Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Test 2 – Ce que les organisations de santé luxembourgeoises doivent savoir sur les transferts de PHI à l’international

Test 2 – Ce que les organisations de santé luxembourgeoises doivent savoir sur les transferts de PHI à l’international

par Bob Ertl updated avril 29, 2026 Conformité CMMC
temps de lecture: 12 minutes

Compte tenu de la complexité du cadre Cybersecurity Maturity Model Certification (CMMC), il est essentiel que les sous-traitants et prestataires du gouvernement disposent d’une checklist CMMC pour garantir le respect de toutes les exigences.

Le processus de certification CMMC est exigeant, mais notre feuille de route de conformité CMMC 2.0 peut vous aider.

Cet article détaille les exigences de conformité du cadre CMMC 2.0, propose une checklist CMMC, et offre aux sous-traitants du Department of Defense (DoD) des conseils pratiques pour atteindre la conformité CMMC.

Qu’est-ce que la conformité CMMC ?

Le CMMC est un cadre de cybersécurité qui régit les sous-traitants de la base industrielle de défense (Defense Industrial Base), c’est-à-dire l’ensemble des partenaires de la supply chain du DoD. Tout prestataire ou sous-traitant qui traite, envoie, partage ou reçoit des informations contrôlées non classifiées (CUI) ou des informations contractuelles fédérales (FCI) doit prouver sa conformité au CMMC.

L’objectif du CMMC est de regrouper des exigences et standards disparates, associés à différents modèles d’auto-évaluation et d’attestation, pour les transformer en pratiques de sécurité fiables, rigoureuses et robustes, auxquelles toute entreprise peut se conformer.

Les éléments qui distinguent le CMMC d’autres réglementations fédérales, telles que l’International Traffic in Arms Regulations (ITAR), le Federal Information Security Management Act (FISMA) ou le Federal Risk and Authorization Management Program (FedRAMP), sont :

  • Informations contrôlées non classifiées (CUI) et informations contractuelles fédérales (FCI) : Le CMMC couvre le stockage, le traitement, la transmission et la destruction des CUI. La CUI désigne des données qui ne relèvent pas du secret défense, mais nécessitent une protection particulière pour préserver la sécurité nationale. Exemples de CUI : informations financières liées à des contrats gouvernementaux, informations personnelles identifiables ou informations médicales protégées (PII/PHI) de collaborateurs du gouvernement, ou encore données techniques sensibles relatives à des systèmes de défense.

    La FCI désigne un autre type d’information, liée aux relations contractuelles entre prestataires et agences. Le CMMC prend en charge ces deux cas.

  • Normes NIST : Comme d’autres cadres fédéraux de cybersécurité, le CMMC s’appuie sur les standards élaborés et maintenus par le National Institute of Standards and Technology (NIST). Plus précisément, le CMMC s’appuie sur le NIST 800-171, « Protection des informations contrôlées non classifiées dans les systèmes et organisations non fédéraux ».

    De plus, le niveau 3 du CMMC s’appuiera sur le NIST SP 800-172, « Exigences de sécurité renforcées pour la protection des informations contrôlées non classifiées : un supplément à la publication spéciale 800-171 du NIST ».

  • Niveaux de maturité : Pour aider les sous-traitants et agences de défense à s’aligner sur le niveau de sécurité requis, le CMMC divise la conformité en trois niveaux de maturité, selon la mise en œuvre des contrôles NIST SP 800-171 (et éventuellement SP 800-172) par le sous-traitant.
  • Évaluations tierces : À l’instar de FedRAMP, le CMMC repose sur des évaluations tierces réalisées par des organismes d’évaluation certifiés (C3PAO), comme ceux listés ici.

Points clés à retenir

  1. Niveaux de maturité simplifiés

    Le cadre CMMC 2.0 ne comporte plus que trois niveaux de maturité : Fondamental (Niveau 1), Avancé (Niveau 2) et Expert (Niveau 3). Cette réduction vise à simplifier la structure des exigences pour les sous-traitants et prestataires de défense.

  2. Alignement sur les normes NIST

    Le CMMC 2.0 met davantage l’accent sur l’alignement avec les normes NIST existantes. Plus précisément, le niveau 2 s’aligne sur le NIST SP 800-171, tandis que le niveau 3 intègre des éléments du NIST SP 800-172, afin de renforcer la cohérence avec les cadres de cybersécurité reconnus.

  3. Auto-évaluations et évaluations tierces

    Les sous-traitants gérant des informations contractuelles fédérales (FCI) au niveau 1 peuvent réaliser une auto-évaluation annuelle, sans certification tierce. En revanche, le niveau 2 exige un mix d’auto-évaluations et d’évaluations tierces selon le type d’informations contrôlées non classifiées (CUI) traitées.

  4. Checklist de conformité

    Déterminez le niveau de maturité visé, réalisez une auto-évaluation, exploitez les cadres existants, créez un POA&M et un SSP, sélectionnez un C3PAO, puis définissez un calendrier et un budget.

Quand la conformité CMMC est-elle requise ?

La date d’entrée en vigueur attendue du CMMC 2.0 est le 16 décembre 2024, soit exactement 60 jours après sa publication.

L’obligation d’obtenir la conformité CMMC dépend du calendrier de déploiement progressif établi par le Department of Defense, qui a débuté après la publication de la règle finale impactant les exigences 32 CFR et la règle proposée 48 CFR CMMC. Si la règle CFR CMMC pose le socle légal du programme, l’intégration effective des exigences CMMC dans les contrats se fait progressivement sur plusieurs années.

Le DoD introduit les clauses CMMC dans les demandes d’information (RFI) et les appels d’offres (RFP) selon la priorité du programme et la sensibilité des informations concernées. Les sous-traitants doivent surveiller attentivement les nouveaux appels d’offres pour identifier à quel moment un niveau CMMC devient obligatoire pour soumissionner.

Pour le niveau 1, une auto-évaluation annuelle est requise dès l’attribution du contrat.

Pour le niveau 2 impliquant des CUI critiques, une évaluation tierce triennale par un C3PAO est nécessaire avant l’attribution du contrat, tandis que d’autres contrats de niveau 2 peuvent autoriser une auto-évaluation annuelle.

Le niveau 3 exige des évaluations triennales menées par le gouvernement. Les contrats existants ne nécessitent généralement pas la conformité CMMC sauf modification, mais tous les nouveaux contrats DoD impliquant FCI ou CUI intégreront progressivement ces exigences au fil du déploiement.

Compte tenu du temps de préparation nécessaire, notamment pour les certifications tierces, il est recommandé de lancer les démarches de conformité CMMC bien en amont des contrats concernés.

Besoin de réussir votre évaluation C3PAO ? Consultez notre guide d’évaluation CMMC Niveau 2.

Qui doit obtenir la certification CMMC ?

La certification CMMC est incontournable si vous fournissez des produits ou services au DoD. Les types d’organisations suivants doivent prouver leur conformité et obtenir la certification CMMC, qu’il s’agisse du niveau 1, 2 ou 3 :

  • Tous les sous-traitants et prestataires DoD : Toute organisation, quelle que soit sa taille, qui traite des informations contractuelles fédérales (FCI) ou des informations contrôlées non classifiées (CUI) dans le cadre d’un contrat DoD doit atteindre le niveau de conformité CMMC requis. Cela concerne l’ensemble de la supply chain du Defense Industrial Base (DIB).
  • Contractants principaux : Les organisations contractant directement avec le DoD sont responsables de leur propre conformité et doivent vérifier celle de leurs sous-traitants.
  • Sous-traitants (tous niveaux) : Les entreprises travaillant pour des contractants principaux, ou d’autres sous-traitants, doivent respecter les exigences CMMC qui leur sont transmises, selon le type d’informations traitées (FCI ou CUI). Si un sous-traitant gère des CUI dans le cadre d’un contrat nécessitant le niveau 2, il doit également obtenir la conformité ou la certification de niveau 2.
  • Fournisseurs et prestataires : Même les organisations fournissant des produits commerciaux standards (COTS) peuvent devoir atteindre le niveau 1 si elles manipulent des FCI lors du processus contractuel. Si elles traitent des CUI, des niveaux supérieurs s’appliquent.
    Exemples de types d’entreprises : fabricants, bureaux d’études, éditeurs de logiciels, prestataires IT, instituts de recherche, consultants, logisticiens, et toute entité de la supply chain DoD manipulant des informations contractuelles sensibles.
  • Variation des exigences : Le niveau CMMC requis (1, 2 ou 3) dépend directement du type et de la sensibilité des informations traitées. Le niveau 1 vise la protection des FCI (hygiène cyber de base et auto-évaluation). Les niveaux 2 et 3 concernent la protection des CUI, avec des pratiques de sécurité renforcées alignées sur le NIST SP 800-171 et le NIST SP 800-172, nécessitant souvent des évaluations tierces ou gouvernementales pour la certification CMMC.

Comprenez la différence entre certification CMMC et conformité CMMC.

Exigences CMMC 2.0

La transition du CMMC 1.0 vers le CMMC 2.0 a permis de simplifier et d’affiner le cadre et les exigences, pour rendre la conformité CMMC plus efficace et plus accessible aux sous-traitants de la base industrielle de défense (DIB). Les évolutions majeures sont :

1. Moins de niveaux de maturité CMMC

Le CMMC 1.0 comportait cinq niveaux, de l’hygiène cyber de base (niveau 1) à l’avancé/progressif (niveau 5). Désormais, le CMMC 2.0 impose aux sous-traitants de répondre à l’un des trois niveaux : Niveau 1 (Fondamental), Niveau 2 (Avancé), Niveau 3 (Expert).

2. Alignement sur les normes NIST

Le CMMC 2.0 met davantage l’accent sur l’alignement des exigences de certification avec les normes NIST existantes (NIST SP 800-171 pour le niveau 2 et NIST SP 800-172 pour le niveau 3). Cet alignement vise à réduire la complexité et à renforcer la cohérence avec les cadres reconnus.

3. Auto-évaluations

Avec le CMMC 2.0, les entreprises responsables des informations contractuelles fédérales (FCI) au niveau 1 doivent seulement réaliser une auto-évaluation annuelle, sans certification tierce par un organisme d’évaluation (C3PAO). À noter : la conformité CMMC niveau 2 exige un mix d’auto-évaluations et d’évaluations tierces selon le type d’informations traitées.

4. Suppression de certaines pratiques et processus

Le CMMC 2.0 ne comporte plus les processus de maturité présents dans les niveaux du CMMC 1.0 et se concentre uniquement sur les pratiques de cybersécurité, simplifiant ainsi les exigences CMMC.

En résumé, la transition du CMMC 1.0 au CMMC 2.0 traduit une approche plus simple et mieux alignée des exigences de cybersécurité pour les sous-traitants de la défense.

Malgré la réduction et la simplification des niveaux, il est crucial de respecter ces exigences. La conformité CMMC est essentielle pour conserver les contrats existants, en décrocher de nouveaux avec le DoD, mais aussi pour protéger les informations sensibles et garantir l’intégrité et la fiabilité de la supply chain de défense.

CMMC 1.0 vs CMMC 2.0 : principales différences

Le CMMC 2.0 marque une évolution majeure par rapport au cadre initial CMMC 1.0, avec pour objectif de simplifier les exigences, réduire les coûts et mieux s’aligner sur les standards existants. Comprendre ces différences est essentiel pour planifier efficacement la conformité CMMC. Voici les principales distinctions :

  • Niveaux de maturité : Le CMMC 1.0 comportait cinq niveaux de maturité. Le CMMC 2.0 simplifie la structure à trois niveaux : Niveau 1 (Fondamental), Niveau 2 (Avancé), Niveau 3 (Expert). Cette simplification concentre les efforts sur les principaux standards de cybersécurité.
  • Alignement sur les normes NIST : Le CMMC 1.0 incluait des pratiques et processus propres au CMMC, au-delà des normes NIST. Le CMMC 2.0 aligne le niveau 1 sur les exigences de base du FAR 52.204-21, le niveau 2 sur les 110 contrôles du NIST SP 800-171, et le niveau 3 sur le NIST SP 800-171 complété par certains contrôles du NIST SP 800-172. Cela élimine les contrôles spécifiques au CMMC, au profit des cadres de cybersécurité reconnus.
  • Exigences d’évaluation : Le CMMC 1.0 imposait des évaluations tierces pour les niveaux 3 à 5. Le CMMC 2.0 change la donne : le niveau 1 requiert une auto-évaluation annuelle. Le niveau 2 exige des évaluations tierces triennales par des C3PAO pour les contrats impliquant des CUI critiques, mais autorise l’auto-évaluation annuelle pour certains contrats de niveau 2 (selon la sensibilité des informations). Le niveau 3 impose des évaluations triennales menées par le gouvernement (DIBCAC).
  • Plans d’action et jalons (POA&M) : Le CMMC 1.0 exigeait la conformité totale à toutes les pratiques au moment de l’évaluation. Le CMMC 2.0 autorise l’utilisation limitée de POA&M pour certaines exigences sous conditions strictes (ex. : clôture sous 180 jours, non applicable aux exigences les plus critiques, score d’évaluation minimal requis). Cela apporte une certaine flexibilité, sans supprimer la nécessité d’une conformité CMMC rigoureuse.
  • Impacts financiers : En réduisant le nombre de niveaux, en supprimant les exigences propres au CMMC et en autorisant l’auto-évaluation pour le niveau 1 et certains cas de niveau 2, le CMMC 2.0 vise à alléger la charge et le coût de conformité, notamment pour les petites entreprises.
  • Évolution du calendrier : Le déploiement du CMMC 2.0 suit une approche progressive sur plusieurs années, avec une intégration dans les contrats DoD au fil du temps, contrairement au plan initial du CMMC 1.0 qui prévoyait une mise en œuvre plus rapide.
  • Impact sur la stratégie de conformité : Les organisations ayant commencé à se préparer au CMMC 1.0 doivent réévaluer leur niveau cible selon la structure du CMMC 2.0. Les efforts réalisés pour répondre aux exigences du NIST SP 800-171 restent très pertinents pour le niveau 2 du CMMC 2.0. Il convient désormais de combler les écarts restants par rapport aux standards NIST, de préparer le System Security Plan (SSP) et de choisir la voie d’évaluation appropriée (auto-évaluation ou C3PAO).

Quand le CMMC 2.0 sera-t-il exigé dans les contrats ?

L’intégration des exigences CMMC 2.0 dans les contrats du Department of Defense (DoD) se fait via une approche structurée et progressive, amorcée après l’entrée en vigueur de la règle finale du programme (codifiée dans le Title 32 CFR) et la finalisation de la règle d’acquisition correspondante (impactant le DFARS dans le Title 48 CFR).

Si les dates précises dépendent de la finalisation et de l’entrée en vigueur de ces règles (attendues début 2025), le DoD a défini une stratégie de déploiement sur plusieurs années. Cela signifie que les exigences CMMC 2.0 n’apparaîtront pas dans tous les contrats en même temps. Le DoD introduira progressivement les clauses CMMC dans les nouveaux appels d’offres (RFI, RFP) selon l’importance stratégique du contrat et la sensibilité des informations concernées (FCI ou CUI). Le déploiement commencera par un nombre limité de contrats, puis s’étendra progressivement à l’ensemble des contrats DoD concernés.

Pendant la période transitoire, avant l’apparition des exigences CMMC dans un contrat donné, les sous-traitants traitant des CUI doivent continuer à respecter la clause DFARS 252.204-7012, qui impose la mise en œuvre du NIST SP 800-171 et la transmission des scores d’évaluation au Supplier Performance Risk System (SPRS).

Aucun programme pilote d’envergure n’a été annoncé pour le CMMC 2.0, contrairement à la version 1.0, mais tout contrat comportant une clause CMMC doit être considéré comme nécessitant la conformité à la date d’attribution (ou selon les modalités précisées).

L’essentiel à retenir : atteindre la conformité CMMC, en particulier pour les niveaux 2 et 3 impliquant des évaluations, demande du temps et des ressources. Les sous-traitants doivent donc se préparer dès maintenant en évaluant leur situation par rapport aux exigences CMMC 2.0 (NIST SP 800-171/172), en élaborant leur System Security Plan (SSP) et en anticipant les évaluations nécessaires, plutôt que d’attendre l’apparition des exigences dans un appel d’offres.

Exigences CMMC par niveau de maturité

Il est crucial pour les sous-traitants de bien comprendre les exigences propres à chaque niveau de maturité CMMC avant d’entamer la démarche de conformité et de certification (y compris la différence entre certification CMMC et conformité CMMC). Chacun des trois niveaux du cadre CMMC 2.0 — Fondamental, Avancé, Expert — comporte ses propres pratiques et processus, conçus pour renforcer progressivement la posture de cybersécurité du sous-traitant en fonction de la sensibilité des informations traitées et partagées avec le DoD. Les principales exigences pour chaque niveau CMMC 2.0 sont :

Exigences CMMC 2.0 Niveau 1 : Cybersécurité fondamentale

Le niveau 1 du CMMC porte sur les pratiques de cybersécurité de base pour les organisations traitant des informations contractuelles fédérales (FCI). Ce niveau vise à démontrer une hygiène cyber minimale. Les exigences principales sont :

  1. Pratiques de protection de base : Les organisations doivent mettre en œuvre 17 pratiques alignées sur la Federal Acquisition Regulation (FAR) 52.204-21, qui définit les exigences fondamentales de protection des FCI.
  2. Contrôle des accès : Limiter l’accès aux systèmes d’information aux utilisateurs et appareils autorisés.
  3. Sensibilisation et formation : Sensibiliser le personnel de l’organisation à la sécurité.
  4. Gestion de la configuration : Établir et maintenir des configurations de référence pour les systèmes d’information de l’organisation.
  5. Identification et authentification : Identifier les utilisateurs, processus et appareils des systèmes d’information, et vérifier leur identité avant d’accorder l’accès.
  6. Protection des supports : Protéger les supports des systèmes d’information pendant et après leur utilisation.
  7. Protection physique : Limiter l’accès physique aux systèmes d’information et à leurs composants.
  8. Évaluation des risques : Évaluer et revoir périodiquement les risques pour les opérations de l’organisation.
  9. Évaluation de la sécurité : Réaliser des évaluations de sécurité périodiques pour garantir le respect des exigences de sécurité.
  10. Protection des systèmes et des communications : Surveiller, contrôler et protéger les communications de l’organisation aux frontières externes et aux points internes clés.
  11. Intégrité des systèmes et des informations : Identifier, signaler et corriger rapidement les failles des systèmes d’information.

Globalement, le niveau 1 du CMMC 2.0 impose des pratiques de cybersécurité de base, généralement simples à mettre en œuvre pour la plupart des organisations, et assurant une protection essentielle lors du traitement des FCI.

Exigences CMMC 2.0 Niveau 2 : Cybersécurité avancée

Le niveau 2 du CMMC s’adresse aux sous-traitants de la défense qui traitent des informations contrôlées non classifiées (CUI) dans le cadre de leurs contrats avec le DoD. Voici les exigences principales pour atteindre le niveau 2 du CMMC 2.0 :

  1. Alignement sur le NIST SP 800-171 : Le niveau 2 s’aligne principalement sur les 110 pratiques de sécurité définies dans la publication spéciale 800-171 du NIST. Cela couvre des domaines comme le contrôle d’accès, la gestion des incidents et la gestion des risques.
  2. Évaluation et certification : Les organisations doivent se soumettre à une évaluation tierce par un organisme d’évaluation CMMC certifié (C3PAO) pour vérifier la conformité. Cette étape est obligatoire pour les contrats impliquant des CUI.
  3. Auto-évaluations annuelles : Les organisations doivent également réaliser des auto-évaluations annuelles pour garantir la conformité continue et l’amélioration de leurs pratiques de cybersécurité.
  4. Documentation et élaboration de politiques : Les entreprises doivent disposer de politiques et procédures documentées couvrant chaque pratique de sécurité, avec des registres et des traces d’audit régulièrement mis à jour.
  5. Gestion des risques : Les organisations doivent adopter une démarche de gestion des risques permettant d’identifier, d’évaluer et de gérer en continu les risques cyber.
  6. Déclaration des incidents : Des procédures doivent être en place pour signaler les incidents au DoD, garantissant une communication rapide et une réaction appropriée en cas de faille.
  7. Surveillance continue : Les entreprises doivent disposer de mécanismes de surveillance continue de leurs systèmes d’information afin de détecter et de traiter rapidement les menaces.
  8. Sensibilisation et formation à la sécurité : Mettre en place un programme de formation à la sécurité pour que tous les collaborateurs comprennent leurs responsabilités et l’importance de protéger les CUI.

En respectant ces exigences, les organisations peuvent garantir la protection des informations sensibles et rester éligibles aux contrats DoD impliquant des CUI.

Exigences CMMC 2.0 Niveau 3 : Cybersécurité experte

Le niveau 3 du CMMC concerne les organisations traitant des informations contrôlées non classifiées (CUI) et impose la mise en œuvre de pratiques de cybersécurité avancées. Les exigences pour ce niveau ne sont pas encore toutes publiques, mais voici un aperçu général selon les informations disponibles :

  1. Alignement sur les normes NIST : Le niveau 3 s’aligne étroitement sur le NIST SP 800-172, qui complète les contrôles du NIST SP 800-171 par des pratiques de cybersécurité avancées.
  2. Pratiques de sécurité avancées : Les organisations doivent appliquer plus de 110 pratiques, incluant celles des niveaux inférieurs (1 et 2), enrichies d’exigences supplémentaires axées sur la détection et la réponse aux menaces sophistiquées.
  3. Gestion et réponse aux incidents : Des pratiques robustes de gestion des incidents doivent être en place, avec la capacité de gérer et de signaler efficacement les incidents de cybersécurité.
  4. Surveillance continue : Les organisations doivent mettre en œuvre des systèmes de surveillance continue pour détecter, répondre et se remettre rapidement des incidents.
  5. Gestion des risques : Un cadre de gestion des risques mature est requis pour évaluer, hiérarchiser et atténuer les risques de façon continue.
  6. Évaluation experte : Les organisations de ce niveau doivent se soumettre à des évaluations triennales réalisées par des évaluateurs tiers certifiés.
  7. Protection des FCI et CUI : Les organisations doivent démontrer une capacité solide à protéger à la fois les FCI et les CUI.

Ces lignes directrices étant générales, les organisations visant la conformité CMMC 2.0 niveau 3 doivent suivre de près les mises à jour du DoD et consulter des experts en cybersécurité pour s’assurer de répondre à toutes les exigences spécifiques au fur et à mesure de leur évolution.

Checklist de conformité CMMC

La certification CMMC, préalable à la conformité CMMC, est un processus rigoureux. Pour obtenir la certification, les entreprises doivent répondre à un ensemble d’exigences défini par le DoD. Voici notre checklist CMMC des points à traiter pour obtenir la certification.

Évaluer le niveau de maturité CMMC adapté à votre organisation

La première étape pour atteindre la conformité CMMC 2.0 consiste à déterminer le niveau de maturité le plus adapté à votre organisation. Le processus de certification CMMC est progressif, et chaque entreprise doit choisir le niveau à viser selon la sensibilité des données qu’elle traite. Il existe trois niveaux de certification CMMC (voir plus haut).

Réaliser une auto-évaluation CMMC pour mesurer votre préparation à la conformité

Après avoir déterminé le niveau de maturité souhaité ou requis, la prochaine étape consiste à réaliser une auto-évaluation du profil de cybersécurité de votre organisation. Cette évaluation doit inclure un examen de la maturité cyber, des politiques et procédures, de la sécurité réseau, du contrôle des accès et des capacités de réponse aux incidents.

Exploiter d’autres cadres de cybersécurité pour faciliter la conformité CMMC

Bien que l’obtention de la certification CMMC puisse être complexe, les organisations peuvent faciliter la transition en s’appuyant sur des cadres et certifications existants alignés sur les exigences CMMC. Le CMMC s’inspire de cadres existants, et il existe de nombreux recoupements entre le CMMC et d’autres référentiels utilisés pour la conformité réglementaire.

Un exemple est le Cybersecurity Framework du National Institute of Standards and Technology (NIST CSF), qui fournit des lignes directrices et bonnes pratiques pour gérer et atténuer les risques cyber. En appliquant le CSF, les organisations peuvent aligner leurs pratiques sur les exigences CMMC, ce qui facilite généralement la certification.

D’autres cadres et certifications utiles pour obtenir la certification CMMC incluent FedRAMP, FISMA, la norme ISO/IEC 27001 et le NIST SP 800-171. En s’appuyant sur ces référentiels, les organisations renforcent leur posture globale de cybersécurité et peuvent démontrer leur conformité aux exigences CMMC.

Élaborer un plan d’action et des jalons (POA&M) pour la conformité CMMC

Un plan d’action et des jalons (POA&M) est un document clé qui détaille la stratégie de l’organisation pour traiter ses faiblesses et lacunes en cybersécurité. Il joue un rôle central pour prouver la conformité CMMC. L’élaboration d’un POA&M suit plusieurs étapes. Après avoir identifié le niveau approprié, il faut repérer les écarts entre la posture cyber actuelle et les certifications requises. Cela implique une évaluation approfondie des politiques, procédures et mesures techniques existantes.

En fonction des écarts identifiés, il convient de hiérarchiser les points à traiter en priorité. Ensuite, définissez un calendrier pour chaque action, avec des échéances précises. Attribuez les tâches aux membres de l’équipe en précisant les responsabilités et veillez à leur avancement. Enfin, documentez toutes les étapes vers la conformité et suivez régulièrement la progression, en mettant à jour le plan d’action et des jalons si nécessaire. Cette approche structurée et méthodique garantit une conformité CMMC plus efficace et dans les délais.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks