Cybersecurity Maturity Model CMMC
CMMC 2.0 DoD certification cyber DIB obligatoire.
Définition
CMMC 2.0 a 3 niveaux : Level 1 Foundational (FCI, 17 contrôles FAR 52.204-21), Level 2 Advanced (CUI, 110 contrôles NIST SP 800-171 r2), Level 3 Expert (~CUI critique, NIST SP 800-171 r2 + 24 contrôles NIST SP 800-172). Final rule 32 CFR Part 170 publié octobre 2024, applicable mid 2025 phased. C3PAOs (Certified Third-Party Assessor Organizations) accrédités par Cyber AB.
Origine
DoD, CMMC 1.0 janvier 2020, CMMC 2.0 novembre 2021, final rule 32 CFR Part 170 octobre 2024.
Usage
Obligatoire pour tout contractant DoD à partir de mid-2025. Cascade contracts en cours.
Termes liés
- NIST SP 800-171 — standard sous-jacent.
- CUI — donnée protégée.
- Cyber AB — accréditeur C3PAO.