CMMC 2.0 Copilot
Maîtrisez les exigences de certification cybersécurité du DoD en toute confiance
Ce que le CMMC 2.0 Copilot peut faire
Identifier quel niveau CMMC s'applique à votre contrat et à votre type d'information
Cartographier votre inventaire d'actifs sur les catégories définies du CMMC Assessment Scope
Comprendre les règles d'éligibilité au POA&M et les exigences exclues nominativement (named-barred requirements) selon §170.21
Naviguer les voies C3PAO, DIBCAC et auto-évaluation pour chaque niveau
Interpréter les obligations des ESP et fournisseurs cloud selon DFARS 252.204-7012
Suivre l'affirmation annuelle et le cycle de certification triennal
About CMMC 2.0 Copilot
Le CMMC 2.0, établi par le 32 CFR Part 170 et opérationnalisé via le DFARS 252.204-7021, impose aux sous-traitants de la défense traitant des FCI ou des CUI de satisfaire à des exigences de sécurité définies à l'un de trois niveaux. Le CMMC 2.0 Copilot vous aide à traiter la préparation à l'évaluation, les décisions de cadrage et les contraintes de POA&M sur les trois niveaux.
Questions fréquemment posées
Qu'est-ce que le CMMC 2.0 ?
Le CMMC 2.0 est un dispositif de certification du DoD établi par le 32 CFR Part 170 qui impose aux sous-traitants de la défense et à leurs sous-traitants de satisfaire à des exigences de cybersécurité définies avant de traiter des Federal Contract Information (FCI) ou des Controlled Unclassified Information (CUI). Il fonctionne sur trois niveaux, s'appuyant sur FAR 52.204-21 au Level 1, NIST SP 800-171 Rev. 2 au Level 2 et une sélection d'exigences de NIST SP 800-172 au Level 3.
Comment le CMMC 2.0 Copilot aide-t-il ?
Le Copilot vous aide à comprendre les exigences à chaque niveau, à identifier quels actifs relèvent de votre CMMC Assessment Scope selon §170.19, et à interpréter les contraintes de POA&M ainsi que les exigences exclues nominativement (named-barred requirements) selon §170.21, afin de mieux préparer une auto-évaluation ou un engagement C3PAO.
Quelles exigences ne peuvent jamais être placées sur un POA&M au Level 2 ?
Selon §170.21(b), six exigences sont exclues du POA&M au Level 2 et doivent être pleinement mises en œuvre au moment de l'évaluation : AC.L2-3.1.20, AC.L2-3.1.22, CA.L2-3.12.4, PE.L2-3.10.3, PE.L2-3.10.4 et PE.L2-3.10.5. En outre, les POA&M ne sont pas autorisés du tout au Level 1, et tout point de POA&M ouvert au Level 2 doit être clôturé sous 180 jours pour éviter l'expiration du Conditional CMMC Status.
Prêt à optimiser votre travail de conformité ?
Conçu pour la rapidité, la précision et des livrables prêts pour l'audit.