Communiqué de presse
La moitié des organisations n’ont pas de gouvernance centralisée des données alors que les sous-traitants de la défense se préparent à la CMMC 2.0
Le rapport annuel de Kiteworks sur la sécurité des données et les risques de conformité révèle des failles majeures pour la base industrielle de défense
Kiteworks, qui aide les organisations à gérer efficacement les risques liés à l’envoi, au partage, à la réception et à l’utilisation de données privées, annonce aujourd’hui les résultats de son rapport annuel 2025 sur la sécurité des données et les risques de conformité, mettant en lumière d’importants défis de gouvernance auxquels sont confrontés les sous-traitants de la défense dans le cadre de la préparation aux exigences CMMC 2.0.
L’enquête révèle que seulement 56 % des répondants ont mis en place un chiffrement de bout en bout des e-mails pour toutes les données sensibles, et à peine plus de la moitié ont centralisé leurs processus de gouvernance. Ces lacunes sont particulièrement préoccupantes pour les sous-traitants de la défense qui traitent des informations non classifiées contrôlées (CUI), car CMMC 2.0 exige une gouvernance et des contrôles de sécurité sur l’ensemble de la supply chain. À noter : si l’étude complète porte sur 461 organisations tous secteurs confondus, l’analyse des 104 organisations engagées dans la certification CMMC 2.0 met en évidence des défis spécifiques pour la base industrielle de défense.
« Les données révèlent un défi fondamental pour les sous-traitants de la défense », explique Frank Balonis, CISO et SVP of Operations chez Kiteworks. « Sans contrôles de gouvernance adaptés, les organisations ne peuvent pas prouver la protection globale des CUI exigée par le CMMC. La conformité commence par une compréhension et une maîtrise de votre environnement de données. »
Des lacunes majeures en gouvernance compromettent la préparation au CMMC
L’étude identifie des failles critiques qui impactent directement la conformité CMMC :
Des bases de sécurité incomplètes. Les sous-traitants de la défense engagés dans la démarche CMMC 2.0 rencontrent de grandes difficultés à mettre en œuvre les contrôles de sécurité fondamentaux. Parmi les 104 organisations interrogées, la mise en place du chiffrement varie fortement selon la taille de l’entreprise, les plus grandes affichant des lacunes inquiétantes. Seuls 38 % des organisations de plus de 20 000 employés atteignent un niveau de chiffrement élevé (76-100 % de couverture), contre 59 % pour les entreprises de taille intermédiaire (5 000 à 9 999 employés).
Le suivi de la gouvernance révèle une forte dépendance aux processus manuels : 95 % des organisations CMMC suivent certains indicateurs d’efficacité, mais seulement 38 % ont mis en place des systèmes de contrôle et de suivi de la gouvernance. Cet écart de 57 points traduit une dépendance généralisée aux workflows manuels, augmentant le risque d’erreur humaine, compliquant la surveillance continue et posant des difficultés pour la traçabilité exigée par les évaluateurs CMMC. Les organisations sans suivi de gouvernance affichent 5 points de pourcentage de plus de faibles taux de chiffrement (20 % contre 15 %), ce qui impacte directement leur capacité à démontrer la protection des CUI attendue par le CMMC.
Cécité vis-à-vis de l’écosystème tiers. Les organisations engagées dans le CMMC peinent à gérer les risques fournisseurs, alors même qu’elles font face à la même complexité de supply chain que les autres secteurs. Les 104 organisations concernées présentent une répartition des fournisseurs quasi identique à la population générale, mais la conformité des prestataires arrive en deuxième position de leurs préoccupations (score de 73 sur 100), 39 % la citant comme enjeu majeur — soit 7 points de plus que les organisations non CMMC.
Des failles critiques apparaissent dans la gouvernance contractuelle : seules 22 % des organisations CMMC imposent des exigences de sécurité contractuelles à leurs fournisseurs, contre 27 % en moyenne dans le secteur. Cela représente un risque de conformité majeur, car les sous-traitants de la défense doivent prouver leur maîtrise des CUI sur l’ensemble de leur écosystème.
Crise émergente de gouvernance de l’IA : L’exactitude de l’inventaire des données pose problème à 27 % des organisations CMMC, se classant au sixième rang des sept principaux défis, ce qui suggère que si la plupart disposent de contrôles d’inventaire de base, la complexité liée au suivi des contenus générés par l’IA et à la bonne classification des CUI reste problématique.
L’écart en matière de discipline de mesure met en lumière la préoccupation centrale : les organisations qui suivent les indicateurs d’efficacité affichent 6 points de moins de lacunes graves en chiffrement (19 % contre 25 %), ce qui laisse penser qu’un usage non mesuré de l’IA pourrait générer des flux de CUI non documentés. Ce point est d’autant plus préoccupant que :
- Les systèmes basés sur l’IA peuvent traiter, stocker ou transmettre des CUI sans classification adéquate
- Les outils d’IA générative risquent d’exposer des CUI via les données d’entraînement ou les résultats
- Les organisations sans suivi de gouvernance ne peuvent pas démontrer la surveillance continue des interactions entre l’IA et les données, exigée par les évaluateurs CMMC
Répartition géographique et implications. La répartition géographique des répondants engagés dans la démarche CMMC (63 % Amérique du Nord, 11 % Europe, 20 % Asie-Pacifique, 7 % Moyen-Orient/Afrique) met en évidence la concentration de l’activité supply chain défense et révèle d’importantes disparités régionales en matière de préparation. L’analyse régionale met en lumière des écarts préoccupants : la faible représentation européenne (11 %) malgré les partenariats OTAN suggère un manque de sensibilisation, tandis que la participation de l’Asie-Pacifique (20 %) s’explique surtout par la présence de partenaires technologiques et industriels dans les pays alliés. L’engagement du Moyen-Orient reste limité (7 %), reflet de la dynamique actuelle du marché. Surtout, 51 % de l’ensemble des répondants CMMC gérant des flux de données à l’international signalent une complexité accrue dans l’élaboration des règles et la mise en œuvre des contrôles, ce qui crée des défis supplémentaires pour les organisations opérant sur plusieurs juridictions où des CUI peuvent être traitées ou stockées.
« La conformité CMMC 2.0 ne se limite pas à cocher des cases — il s’agit de démontrer une gouvernance mature et cohérente sur l’ensemble de votre écosystème de données », conclut Balonis. « Les lacunes révélées par notre étude montrent que de nombreux sous-traitants de la défense ont encore beaucoup à faire. Ceux qui agissent dès maintenant pour combler ces écarts de gouvernance se positionnent non seulement pour la conformité, mais aussi pour gagner en compétitivité au sein de la base industrielle de défense. »
Consultez le rapport annuel 2025 sur la sécurité des données et les risques de conformité ici.
À propos de Kiteworks
Kiteworks s'est donné une mission : aider les organisations à gérer efficacement les risques liés à l'envoi, au partage, à la réception et au stockage de données privées. Kiteworks offre à ses clients un Réseau de données privées qui assure la gouvernance, la conformité et la protection des données. La plateforme unifie, suit, contrôle et protège les échanges de données sensibles, en interne comme en externe, ce qui facilite la gestion des risques et garantit la conformité réglementaire de tous les échanges de données privées. Basé dans la Silicon Valley, Kiteworks protège plus de 100 millions d'utilisateurs finaux à travers plus de 1 500 entreprises et agences gouvernementales dans le monde.
Contact presse :
David Schutzman
PR Manager
David.schutzman@kiteworks.com