r\u00e9duire les co\u00fbts. En tirant parti des outils en nuage, les professionnels de l&rsquo;informatique peuvent proposer de nombreuses pratiques CMMC qui am\u00e9liorent la cybers\u00e9curit\u00e9 pour l&rsquo;ensemble de l&rsquo;entreprise et att\u00e9nuent les risques.<\/span><\/p>\n<p>Les<span style=\"font-weight: 400;\"><a href=\"https:\/\/www.ninjaone.com\/fr\/rmm\/cloud\/\">logiciels de surveillance et de gestion \u00e0 distance bas\u00e9s sur le cloud<\/a>, tels que ceux propos\u00e9s par NinjaOne, peuvent constituer des \u00e9l\u00e9ments importants de la cha\u00eene d&rsquo;outils de cybers\u00e9curit\u00e9. Non seulement ils peuvent acc\u00e9l\u00e9rer la d\u00e9tection des vuln\u00e9rabilit\u00e9s et la gestion de la s\u00e9curit\u00e9, mais les outils peuvent \u00e9galement \u00eatre utilis\u00e9s pour coordonner et organiser de nombreuses fonctions de s\u00e9curit\u00e9 essentielles, telles que la <a href=\"https:\/\/www.ninjaone.com\/fr\/plateforme-de-gestion-des-correctifs\/\">gestion des correctifs<\/a> et l&rsquo;antivirus.<\/span><\/p>\n<h2>Foire aux questions (FAQ)<\/h2>\n<ul>\n<li>\n<h3>Les contractants et les sous-traitants doivent-ils maintenir le m\u00eame niveau de CMMC ?<\/h3>\n<\/li>\n<\/ul>\n<p>Oui, mais seulement si les deux groupes traitent le m\u00eame type de FCI et de CUI. Dans la plupart des cas, le flux principal de donn\u00e9es sensibles diminue le long de la cha\u00eene d&rsquo;approvisionnement. De ce fait, les entrepreneurs ont g\u00e9n\u00e9ralement un niveau de CMMC inf\u00e9rieur.<\/p>\n<ul>\n<li>\n<h3>Mon entreprise doit-elle \u00eatre certifi\u00e9e si elle ne g\u00e8re pas de CUI ?<\/h3>\n<\/li>\n<\/ul>\n<p>Reportez-vous toujours \u00e0 votre contrat avec le minist\u00e8re de la D\u00e9fense. En g\u00e9n\u00e9ral, si votre entreprise traite, stocke ou manipule des CUI de quelque mani\u00e8re que ce soit, vous devez avoir au moins une certification CMMC de niveau 1.<\/p>\n<ul>\n<li>\n<h3>Qui est responsable de la gestion du CMMC au sein de l&rsquo;entreprise ?<\/h3>\n<\/li>\n<\/ul>\n<p>Il n&rsquo;y a pas de r\u00e8gle sp\u00e9cifique concernant la personne qui doit g\u00e9rer votre certification CMMC. Vos dirigeants doivent d\u00e9finir clairement les r\u00f4les et les responsabilit\u00e9s li\u00e9s au maintien de l&rsquo;hygi\u00e8ne en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n<ul>\n<li>\n<h3>Comment la CMMC s&rsquo;appliquera-t-elle aux entreprises non am\u00e9ricaines ?<\/h3>\n<\/li>\n<\/ul>\n<p>Le minist\u00e8re de la d\u00e9fense continuera \u00e0 collaborer avec ses partenaires internationaux et \u00e0 appliquer les normes de cybers\u00e9curit\u00e9 n\u00e9cessaires, le cas \u00e9ch\u00e9ant.<\/p>\n<ul>\n<li>\n<h3>Quelle est la diff\u00e9rence entre CMMC et NIST 800-171 ?<\/h3>\n<\/li>\n<\/ul>\n<p>Bien que les deux cadres am\u00e9liorent la position de votre entreprise en mati\u00e8re de cybers\u00e9curit\u00e9, le CMMC s&rsquo;adresse \u00e0 toute entreprise qui traite des informations publiques et ajoute des protocoles suppl\u00e9mentaires bas\u00e9s sur le NIST.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La certification du mod\u00e8le de maturit\u00e9 de la cybers\u00e9curit\u00e9 (CMMC) \u00e9tablit des processus, des pratiques et des exigences en mati\u00e8re de cybers\u00e9curit\u00e9 afin de prot\u00e9ger les informations sensibles et non classifi\u00e9es partag\u00e9es par le minist\u00e8re de la d\u00e9fense (DoD) et ses contractants et sous-traitants. Plus pr\u00e9cis\u00e9ment, il vise \u00e0 prot\u00e9ger la base industrielle de d\u00e9fense [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":280312,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4369,4324],"tags":[],"class_list":["post-146554","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","category-ninjaone-fr"],"acf":[],"modified_by":"Marq DuUntivero","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/146554","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/comments?post=146554"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/146554\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media\/280312"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media?parent=146554"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/categories?post=146554"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/tags?post=146554"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}