Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Conformité CMMC > Désormais officiel : la règle 48 CFR DFARS instaure les exigences CMMC pour les sous-traitants de la défense
Désormais officiel : la règle 48 CFR DFARS instaure les exigences CMMC pour les sous-traitants de la défense

Désormais officiel : la règle 48 CFR DFARS instaure les exigences CMMC pour les sous-traitants de la défense

par Danielle Barbour updated septembre 10, 2025 Conformité CMMC
temps de lecture: 8 minutes

La Cybersecurity Maturity Model Certification (CMMC) 2.0 est le dernier cadre du Department of Defense (DoD) conçu pour protéger les informations sensibles non classifiées au sein du Defense Industrial Base (DIB). Ce programme garantit que les sous-traitants et prestataires du DoD mettent en œuvre les mesures de cybersécurité appropriées afin de sécuriser les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI). Les principaux objectifs de la CMMC 2.0 sont de renforcer la posture de cybersécurité du DIB, de protéger les informations sensibles non classifiées contre le vol et l’espionnage, et de créer une norme uniforme de cybersécurité à travers la supply chain de la défense.

Avec la récente publication du 48 CFR en tant que règle finale, les sous-traitants de la défense font désormais face à des exigences concrètes accrues pour la protection des informations sensibles non classifiées. Cet article propose un aperçu de ces exigences, des calendriers de mise en œuvre et des meilleures pratiques pour être conforme.

Conformité CMMC 2.0 : feuille de route pour les sous-traitants du DoD

Pour en savoir plus :

Qu’est-ce que le 48 CFR, le 32 CFR et la CMMC 2.0 ?

48 CFR – Defense Federal Acquisition Regulation Supplement (DFARS)

Le Titre 48 du Code of Federal Regulations regroupe les Federal Acquisition Regulations (FAR) et leurs suppléments, dont le Defense Federal Acquisition Regulation Supplement (DFARS). La règle finale récemment publiée dans le 48 CFR inclut la clause DFARS 252.204-7021, qui impose les exigences CMMC aux sous-traitants de la défense. Cette clause impose aux sous-traitants et prestataires la mise en œuvre de normes de cybersécurité spécifiques selon la sensibilité des informations traitées. La règle exige que les sous-traitants de la défense atteignent le niveau de certification CMMC approprié pour pouvoir obtenir des contrats.

32 CFR – Réglementations nationales de la défense

Le Titre 32 CFR regroupe les réglementations liées à la défense nationale, dont la Partie 170 qui établit le programme CMMC. Le 32 CFR a été publié en octobre 2024. La section 170.14 détaille spécifiquement le modèle CMMC, précisant les exigences de cybersécurité à chaque niveau. Ce cadre réglementaire décrit comment le DoD évaluera la conformité des sous-traitants aux exigences de protection de l’information.

CMMC 2.0 – Cybersecurity Maturity Model Certification

La CMMC est une norme unifiée visant à renforcer la protection des FCI et CUI au sein du DIB. Comme précisé dans le document de présentation du modèle CMMC du DoD, la CMMC intègre des exigences de sécurité issues de la clause FAR 52.204-21 (Basic Safeguarding of Covered Contractor Information Systems), du NIST SP 800-171 Rev 2 (Protection des informations non classifiées contrôlées dans les systèmes et organisations non fédéraux), et d’un sous-ensemble d’exigences du NIST SP 800-172 (Exigences de sécurité renforcées pour la protection des informations non classifiées contrôlées).

Qui doit obtenir la certification CMMC 2.0 ?

Les entreprises faisant partie de la supply chain de la défense doivent obtenir la certification CMMC. Être conforme à la CMMC, et obtenir la certification, prouve qu’une organisation respecte le cadre CMMC 2.0. Ce processus de certification est essentiel, car il garantit que les entreprises manipulant des données sensibles liées à la défense nationale respectent des normes de cybersécurité précises. En obtenant la certification CMMC, ces entreprises démontrent leur engagement à préserver l’intégrité et la confidentialité d’informations critiques.

Le processus de certification implique une évaluation approfondie des pratiques de cybersécurité de l’entreprise, classées selon différents niveaux en fonction de la complexité et de la sensibilité des données traitées. Cela permet non seulement de sécuriser davantage les informations contractuelles fédérales et les informations non classifiées contrôlées, mais aussi de renforcer l’ensemble de l’infrastructure de sécurité nationale. Ainsi, obtenir un certificat CMMC ne se limite pas à la conformité ; il s’agit de contribuer à la protection des intérêts nationaux face aux cybermenaces et d’éviter que des adversaires n’exploitent les vulnérabilités de la supply chain de la défense.

Calendrier et phases de mise en œuvre de la CMMC 2.0

La mise en œuvre des exigences CMMC suivra une approche progressive, comme décrit dans le CMMC 101 Brief du DoD. La phase 1 (mise en œuvre initiale) débute à la date d’entrée en vigueur de la règle 48 CFR, où les appels d’offres concernés exigeront une auto-évaluation de niveau 1 ou 2. La phase 2 commence 12 mois après le début de la phase 1, avec obligation de certification de niveau 2 pour les appels d’offres concernés. La phase 3 débute 24 mois après le début de la phase 1, avec obligation de certification de niveau 3 pour les appels d’offres concernés. La phase 4 (mise en œuvre complète) commence 36 mois après le début de la phase 1 : tous les appels d’offres et contrats incluront alors les exigences CMMC applicables comme condition d’attribution. À noter que, pour certains marchés, le DoD pourra appliquer les exigences CMMC avant les phases prévues.

Principaux éléments du cadre CMMC 2.0

Niveaux CMMC

Le modèle CMMC comprend trois niveaux progressifs de maturité en cybersécurité. Le niveau 1 cible la protection des FCI et comporte 15 exigences de sécurité alignées sur le FAR 52.204-21, avec auto-évaluation et attestation annuelles. Le niveau 2 vise la protection des CUI et intègre les 110 exigences de sécurité du NIST SP 800-171 Rev 2, avec évaluation de certification C3PAO tous les 3 ans ou auto-évaluation tous les 3 ans pour certains programmes, et attestation annuelle. Le niveau 3 renforce la protection des CUI avec 134 exigences (110 du NIST SP 800-171 et 24 du NIST SP 800-172), nécessitant une évaluation de certification DIBCAC tous les 3 ans et une attestation annuelle.

Domaines CMMC

Le modèle CMMC couvre 14 domaines correspondant aux familles d’exigences de sécurité du NIST SP 800-171 Rev 2 : Contrôle d’accès (AC), Sensibilisation & Formation (AT), Audit & Responsabilité (AU), Gestion de la configuration (CM), Identification & Authentification (IA), Réponse aux incidents (IR), Maintenance (MA), Protection des supports (MP), Sécurité du personnel (PS), Protection physique (PE), Évaluation des risques (RA), Évaluation de la sécurité (CA), Protection des systèmes et des communications (SC), et Intégrité des systèmes et des informations (SI).

Méthodologie de scoring CMMC

La CMMC prévoit une méthodologie de scoring définie pour chaque niveau. Le niveau 1 ne requiert pas de score : les exigences sont soit REMPLIES, soit NON REMPLIES. Pour le niveau 2, les exigences de sécurité valent 1, 3 ou 5 points, avec une plage de -203 à 110 et un score minimum de 88 pour réussir. Au niveau 3, toutes les exigences valent 1 point, pour un score maximum de 24, et nécessitent un score de niveau 2 préalable de 110.

Bénéfices de sécurité liés à la mise en œuvre de la CMMC 2.0

Mettre en œuvre la CMMC apporte des bénéfices majeurs en matière de sécurité pour les organisations. Ce cadre propose une approche de protection globale des informations sensibles en couvrant des contrôles sur plusieurs domaines de cybersécurité. Il définit des bases de sécurité standardisées applicables à l’ensemble du DIB, assurant un niveau de protection uniforme pour les informations du DoD. La CMMC renforce la sécurité de la supply chain en imposant la certification à tous les niveaux, ce qui permet de limiter les vulnérabilités exploitables via des relations avec des tiers. L’approche par niveaux permet d’adapter les contrôles de sécurité à la sensibilité des informations traitées, évitant ainsi des charges inutiles pour les sous-traitants ne manipulant pas de CUI. Les attestations annuelles et les évaluations périodiques garantissent un suivi continu et une conformité durable, au lieu d’évaluations ponctuelles.

Risques encourus par les sous-traitants et prestataires du DoD en cas de non-conformité

Les organisations qui n’obtiennent pas la certification CMMC appropriée s’exposent à plusieurs risques importants. Sur le plan contractuel et commercial, sans le niveau CMMC requis, les sous-traitants ne peuvent pas obtenir de contrats DoD comportant des exigences CMMC. Les donneurs d’ordre doivent s’assurer que leurs sous-traitants respectent les exigences CMMC, sous peine de perdre des fournisseurs clés s’ils ne sont pas conformes. À mesure que la CMMC sera pleinement déployée, les prestataires non certifiés seront exclus d’une part importante des marchés DoD. Sur le plan réglementaire et juridique, la non-conformité aux exigences CMMC dans les contrats en cours peut entraîner la résiliation du contrat ou d’autres mesures. Des évaluations échouées peuvent conduire à des constats de sécurité formels nécessitant des actions correctives. Ne pas clôturer les Plans d’Action et Jalons (POA&Ms) dans le délai de 180 jours entraîne l’expiration du statut CMMC. En matière de sécurité des données, les organisations dépourvues de contrôles de cybersécurité adéquats sont plus vulnérables aux violations affectant les FCI et CUI, et de mauvaises pratiques de sécurité dans la supply chain peuvent ouvrir la porte à des acteurs malveillants ciblant les informations du DoD.

Exigences pour la mise en œuvre de la CMMC

Les organisations souhaitant obtenir la certification CMMC doivent commencer par déterminer le niveau CMMC applicable selon le type d’informations traitées (FCI ou CUI), identifier les systèmes et composants qui traitent, stockent ou transmettent des FCI ou CUI, élaborer la documentation requise comme les System Security Plans (SSP) et POA&Ms, et se préparer à une évaluation tierce par un C3PAO ou le DIBCAC pour les niveaux 2 ou 3.

Exigences techniques

La mise en œuvre technique varie selon le niveau CMMC, mais les exigences communes incluent la gestion stricte des accès pour les utilisateurs, systèmes et connexions externes, la mise en place de protections adaptées pour les données au repos et en transit, l’établissement de l’audit système, la détection des menaces et la réponse aux incidents, le maintien de configurations de référence sécurisées et le contrôle des changements, ainsi que des tests et évaluations réguliers des contrôles de sécurité.

Meilleures pratiques pour la mise en œuvre et le maintien de la conformité CMMC 2.0

Mettre en œuvre et maintenir la conformité CMMC 2.0 nécessite une approche stratégique et un engagement sur la durée. L’une des meilleures pratiques consiste à entamer le processus de certification le plus tôt possible. Avec la publication du 32 CFR et du 48 CFR, si votre organisation n’a pas encore commencé son parcours de conformité CMMC, le moment est venu. Compte tenu de l’ampleur des exigences CMMC, atteindre la conformité peut prendre du temps. Commencer tôt permet de disposer du temps nécessaire pour mettre en place les changements requis et relever les défis qui se présentent.

Nous vous recommandons d’adopter les meilleures pratiques suivantes pour garantir une mise en œuvre fluide des processus et procédures nécessaires à la certification CMMC, ainsi que pour maintenir la conformité une fois la certification obtenue, quel que soit le niveau de maturité visé.

1. Impliquer la direction dans le processus de conformité CMMC

L’implication de la direction est essentielle pour réussir la mise en œuvre de la CMMC. Obtenir l’adhésion du top management garantit l’allocation de ressources suffisantes au processus de certification et fait de la cybersécurité une priorité à l’échelle de l’organisation. Le soutien de la direction favorise également une culture de la sécurité dans toute l’entreprise.

2. Évaluer en continu votre niveau de cybersécurité et de conformité CMMC

Des auto-évaluations régulières sont indispensables pour maintenir la conformité CMMC. Les organisations doivent évaluer en continu leur posture de cybersécurité au regard des exigences CMMC, même après la certification. Ces évaluations permettent d’identifier les axes d’amélioration et de s’assurer que les pratiques de sécurité restent efficaces face à l’évolution des menaces.

3. Former les collaborateurs aux bonnes pratiques de cybersécurité

Mettre en place un programme de formation solide est une autre bonne pratique clé. Tous les collaborateurs doivent être sensibilisés aux bonnes pratiques de cybersécurité et aux exigences CMMC liées à leur rôle. Cette formation doit être continue et régulièrement mise à jour pour intégrer les nouvelles menaces et évolutions du programme CMMC.

4. Documenter vos efforts de conformité CMMC

Une documentation rigoureuse est indispensable à la conformité CMMC. Les organisations doivent conserver des dossiers détaillés sur leurs pratiques, politiques et procédures de sécurité. Cette documentation soutient non seulement le processus de certification, mais permet aussi de maintenir la cohérence des pratiques de sécurité dans toute l’organisation.

5. Se tenir informé des évolutions du cadre CMMC

Rester informé des évolutions et mises à jour du programme CMMC est essentiel pour maintenir la conformité. Le paysage de la cybersécurité évolue sans cesse, et le programme CMMC peut être mis à jour pour répondre à de nouvelles menaces ou exigences. Les organisations doivent désigner des personnes responsables de la veille sur ces évolutions et de l’adaptation des pratiques de sécurité en conséquence.

6. S’appuyer sur les cadres de cybersécurité existants

Capitaliser sur les cadres de cybersécurité déjà en place peut simplifier la mise en œuvre de la CMMC. De nombreuses organisations ont déjà adopté des mesures pour se conformer à d’autres normes, comme le NIST SP 800-171. Aligner les efforts CMMC sur ces cadres existants permet de limiter les redondances et d’adopter une approche plus globale de la cybersécurité.

7. Faire appel à des experts en cybersécurité

Solliciter des experts en cybersécurité apporte un accompagnement précieux tout au long du processus CMMC. Cela peut impliquer de travailler avec des consultants CMMC ou des organismes d’évaluation certifiés (C3PAO), qui partagent leur expérience et aident à naviguer dans la complexité du processus de certification.

8. Surveiller le trafic et les systèmes pour garantir la conformité CMMC

Mettre en place des outils et processus de surveillance continue est essentiel pour maintenir la conformité CMMC. Ces outils permettent de suivre en temps réel la posture de sécurité, d’identifier les vulnérabilités potentielles et de réagir rapidement en cas d’incident.

9. Instaurer une culture de la sécurité

Favoriser une culture de la sécurité est sans doute la meilleure pratique pour la conformité CMMC. Cela implique d’encourager tous les collaborateurs à faire de la cybersécurité une priorité au quotidien, de promouvoir une communication ouverte sur les sujets de sécurité, et de valoriser les bonnes pratiques.

La CMMC 2.0 est là

Le programme Cybersecurity Maturity Model Certification marque un tournant dans la façon dont le Department of Defense assure la protection des informations sensibles non classifiées au sein de sa supply chain. Avec la publication du 48 CFR en tant que règle finale, le programme CMMC dispose désormais d’une base réglementaire claire via la clause DFARS 252.204-7021, soutenue par la structure du programme détaillée dans le 32 CFR Partie 170. Le cadre à trois niveaux propose une approche évolutive de la sécurité, avec des exigences adaptées à la sensibilité des informations traitées. Les organisations doivent obtenir le niveau de certification approprié, par auto-évaluation ou évaluation tierce selon leur niveau CMMC. La mise en œuvre s’effectuera en quatre phases, la conformité totale étant requise 36 mois après l’entrée en vigueur de la règle. Pour se préparer, les organisations doivent réaliser des analyses d’écarts, élaborer une documentation de sécurité complète, mettre en œuvre des actions correctives basées sur les risques, instaurer des processus de vérification de la supply chain et maintenir des pratiques de conformité continue. En suivant les meilleures pratiques présentées dans ce guide, les sous-traitants de la défense pourront naviguer efficacement dans les exigences CMMC, préserver leur éligibilité aux contrats DoD et contribuer à renforcer la sécurité du Defense Industrial Base.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks