Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Conformité CMMC > Crise de gouvernance CMMC 2.0 : 62 % des sous-traitants de la défense n’ont pas les contrôles essentiels pour réussir la certification
Plus de la moitié des fournisseurs du DoD échouent sur le contrôle de gouvernance

Crise de gouvernance CMMC 2.0 : 62 % des sous-traitants de la défense n’ont pas les contrôles essentiels pour réussir la certification

par Patrick Spencer updated septembre 8, 2025 Conformité CMMC
temps de lecture: 9 minutes

Les sous-traitants de la défense visant la certification CMMC 2.0 Niveau 2 font face à une réalité difficile : 62 % n’appliquent pas les contrôles de gouvernance nécessaires, pourtant essentiels à la réussite de la certification. Ce constat ressort de l’analyse 2025 de Kiteworks portant sur 104 organisations engagées dans la démarche CMMC 2.0, dans le cadre d’une enquête plus large sur les pratiques de sécurité et de conformité des données de 461 organisations à travers le monde. Rapport : Plus de la moitié des fournisseurs du DoD échouent sur leurs contrôles de gouvernance.

Ce déficit de gouvernance engendre des vulnérabilités en cascade dans l’ensemble de la supply chain de la défense. Les organisations qui suivent des indicateurs d’efficacité obtiennent de bien meilleurs résultats en matière de sécurité : seulement 19 % affichent un faible taux de chiffrement contre 25 % pour celles qui ne mesurent pas leurs performances. Pour les sous-traitants manipulant des données sensibles, ces écarts représentent des risques opérationnels et de conformité majeurs.

Feuille de route pour la conformité CMMC 2.0 à destination des sous-traitants du DoD

Pour en savoir plus :

Ce que révèlent les données sur la préparation à la CMMC 2.0

Parmi les 104 sous-traitants de la défense visant la certification CMMC 2.0 Niveau 2, des tendances préoccupantes se dessinent pour l’ensemble du secteur. Les données recueillies entre octobre 2024 et janvier 2025 mettent en évidence un décalage fondamental entre les investissements en sécurité et la maturité de la gouvernance.

Seuls 38 % des organisations engagées dans la démarche CMMC ont mis en place des systèmes de contrôle et de suivi de la gouvernance, un taux légèrement inférieur à la moyenne de 40 % tous secteurs confondus. Cet écart de 2 points devient critique lorsqu’il s’ajoute à d’autres lacunes de gouvernance, générant des risques cumulés pour la réussite de la certification. L’écart en matière de suivi des performances est encore plus révélateur : les organisations qui mesurent l’efficacité de leurs actions obtiennent des résultats nettement meilleurs. Au sein du panel CMMC, 19 % des organisations qui suivent des indicateurs affichent un faible taux de chiffrement (≤50 % de couverture) contre 25 % pour celles qui ne mesurent pas, tandis que 95 % des organisations CMMC suivent au moins quelques indicateurs, contre 93 % tous secteurs confondus.

Plus préoccupant encore, seules 22 % des organisations CMMC intègrent des exigences de sécurité dans les contrats fournisseurs, contre 27 % pour l’ensemble des organisations interrogées. Cet écart de 5 points révèle une faiblesse structurelle de la sécurité de la supply chain — un enjeu d’autant plus critique que la CMMC impose des exigences de protection des données tout au long de la chaîne industrielle de la défense.

Résumé de

  1. Les organisations du mid-market tirent leur épingle du jeu grâce à une gouvernance prioritaire

    Les organisations de taille intermédiaire (5 000 à 9 999 employés) affichent le meilleur taux de réussite CMMC en matière de chiffrement, avec 59 %. Leur stratégie axée sur la gouvernance — qui privilégie la mise à jour des politiques et les budgets de conformité plutôt que les seuls contrôles techniques — surpasse à la fois les petites structures (52 %) et les grands groupes (38 %). Cela montre que la réussite CMMC repose sur un investissement équilibré dans la gouvernance, plus que sur la taille ou les ressources.

  2. La discipline de mesure améliore nettement les résultats en sécurité

    Le suivi rigoureux des performances permet d’améliorer de 6 points les résultats en sécurité. Les organisations qui suivent des indicateurs d’efficacité n’affichent que 19 % de faibles taux de chiffrement, contre 25 % pour celles qui n’ont pas de système de mesure. Cet écart de performance représente des milliers de vulnérabilités potentielles dans la supply chain de la défense et impacte directement la préparation à la certification.

  3. Les exigences contractuelles de sécurité fournisseur restent le principal point faible de la gouvernance CMMC

    Seules 22 % des organisations CMMC intègrent des exigences contractuelles de sécurité avec leurs fournisseurs. Cet écart de 5 points par rapport à la moyenne sectorielle (27 %) constitue la faiblesse de gouvernance la plus critique et la plus facile à corriger. Sans cadre contractuel, les 48 % qui réalisent des audits fournisseurs ne peuvent garantir la conformité sur l’ensemble de leur supply chain.

  4. Les organisations nord-américaines dominent la démarche CMMC, générant avantages et risques

    62 % des organisations engagées dans la démarche CMMC sont nord-américaines, contre seulement 32 % dans l’enquête globale. Cette surreprésentation traduit la forte pression exercée sur la base industrielle de défense américaine, mais suggère aussi que les fournisseurs internationaux sous-estiment leurs obligations. Cette concentration géographique crée à la fois des avantages compétitifs et des risques systémiques pour les sous-traitants nationaux.

  5. La discipline de mesure interne est indispensable pour tirer parti des consultants externes

    Les consultants externes n’apportent aucun avantage mesurable sans discipline de mesure interne. Les organisations qui font appel à des partenaires obtiennent des résultats similaires à celles qui agissent seules, à condition que toutes disposent d’un système de mesure (45-46 % de chiffrement de haut niveau). Les données montrent que l’expertise sans cadre de gouvernance n’améliore pas les résultats, faisant de la discipline interne un prérequis à toute collaboration efficace.

Concentration géographique et dynamique de taille

La répartition géographique met en lumière la forte pression sur la base industrielle de défense américaine : 62 % des répondants CMMC opèrent en Amérique du Nord, contre seulement 32 % dans l’enquête générale. L’Asie-Pacifique représente 20 % des répondants CMMC, l’Europe 11 % et le Moyen-Orient/Afrique 7 %. Cette concentration suggère que les fournisseurs internationaux sous-estiment leurs obligations CMMC ou sont moins avancés dans leur préparation.

La taille de l’organisation est fortement corrélée aux résultats en sécurité, mais pas comme on pourrait l’imaginer. Les organisations de taille intermédiaire (5 000 à 9 999 employés) affichent les meilleures performances, avec 59 % atteignant un chiffrement de haut niveau (76-100 %). Elles devancent à la fois les petites structures de moins de 5 000 employés (52 %) et, de loin, les grandes entreprises de plus de 20 000 employés (38 %). Ce paradoxe montre que la réussite repose sur la discipline de gouvernance, plus que sur les ressources ou la taille.

Les organisations du mid-market se distinguent nettement de leurs homologues. Alors que 36 % privilégient la mise à jour des politiques et des accords de protection des données (à égalité avec l’augmentation des budgets de conformité), les petites structures misent surtout sur de nouveaux contrôles techniques (37 %), et les plus grandes sur les solutions technologiques (38 %). Cette approche axée sur la gouvernance explique directement leurs meilleurs résultats.

Évolution réglementaire et conformité fournisseur : les principaux défis

Les répondants ont classé les défis selon un système de pondération, révélant deux préoccupations majeures. « Suivre l’évolution des réglementations » obtient 78 points, 23 % la citant comme défi principal et 38 % parmi leurs deux principales préoccupations. Les organisations CMMC accordent 6 points de plus à ce défi que la moyenne, ce qui reflète la dynamique des exigences de conformité dans la défense.

Juste derrière, la « conformité et le risque fournisseur » totalise 73 points, 18 % la citant en priorité et 38 % dans leur top 2. Notons que 39 % des organisations CMMC placent la conformité fournisseur parmi leurs trois principaux défis, contre 32 % tous secteurs confondus — un écart de 7 points qui souligne la pression spécifique de la supply chain dans la défense.

Ces défis réglementaires et liés à la supply chain surpassent largement les autres préoccupations. « Trouver l’équilibre entre conformité et accès aux données » obtient 59 points, tandis que « formation et sensibilisation des collaborateurs » n’enregistre que 42 points. Les contraintes budgétaires sont quasi inexistantes (5 points), ce qui suggère que les ressources existent, mais que les cadres de gouvernance pour les utiliser efficacement font défaut. Cette tendance se retrouve quelle que soit la taille de l’organisation, la conformité fournisseur étant le défi opérationnel le plus persistant.

Le déficit de gestion des risques fournisseurs

Le défi de la conformité fournisseur mérite une analyse approfondie, tant il est central pour toutes les tailles d’organisation et déterminant pour la réussite CMMC. Les contrôles de risque fournisseur actuellement en place présentent une maturité inégale. Si 48 % réalisent des audits réguliers de leurs fournisseurs (contre 44 % en moyenne) et 38 % utilisent des outils de gestion des risques tiers (contre 37 %), des lacunes critiques subsistent.

Seuls 28 % des organisations CMMC procèdent à des évaluations formelles des risques tiers, à peine au-dessus de la moyenne sectorielle (25 %). Plus inquiétant, seulement 22 % intègrent des exigences contractuelles de sécurité — 5 points sous la norme du secteur (27 %). Ce déficit contractuel est particulièrement problématique, la CMMC imposant des exigences strictes de protection des données tout au long de la supply chain. Sans obligations contractuelles, impossible de garantir que les fournisseurs appliquent les contrôles requis ou gèrent correctement les informations sensibles de la défense.

Les conséquences se répercutent sur toute la supply chain. Les organisations qui gèrent des centaines, voire des milliers de fournisseurs, font face à une complexité exponentielle en l’absence de cadre contractuel pour imposer les standards. Les 39 % qui citent la conformité fournisseur comme défi majeur sous-estiment probablement l’ampleur réelle de leur exposition, d’autant que beaucoup ne connaissent pas l’intégralité de leur écosystème fournisseur.

Schémas d’implémentation stratégique : facteurs de réussite

Les petites et moyennes organisations de moins de 5 000 employés misent avant tout sur les solutions techniques, 37 % privilégiant de nouveaux contrôles. Les actions secondaires concernent la mise à jour des politiques et accords de protection des données (33 %) et le renforcement de la gestion des risques tiers (28 %). Leurs défis reflètent les tendances générales : la conformité fournisseur concerne 41 %, l’équilibre accès/exigences 39 %, et l’évolution des réglementations 37 %. Avec 52 % atteignant un chiffrement de haut niveau, ces organisations affichent une réussite modérée malgré des ressources limitées.

Les organisations du mid-market (5 000 à 9 999 employés) adoptent des approches et obtiennent des résultats très différents. 36 % privilégient à parts égales la mise à jour des politiques et l’augmentation des budgets de conformité, tandis que 32 % renforcent la gestion des risques tiers. Leurs défis sont plus marqués : 46 % peinent avec la conformité fournisseur et 41 % évoquent la superposition des réglementations. Pourtant, cette approche axée sur la gouvernance leur permet d’obtenir le meilleur taux de réussite, avec 59 % de chiffrement de haut niveau.

Les grandes entreprises de plus de 20 000 employés font face à des difficultés de complexité malgré d’importantes ressources. Les nouveaux contrôles techniques dominent (38 %), suivis par l’augmentation des budgets (33 %) et la mise à jour des politiques (24 %). La conformité fournisseur reste problématique pour 38 %, tandis que la localisation des données réglementées et la gestion de l’évolution des réglementations préoccupent chacune 33 %. Malgré leurs moyens, seules 38 % atteignent un chiffrement de haut niveau — le taux le plus bas de tous les segments. Ce paradoxe confirme que la taille sans discipline de gouvernance génère plus de vulnérabilités qu’elle n’en réduit.

Le paradoxe du partenaire et l’impératif de la mesure

L’un des enseignements les plus surprenants de l’enquête concerne les consultants externes. Les organisations qui font appel à des partenaires n’obtiennent aucun avantage intrinsèque par rapport à celles qui poursuivent la certification en autonomie, à condition que toutes appliquent une discipline de mesure. Parmi les organisations dotées d’un système de suivi, les deux approches donnent des résultats similaires : environ 45-46 % atteignent un chiffrement de haut niveau, avec des taux faibles de chiffrement autour de 19-20 %. En revanche, celles qui ne mesurent pas et ne font pas appel à des partenaires affichent des résultats nettement inférieurs, 30 % présentant un faible taux de chiffrement.

Ce schéma montre que les programmes CMMC performants considèrent les partenaires comme des accélérateurs de la discipline interne, et non comme des substituts à la maturité de la gouvernance. Les données indiquent que l’expertise sans mesure n’apporte que peu d’amélioration, tandis que la mesure sans expertise externe reste bénéfique. Pour les sous-traitants de la défense envisageant de travailler avec des consultants, la leçon est claire : mettez en place un cadre de mesure, puis exploitez l’expertise externe pour accélérer les progrès dans ce cadre.

Construire les fondations de la gouvernance pour réussir la CMMC

Au vu des résultats de l’enquête, les sous-traitants de la défense doivent se concentrer sur cinq priorités interdépendantes pour combler les principales lacunes. En premier lieu, il est urgent de combler le déficit contractuel en matière de sécurité. Avec seulement 22 % intégrant des exigences de sécurité dans leurs contrats — soit 5 points de moins que la moyenne du secteur — il s’agit de la faiblesse la plus facile à corriger. Chaque relation fournisseur doit inclure des exigences explicites de protection des données, des clauses de transmission, des droits d’audit et des protocoles de notification de violation.

Deuxièmement, la mise en place de systèmes de mesure performants s’avère essentielle. L’amélioration de 6 points des résultats en sécurité pour les organisations qui mesurent impose de définir des indicateurs clés pour chaque famille de contrôles, d’automatiser la collecte des données lorsque c’est possible, d’organiser des revues régulières de la gouvernance et de suivre les tendances plutôt que de se limiter à des états ponctuels. Les organisations qui suivent déjà certains indicateurs doivent élargir leur couverture et formaliser les processus de revue.

Troisièmement, la gestion des risques fournisseurs doit aller au-delà des audits de base. Si 48 % réalisent des audits (au-dessus de la moyenne de 44 %), une gouvernance fournisseur efficace nécessite des évaluations de risque systématiques, le déploiement de plateformes technologiques, des capacités de surveillance continue et des cycles de réévaluation réguliers. Les 46 % d’organisations du mid-market qui rencontrent des difficultés de conformité fournisseur montrent que même les segments performants restent confrontés à ce défi.

Quatrièmement, il faut aligner la stratégie sur la taille et les capacités de l’organisation. Les schémas de réussite du mid-market — 59 % atteignant un chiffrement de haut niveau grâce à une gouvernance prioritaire — offrent un modèle reproductible. Il s’agit de trouver le juste équilibre entre investissement dans la gouvernance et contrôles techniques, de privilégier le développement des politiques et des processus en parallèle du déploiement technologique, et de résister à la tentation de résoudre les problèmes de gouvernance uniquement par la technologie.

Enfin, lors du recours à des partenaires externes, considérez-les comme des facilitateurs de la gouvernance, non comme des solutions clés en main. Exigez la mise en place de cadres de mesure, la transmission de savoir-faire lors de l’implémentation, conservez la maîtrise interne des processus de gouvernance et évaluez l’efficacité des partenaires à l’aune de l’amélioration des indicateurs, non du simple achèvement des tâches.

Perspectives pour les sous-traitants de la défense

Les enjeux dépassent le succès individuel de chaque sous-traitant et concernent toute la base industrielle de défense. Avec 62 % des organisations engagées dans la démarche CMMC dépourvues de contrôles de gouvernance adaptés, des vulnérabilités systémiques persistent dans l’ensemble de la supply chain. Les réglementations évolutives, qui totalisent 78 points comme défi, vont continuer à se renforcer à mesure que les menaces et les exigences s’intensifient. Les problèmes de conformité fournisseur, à 73 points, se répercutent sur tous les niveaux de la chaîne, générant des risques cumulés. Les organisations dotées d’une gouvernance mature bénéficient d’avantages compétitifs durables, tandis que celles qui échouent à la certification subissent une pression de consolidation du marché.

Des schémas de réussite existent, quelle que soit la taille ou le secteur. Les entreprises du mid-market qui atteignent 59 % de chiffrement de haut niveau grâce à une gouvernance prioritaire prouvent ce qu’il est possible d’obtenir avec les bons choix. Même les petites structures aux ressources limitées réussissent lorsqu’elles misent sur la discipline de mesure et la rigueur contractuelle plutôt que sur la seule technologie. Bon signe : les organisations CMMC dépassent déjà la moyenne sectorielle pour le suivi de l’efficacité (95 % contre 93 %), les audits fournisseurs (48 % contre 44 %) et les évaluations de risque (28 % contre 25 %). Ce qui manque, c’est la rigueur contractuelle et la gouvernance pour transformer ces actions en résultats de sécurité constants.

Conclusion : la gouvernance, socle de la réussite CMMC

Les données sont sans appel : la réussite CMMC 2.0 dépend avant tout de la maturité de la gouvernance, bien plus que de la sophistication technique ou des ressources. Près des deux tiers des sous-traitants de la défense n’appliquent pas les contrôles de gouvernance nécessaires, ce qui impose une transformation de fond plutôt qu’une simple amélioration incrémentale pour obtenir la certification.

Les organisations qui mesurent régulièrement, contractualisent les exigences et adaptent leurs approches à leur taille obtiennent de bien meilleurs résultats. L’écart de 6 points entre les taux faibles de chiffrement des organisations qui mesurent et celles qui ne mesurent pas représente des milliers de vulnérabilités potentielles dans toute la base industrielle de défense. Pour chaque organisation confrontée à un taux de 25 % de faible chiffrement, une autre, dotée d’une gouvernance adaptée, atteint 19 % — une différence significative à l’échelle de la supply chain.

Pour les sous-traitants de la défense, la gouvernance n’est pas une contrainte administrative : c’est le socle qui rend chaque investissement efficace. Les organisations qui posent ces fondations aujourd’hui se préparent non seulement à la certification, mais aussi à un avantage compétitif durable sur un marché de la défense de plus en plus axé sur la sécurité. Les schémas sont prouvés par l’analyse empirique de 104 organisations engagées dans la démarche CMMC. Les écarts sont clairement identifiés par rapport aux 461 répondants de l’enquête globale. Reste à savoir si votre organisation rejoindra les 38 % qui ont une gouvernance mature ou restera parmi les 62 % qui espèrent que la technologie seule suffira.

Avec le renforcement des exigences CMMC 2.0 Niveau 2 et la dépendance croissante des contrats de défense à la certification, la fenêtre pour bâtir de solides fondations de gouvernance se réduit. Les données montrent ce qui fonctionne, ce qui ne fonctionne pas, et pourquoi. La suite dépend de l’engagement de chaque organisation à transformer ces tendances en actions concrètes.

Cette analyse repose sur le Rapport annuel 2025 sur la sécurité et la conformité des données de Kiteworks. Elle s’appuie sur 104 organisations engagées dans la certification CMMC 2.0 Niveau 2, dans le cadre d’une enquête plus large menée en avril 2025 auprès de 461 organisations.

Foire aux questions

L’enquête Kiteworks 2025 menée auprès de 104 organisations visant la certification CMMC 2.0 Niveau 2 révèle que 62 % n’appliquent pas les contrôles de gouvernance nécessaires. Seuls 38 % ont mis en place des systèmes de contrôle et de suivi de la gouvernance, un taux légèrement inférieur à la moyenne de 40 % tous secteurs confondus. Ce déficit de gouvernance se traduit directement par de moins bons résultats en sécurité : les organisations sans discipline de mesure affichent 25 % de faibles taux de chiffrement, contre seulement 19 % pour celles qui suivent des indicateurs d’efficacité.

Les organisations de taille intermédiaire (5 000 à 9 999 employés) affichent le meilleur taux de réussite, avec 59 % atteignant un chiffrement de haut niveau (76-100 %). Elles devancent les petites structures de moins de 5 000 employés (52 %) et surpassent nettement les grandes entreprises de plus de 20 000 employés (38 %). L’approche fait la différence : les entreprises du mid-market privilégient la mise à jour des politiques et la gouvernance (36 %), alors que les grandes et petites structures misent avant tout sur les contrôles techniques.

Selon le système de pondération utilisé dans l’enquête, « suivre l’évolution des réglementations » arrive en tête avec 78 points, suivi de près par la « conformité et le risque fournisseur » à 73 points. Notons que 39 % des organisations CMMC placent la conformité fournisseur parmi leurs trois principaux défis, contre 32 % tous secteurs confondus, ce qui souligne la pression spécifique de la supply chain dans la défense. Les contraintes budgétaires sont quasi inexistantes (5 points), ce qui suggère que les ressources existent mais que les cadres de gouvernance font défaut.

Les données de l’enquête révèlent un constat surprenant : les organisations qui font appel à des consultants externes n’obtiennent aucun avantage intrinsèque par rapport à celles qui poursuivent la certification en autonomie, à condition que toutes appliquent une discipline de mesure. Parmi les organisations dotées d’un système de suivi, les deux approches donnent des taux de chiffrement de haut niveau similaires (45-46 %). Le facteur clé reste la discipline de mesure : les organisations qui ne mesurent pas et ne font pas appel à des partenaires affichent les pires résultats, avec 30 % de faibles taux de chiffrement.

La faiblesse de gouvernance la plus facile à corriger concerne les exigences contractuelles de sécurité, seules 22 % des organisations CMMC les intégrant dans leurs contrats fournisseurs, contre 27 % tous secteurs confondus. Cet écart de 5 points est particulièrement préoccupant compte tenu des exigences strictes de la CMMC. Si 48 % réalisent des audits réguliers de leurs fournisseurs (au-dessus de la moyenne de 44 %), sans cadre contractuel, les organisations ne peuvent garantir que les fournisseurs appliquent les contrôles requis ou gèrent correctement les informations sensibles de la défense.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks