En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

CMMC – Un passage incontournable pour travailler avec le DoD

Le Cybersecurity Maturity Model Certification (CMMC) est une exigence incontournable pour tout fournisseur ou sous-traitant souhaitant travailler avec le Département de la Défense des États-Unis (DoD).
À travers notre expertise, nous vous accompagnons dans la mise en conformité avec ce référentiel afin de protéger vos informations sensibles et pérenniser vos opportunités d’affaires.

88 / 110

En 2024, pour obtenir la certification CMMC Niveau 2, une organisation doit atteindre au minimum 88 contrôles conformes sur 110 du NIST SP 800‑171.

Department of Defense – CMMC Scoring Methodology

Quelle démarche adopter pour se conformer au CMMC ?

Travailler avec le Département de la Défense américain (DoD) implique de démontrer sa maturité en cybersécurité à travers un référentiel exigeant, structuré autour des bonnes pratiques du NIST.
La conformité au CMMC ne s’improvise pas : elle nécessite une approche progressive, pragmatique et documentée.

Pour réussir votre certification, il faut adopter une démarche en 4 étapes clés :

Identifier : Quels systèmes traitent des FCI ou des CUI ?
Quels sont les périmètres techniques et organisationnels concernés ?
Faut-il segmenter ou isoler certains environnements ?

Analyser : Où en êtes-vous face aux 110 pratiques du NIST SP 800‑171 ?
Quels écarts persistent (Gap analysis) ?
Quel niveau de certification visez-vous ?

Évaluer : Êtes-vous prêt pour une auto-évaluation (niveau 1) ou une évaluation C3PAO (niveau 2) ?
Disposez-vous des preuves requises pour justifier votre conformité ?
Avez-vous un POA&M (Plan of Action and Milestones) pour corriger les écarts ?

Traiter : Quelles actions correctrices devez-vous prioriser ?
Comment sécuriser vos accès, vos journaux, vos données CUI ?
Comment intégrer la conformité CMMC dans votre démarche GRC globale ?

Une équipe d’experts GRC certifiés et accessibles

Une expertise reconnue en conformité

Formind vous accompagne avec des consultants spécialisés en Gouvernance, Risques et Conformité, disposant d’une maîtrise approfondie des standards NIST, ISO 27001, SOC 2 ou encore PCI-DSS.
Nos méthodologies sont alignées avec les référentiels exigés par le CMMC 2.0, garantissant une approche conforme et efficiente.

Des consultants certifiés CMMC et NIST

Nos experts sont formés aux exigences du CMMC, et plusieurs sont certifiés Registered Practitioners (RP) ou qualifiés sur les guides techniques NIST SP 800-171 / 800-172.
Cette expertise nous permet de vous orienter efficacement dans vos démarches d’évaluation, de remédiation et de préparation à l’audit C3PAO.

Un accompagnement à taille humaine

Notre équipe vous suit tout au long de votre projet, du diagnostic initial jusqu’à la certification.
Disponibles et engagés, nos consultants s’adaptent à vos contraintes techniques, métiers et budgétaires, pour construire une trajectoire de conformité réaliste et durable.

image tablette pour référence client

Nos références clients

Secteur : Défense / Aéronautique
Description de la mission :
Accompagnement complet d’un sous-traitant du DoD, incluant l’analyse de maturité CMMC, la mise en œuvre des contrôles NIST SP 800‑171, la préparation à l’audit C3PAO et la gestion documentaire.

FAQ

Combien de temps faut-il pour obtenir la certification CMMC ?

La durée varie selon le niveau visé et la maturité initiale de l’organisation. En moyenne, un projet CMMC prend de 6 à 12 mois, incluant la phase d’audit et de remédiation. Pour les entreprises déjà alignées sur le NIST SP 800‑171, ce délai peut être réduit à quelques mois.

 

Quels sont les niveaux du CMMC 2.0 et lequel choisir ?

Le CMMC comporte 3 niveaux :
  • Niveau 1 : auto-évaluation annuelle pour les FCI.
  • Niveau 2 : audit tiers (C3PAO) pour les CUI.
  • Niveau 3 : audit gouvernemental (DIBCAC) pour les programmes critiques.
Le niveau dépend du type de données traitées et des exigences contractuelles du DoD.

Qui peut réaliser un audit CMMC ?

Seuls les C3PAO (Certified Third-Party Assessor Organizations) accrédités par le Cyber AB peuvent conduire les audits officiels pour le niveau 2.

Quelle est la différence entre CMMC et NIST SP 800 171 ?

Le CMMC intègre le NIST SP 800 171 (pour les niveaux 1 et 2) et y ajoute des exigences d’audit et de certification formelle, ce qui en fait un cadre contraignant et contractuel.

Que se passe-t-il en cas de non-conformité détectée lors de l’audit ?

Un POA&M (Plan of Action & Milestones) peut être mis en place, avec un délai maximum de 180 jours pour corriger les écarts identifiés avant la validation finale.

Les entreprises canadiennes ou européennes sont-elles concernées par le CMMC ?

Oui, toute société fournissant des biens ou services au DoD, directement ou via un sous-traitant, doit se conformer au CMMC, quelle que soit sa localisation géographique.

Restons en contact

Nos experts vous accompagnent de manière permanente dans vos problématiques cyber. Une question ? Vous êtes au bon endroit et nous nous engageons à vous répondre sous 24h !

Nous contacter