Certification du modèle de maturité de la cybersécurité aux États-Unis (CMMC)

Le Ministère américain de la Défense (DoD) exige que tous les prestataires et sous-traitants de la Base industrielle de défense (DIB) implémentent les contrôles de sécurité décrits dans la norme NIST SP 800-171 r2 pour protéger les informations non classifiées contrôlées (CUI) conformément à la clause DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting (Protection des informations de défense couvertes et rapports sur les cyberincidents). Les prestataires fédéraux (y compris les prestataires de défense) qui traitent des informations sur les contrats fédéraux (FCI) doivent également se conformer aux exigences de sécurité énoncées dans la clause FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems (Protection de base des systèmes d'information couverts des prestataires).

Afin d'officialiser cette exigence et de pouvoir vérifier la conformité avec la norme NIST SP 800-171 r2, le DoD a lancé le programme CMMC le 15 octobre 2024, par le biais du règlement du programme CMMC 32 CFR partie 170, en vigueur depuis le 16 décembre 2024. Une règle d'acquisition proposée (48 CFR partie 204) modifiera la clause DFARS 252.204-7021 pour exiger la certification CMMC des prestataires concernés. Une fois finalisée, cette règle intégrera la conformité CMMC aux contrats du DoD. Google Cloud et Google Workspace sont prêts à aider les prestataires à répondre à ces exigences.

Quels sont les trois niveaux du programme CMMC ?

Le programme CMMC comporte trois niveaux :

Niveau 1 : protection de base des FCI

  • Objectif : protéger les FCI (par exemple, les informations générales telles que les numéros de contrat et les calendriers de livraison). Ce niveau est conçu pour être plus simple à atteindre pour les petites organisations, si celles-ci ne gèrent pas d'informations critiques pour la sécurité nationale. 
  • Exigences : 15 bonnes pratiques de base concernant la cybersécurité (par exemple, changer régulièrement de mots de passe et utiliser un logiciel antivirus).
  • Évaluation : auto-évaluation annuelle.
  • Applicabilité : obligatoire pour tous les prestataires traitant des FCI dans une certaine mesure. Il s'agit du niveau le plus courant.

Niveau 2 : protection étendue des CUI

  • Objectif : protéger les CUI (par exemple, les données sensibles soumises à des contrôles de protection ou de diffusion). Ce niveau permet de protéger les informations critiques pour la sécurité nationale.
  • Exigences : 110 exigences de sécurité conformes à la norme NIST SP 800-171 r2. Exemples : gérer un plan de sécurité du système (SSP) ; identifier, enregistrer et surveiller les éléments CUI ; implémenter un programme d'analyse des failles pour identifier et corriger les défauts de sécurité.
  • Évaluation : définie par le contrat. Certains contrats peuvent exiger une auto-évaluation, tandis que d'autres peuvent nécessiter une évaluation tierce par un organisme d'évaluation CMMC tiers (C3PAO).
  • Applicabilité : obligatoire pour tous les prestataires traitant des CUI.

Niveau 3 : protection renforcée des CUI contre les menaces persistantes avancées

  • Objectif : protéger les CUI très sensibles dans les programmes critiques. Ce niveau se focalise sur des mesures de sécurité supplémentaires permettant de se protéger contre les menaces persistantes avancées (APT).
  • Exigences : toutes les exigences de niveau 2, plus des pratiques supplémentaires de la norme NIST SP 800-172 pour une sécurité renforcée. Exemples : élaborer un plan complet de réponse aux incidents, implémenter un programme complet de surveillance continue, et évaluer et gérer les risques de sécurité pour la chaîne d'approvisionnement.
  • Évaluation : évaluation menée par le gouvernement par le biais du Centre d'évaluation de la cybersécurité de la base industrielle de défense (DIBCAC).
  • Applicabilité : obligatoire pour les prestataires travaillant sur les projets gouvernementaux les plus sensibles. Ce niveau est le moins courant.
  • Prérequis : un prestataire ne peut pas passer le niveau 3 de la CMMC s'il n'a pas déjà obtenu le niveau 2.

En bref, plus le niveau CMMC est élevé, plus les données traitées sont sensibles et plus les exigences de cybersécurité sont strictes.

Conformité de Google Cloud et de Google Workspace avec la CMMC

Vous pouvez utiliser Google Cloud et Google Workspace pour répondre aux exigences de conformité CMMC de votre organisation à tous les niveaux en vous appuyant sur les services Google couverts par l'autorisation FedRAMP au niveau d'impact élevé. Google Cloud et Google Workspace maintiennent des autorisations d'exploitation au niveau d'impact élevé du FedRAMP pour les services concernés.

Google fournit la documentation suivante pour vous aider à répondre aux exigences de conformité CMMC :

  • Guide d'implémentation CMMC pour Google Workspace
  • Guide d'implémentation CMMC pour Google Cloud

De plus, Google fournit les lettres d'attestation suivantes, produites par un organisme d'évaluation tiers indépendant :

  • Lettre d'attestation CMMC de Google Workspace fournie par un C3PAO (attendue pour Google Cloud d'ici août 2025)
  • Lettre d'attestation de conformité NIST SP 800-171 pour Google Cloud et Google Workspace

Pour Google Cloud, vous devez utiliser le périmètre de données Assured Workloads pour l'autorisation FedRAMP au niveau d'impact élevé et la matrice de responsabilités du client (CRM) CMMC lors de la configuration des systèmes pour la mise en conformité avec la CMMC. Contactez l'équipe commerciale de Google ou votre représentant Google Cloud pour obtenir les documents mentionnés ci-dessus, comme la matrice de responsabilités du client.

Pour Google Workspace, vous devez utiliser les services couverts par l'autorisation FedRAMP au niveau d'impact élevé pour respecter la mise en conformité avec la CMMC, ainsi qu'Assured Controls Plus pour activer le stockage des données exclusivement aux États-Unis. Si nécessaire, vous pouvez désactiver un service qui n'a pas encore reçu d'autorisation FedRAMP.

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

Google Cloud
DocumentationAssistance
Console
Se connecter
Security
Infos sur les menacesSecOpsSécurité du cloudConseilRessources concernant la sécurité
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud