Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Conformité CMMC > CMMC vs ITAR : Les sous-traitants de la défense doivent-ils se conformer à l’un, à l’autre ou aux deux ?
CMMC vs. ITAR : Les entrepreneurs de la défense doivent-ils se conformer à l'un ou à l'autre ?

CMMC vs ITAR : Les sous-traitants de la défense doivent-ils se conformer à l’un, à l’autre ou aux deux ?

par Bob Ertl updated mars 28, 2024 Conformité CMMC
temps de lecture: 11 minutes

Dans le secteur de la défense, la conformité aux réglementations est un élément clé de l’activité. Le Cybersecurity Maturity Model Certification (CMMC) 2.0 et la réglementation International Traffic in Arms Regulations (ITAR) constituent deux cadres réglementaires majeurs qui impactent l’industrie. Ces réglementations visent à protéger les informations sensibles et la sécurité nationale, mais elles restent complexes à appréhender pour les sous-traitants de la défense qui cherchent à déterminer quel cadre s’applique à leurs opérations. Cet article propose une vue d’ensemble du CMMC 2.0 et de l’ITAR, en comparant leurs principales différences et en donnant des conseils sur les obligations de conformité pour les sous-traitants de la défense.

Le processus de certification CMMC est exigeant, mais notre feuille de route pour la conformité CMMC 2.0 peut vous accompagner.

Table of Contents

CMMC 2.0 : Un standard unifié de cybersécurité pour l’industrie de la défense

Le Cybersecurity Maturity Model Certification, ou CMMC, est un standard unifié de cybersécurité développé par le Department of Defense (DoD) des États-Unis pour garantir la sécurité des informations sensibles au sein du Defense Industrial Base (DIB). La conformité CMMC est obligatoire pour tous les sous-traitants de la défense travaillant avec le DoD et manipulant des informations non classifiées mais contrôlées (CUI). Ces informations peuvent inclure des données techniques, des données de recherche et d’ingénierie, ou toute autre donnée sensible non classifiée liée aux opérations de défense.

Conformité CMMC 2.0 Feuille de route pour les sous-traitants du DoD

Lire l’article

En novembre 2021, le DoD a introduit le CMMC 2.0, une version actualisée du modèle initial, afin de simplifier le processus de certification et d’alléger la charge pour les petites entreprises. Le CMMC 2.0 repose sur trois niveaux, chacun comprenant un ensemble de procédures et de pratiques à respecter pour être conforme :

CMMC 2.0 Niveau 1 : Cybersécurité de base pour le FCI

Ce niveau porte sur l’hygiène de cybersécurité élémentaire, en s’appuyant sur les pratiques définies dans la National Institute of Standards and Technology (NIST) Special Publication 800-171, avec quelques exigences supplémentaires. Il s’agit du niveau minimal pour les sous-traitants de la défense qui manipulent des informations contractuelles fédérales (FCI).

CMMC 2.0 Niveau 2 : Protection avancée pour le CUI

Les sous-traitants de la défense qui manipulent du CUI doivent se conformer au Niveau 2, qui intègre des pratiques de sécurité supplémentaires au-delà de celles définies dans le NIST SP 800-171. Ce niveau vise à protéger les informations sensibles contre les cybermenaces avancées.

CMMC 2.0 Niveau 3 : Protection experte pour les programmes critiques

Ce niveau s’adresse aux programmes et technologies critiques nécessitant la protection la plus élevée en cybersécurité. Le niveau 3 impose des exigences de sécurité renforcées, incluant la surveillance continue et des capacités avancées de détection des menaces.

ITAR : Protéger les technologies de défense contre les menaces mondiales

L’International Traffic in Arms Regulations, ou ITAR, est un ensemble de règles qui régissent l’exportation, l’importation et l’intermédiation des articles de défense, des services de défense et des données techniques associées. L’ITAR est appliquée par le Directorate of Defense Trade Controls (DDTC) du Département d’État américain et vise à empêcher le transfert non autorisé de technologies de défense sensibles à des entités étrangères.

Les sous-traitants de la défense qui fabriquent, exportent ou fournissent des services liés à des articles figurant sur la United States Munitions List (USML) doivent s’enregistrer auprès du DDTC et respecter l’ITAR. L’USML couvre divers articles liés à la défense, notamment les systèmes d’armes, l’électronique militaire et les équipements de protection.

CMMC 2.0 vs ITAR : Comprendre les différences essentielles

Bien que le CMMC 2.0 et l’ITAR soient essentiels pour les sous-traitants de la défense, ils poursuivent des objectifs et imposent des exigences différents. La section suivante compare ces deux cadres réglementaires.

Périmètre du CMMC vs ITAR : cybersécurité vs contrôle des exportations

Le CMMC 2.0 se concentre sur la cybersécurité et vise spécifiquement les sous-traitants de la défense travaillant avec le DoD et manipulant du FCI ou du CUI. L’ITAR, quant à elle, a un périmètre plus large, couvrant l’exportation, l’importation et l’intermédiation d’articles de défense, de services de défense et de données techniques associées.

Applicabilité : rôles et activités déclenchant la conformité à chaque réglementation

Le CMMC 2.0 s’applique à tous les sous-traitants de la défense travaillant avec le DoD, quelle que soit la taille ou la nature de leurs opérations. L’ITAR concerne les sous-traitants qui fabriquent, exportent ou fournissent des services liés à des articles figurant sur l’USML.

Application et sanctions : ce qui est en jeu

Le CMMC 2.0 est appliqué par le DoD et impose aux sous-traitants de la défense de passer une évaluation tierce pour vérifier leur conformité. La certification doit être maintenue pendant toute la durée du contrat. Le DDTC du Département d’État applique l’ITAR, et toute violation peut entraîner de lourdes sanctions civiles et pénales, dont des amendes, des peines de prison et l’exclusion des futurs contrats.

Exigences de conformité : contrôles vs enregistrements et licences

Le CMMC 2.0 définit un ensemble de pratiques et de processus de cybersécurité répartis sur trois niveaux, avec des exigences spécifiques selon le degré d’implication du sous-traitant avec le FCI ou CUI. La conformité ITAR implique de s’enregistrer auprès du DDTC, de mettre en place un programme de conformité au contrôle des exportations et d’obtenir les licences nécessaires pour exporter, importer ou intermédiariser des articles de défense, des services de défense et des données techniques associées.

POINTS CLÉS À RETENIR

  1. La conformité est essentielle pour les sous-traitants de la défense

    La conformité au CMMC 2.0 et à l’ITAR conditionne l’éligibilité aux contrats gouvernementaux, il est donc crucial de bien comprendre leurs exigences.

  2. Présentation du CMMC 2.0

    Le CMMC 2.0 est un standard de cybersécurité à trois niveaux, développé par le DoD, visant à renforcer les pratiques de cybersécurité des sous-traitants de la défense manipulant du CUI.

  3. Présentation de l’ITAR

    L’ITAR, appliquée par le Département d’État, régule l’exportation, l’importation et l’intermédiation d’articles de défense et de données techniques afin d’empêcher les transferts non autorisés.

  4. Différences entre le CMMC 2.0 et l’ITAR

    Le CMMC et l’ITAR diffèrent par leur périmètre, leur applicabilité et leurs exigences. Le CMMC cible la cybersécurité, tandis que l’ITAR concerne le contrôle des exportations.

  5. Gérer la double conformité

    Selon leurs activités, les sous-traitants de la défense peuvent devoir se conformer à la fois au CMMC 2.0 et à l’ITAR. La double conformité nécessite une stratégie intégrée.

CMMC ou ITAR : comment déterminer la réglementation applicable selon vos activités

L’obligation de conformité au CMMC 2.0 et à l’ITAR dépend des opérations et services spécifiques proposés par un sous-traitant de la défense. Certains devront se conformer à l’une ou l’autre, voire aux deux réglementations, selon la nature de leur activité.

Conformité CMMC 2.0 pour les sous-traitants du DoD

Tous les sous-traitants de la défense travaillant avec le DoD et manipulant du FCI ou du CUI doivent respecter le CMMC 2.0. Le niveau de conformité requis dépend du type d’informations traitées :

CMMC 2.0 Niveau 1 : pour les sous-traitants manipulant du FCI

La cybersécurité de base, premier niveau du CMMC 2.0, vise à instaurer une hygiène minimale pour protéger les sous-traitants manipulant du FCI. Le FCI désigne les informations fournies ou générées pour le gouvernement dans le cadre d’un contrat, non destinées à être rendues publiques.

En respectant le Niveau 1, les sous-traitants de la défense prouvent qu’ils ont mis en place une base solide pour gérer les risques de cybersécurité et protéger le FCI contre tout accès ou divulgation non autorisés. À ce niveau, ils doivent appliquer les pratiques de cybersécurité du NIST SP 800-171 ainsi que quelques exigences supplémentaires, telles que la sécurisation des accès aux systèmes d’information, la mise en place de politiques de mots de passe robustes et la maintenance d’antivirus à jour.

CMMC 2.0 Niveau 2 : pour les sous-traitants manipulant du CUI

La cybersécurité avancée, deuxième niveau du CMMC 2.0, s’adresse aux sous-traitants qui traitent du CUI. Le CUI regroupe des informations sensibles nécessitant des mesures de protection ou de contrôle de diffusion, car leur accès par des personnes non autorisées pourrait nuire à la sécurité nationale.

En plus des exigences du niveau 1, les sous-traitants concernés doivent mettre en œuvre des pratiques de cybersécurité avancées pour protéger le CUI contre des cybermenaces sophistiquées. Ces pratiques vont au-delà du NIST SP 800-171 et peuvent inclure l’authentification multifactorielle, des techniques de double chiffrement et des systèmes de détection d’intrusion. En respectant le niveau 2, les sous-traitants démontrent leur engagement à protéger le CUI et à réduire le risque d’incidents susceptibles d’avoir des conséquences majeures pour la sécurité nationale.

CMMC 2.0 Niveau 3 : pour les sous-traitants impliqués dans des programmes à fort impact

La cybersécurité experte, troisième et plus haut niveau du CMMC 2.0, concerne les sous-traitants travaillant sur des programmes et technologies critiques exigeant une protection maximale. Ces programmes et technologies impliquent des informations ou des capacités sensibles qui, si elles étaient compromises, pourraient gravement nuire à la sécurité nationale.

À ce niveau, les sous-traitants doivent mettre en place un programme de cybersécurité robuste intégrant des exigences strictes et des fonctions avancées. Cela peut inclure la surveillance continue, la détection et la réponse avancées aux menaces, ainsi que des mesures proactives pour anticiper et atténuer les cybermenaces émergentes. En respectant le niveau 3, ils prouvent leur capacité à protéger les actifs les plus sensibles et critiques du Defense Industrial Base, garantissant la sécurité et l’intégrité des technologies et capacités les plus avancées du pays.

Conformité ITAR pour les exportateurs et prestataires de services de défense

Les sous-traitants de la défense qui fabriquent, exportent ou fournissent des services liés à des articles figurant sur l’USML doivent se conformer à l’ITAR. Cela inclut les entreprises impliquées dans le développement, la production ou la maintenance d’articles de défense, ainsi que celles qui fournissent des formations, de l’assistance technique ou du conseil sur ces articles.

CMMC 2.0 et ITAR : gérer la double conformité

Comprendre et gérer la double conformité est essentiel pour conserver l’éligibilité aux contrats du DoD et éviter les sanctions liées à la non-conformité. Dans certains cas, les sous-traitants de la défense doivent composer avec les exigences du CMMC 2.0 et de l’ITAR. Ces situations se présentent généralement lorsque les activités relèvent des deux réglementations. Voici les cas typiques nécessitant une double conformité CMMC 2.0 et ITAR :

FCI ou CUI dans les contrats DoD : quand le CMMC s’applique

Les sous-traitants travaillant avec le DoD et gérant du FCI ou du CUI doivent respecter le niveau CMMC 2.0 adapté à leurs besoins en matière de gestion de l’information, qu’il s’agisse de cybersécurité de base, avancée ou experte.

Articles USML et ITAR : ce qui déclenche la conformité

Les sous-traitants qui fabriquent, exportent ou fournissent des services liés à des articles figurant sur l’USML doivent se conformer à l’ITAR. Cela implique d’obtenir les licences nécessaires et de mettre en place un programme efficace de conformité au contrôle des exportations.

Par exemple, un sous-traitant qui développe et fabrique un système radar avancé figurant sur l’USML, et qui exporte ce système à des alliés étrangers, doit se conformer au CMMC 2.0 et à l’ITAR s’il manipule également du CUI dans le cadre d’un contrat DoD.

Stratégie intégrée de conformité pour les sous-traitants

Pour gérer efficacement la double conformité, les sous-traitants de la défense doivent mettre en œuvre une stratégie intégrée répondant aux exigences spécifiques du CMMC 2.0 et de l’ITAR. Cette stratégie peut inclure :

  • Un programme de cybersécurité aligné sur le cadre CMMC 2.0 tout en intégrant les exigences du contrôle des exportations
  • Le développement et la maintenance d’un programme de conformité au contrôle des exportations intégré à l’infrastructure de cybersécurité existante
  • Des évaluations, audits et formations réguliers pour garantir la conformité au CMMC 2.0 et à l’ITAR

En adoptant une approche cohérente de la conformité, les sous-traitants de la défense peuvent naviguer efficacement dans la complexité du CMMC 2.0 et de l’ITAR, protéger les informations sensibles et maintenir leur capacité à travailler avec le DoD et d’autres entités gouvernementales.

CMMC 2.0 vs ITAR : cas d’usage concrets

Les cas d’usage suivants illustrent la nécessité de se conformer au CMMC 2.0 ou à l’ITAR.

Cas d’usage 1 : services de cybersécurité pour le DoD

Un sous-traitant de la défense fournit des services de cybersécurité au DoD, incluant la gestion de CUI. Dans ce cas, il doit respecter le CMMC 2.0 Niveau 2 : cybersécurité avancée. N’étant pas impliqué dans la fabrication, l’exportation ou la fourniture de services liés à des articles USML, la conformité ITAR n’est pas requise.

Cas d’usage 2 : fabrication et exportation d’électronique de défense

Un sous-traitant fabrique des équipements électroniques de défense figurant sur l’USML et les exporte à des alliés étrangers. Il doit se conformer à l’ITAR en raison de l’exportation d’articles USML. S’il manipule également du CUI dans le cadre d’un contrat DoD, il doit aussi respecter le CMMC 2.0 Niveau 2 : cybersécurité avancée.

Cas d’usage 3 : R&D sur des technologies de défense sensibles

Un sous-traitant effectue des prestations de recherche et développement pour le DoD sur des matériaux avancés à usage militaire. Il traite à la fois du FCI et du CUI. Dans ce cas, il doit respecter le CMMC 2.0 Niveau 2 : cybersécurité avancée. Si la recherche porte sur des articles USML et qu’il exporte, importe ou fournit des services liés à ces articles, la conformité ITAR s’impose également.

Cas d’usage 4 : formation et support militaire

Un sous-traitant fournit des services de formation et de support militaire, incluant la gestion d’articles de défense figurant sur l’USML. Il doit manipuler du FCI ou du CUI dans le cadre de son activité. Dans ce cas, la conformité ITAR est requise en raison de l’implication avec des articles USML. Le CMMC 2.0 n’est pas obligatoire s’il ne manipule pas de FCI ou de CUI.

Simplifiez votre parcours de conformité CMMC 2.0 Niveau 2 avec Kiteworks

La navigation dans le cadre CMMC 2.0 peut s’avérer complexe, en particulier pour les sous-traitants et sous-traitants du DoD devant atteindre la conformité au niveau 2. S’associer à des experts du CMMC est une décision judicieuse pour garantir une démarche de conformité fluide.

Des cabinets de conseil spécialisés, tels qu’Optiv, peuvent vous aider à aligner vos contrôles et technologies existants sur les exigences du niveau 2. Ces experts vous accompagnent dans la remédiation des Plans d’Action & Jalons (POA&Ms) et collaborent avec des CMMC Third Party Assessor Organizations (C3PAOs) certifiés pour l’évaluation et l’accréditation.

Au-delà de l’accompagnement d’experts, le choix d’une plateforme de communication de contenu sensible adaptée peut accélérer considérablement votre processus de conformité CMMC 2.0 Niveau 2. Plutôt que d’utiliser plusieurs outils pour envoyer, partager, recevoir et stocker des informations sensibles telles que le CUI et le FCI, une solution unifiée réduit la complexité, les inefficacités et les risques.

Plus de 3 800 organisations ont choisi la plateforme Kiteworks, une solution FedRAMP autorisée pour un niveau d’impact modéré (depuis six années consécutives). Entre autres facteurs, la conformité FedRAMP de Kiteworks la distingue des autres solutions utilisées par les fournisseurs du DoD pour la communication de fichiers et d’e-mails. Grâce à sa conformité FedRAMP et à son appliance virtuelle durcie, Kiteworks prend en charge près de 90 % des 110 contrôles de pratique du CMMC 2.0 Niveau 2—plus que toute autre solution comparable sur le marché.

Découvrez comment garder une longueur d’avance sur la concurrence et accélérer votre parcours vers la conformité CMMC 2.0 Niveau 2 en réservant une démonstration personnalisée de Kiteworks dès aujourd’hui.

FAQ CMMC vs ITAR

Non, les sous-traitants du DoD n’ont pas nécessairement à se conformer à la fois au CMMC et à l’ITAR. L’obligation de conformité dépend des opérations et services spécifiques proposés par le sous-traitant dans le Defense Industrial Base (DIB). Certains sous-traitants devront donc se conformer à l’une ou l’autre, voire aux deux réglementations, selon la nature de leur activité.

Tous les sous-traitants de la défense travaillant avec le DoD et manipulant du FCI ou du CUI doivent respecter le CMMC 2.0. Le niveau de conformité requis dépend du type d’informations traitées. Les sous-traitants qui fabriquent, exportent ou fournissent des services liés à des articles figurant sur l’USML doivent respecter l’ITAR. Dans certains cas, les sous-traitants doivent gérer la complexité de la double conformité au CMMC 2.0 et à l’ITAR lorsqu’ils exercent des activités relevant des deux réglementations.

Le CMMC 2.0 se concentre sur la cybersécurité et cible spécifiquement les sous-traitants de la défense travaillant avec le DoD et manipulant du FCI ou du CUI. L’ITAR a un périmètre plus large, couvrant l’exportation, l’importation et l’intermédiation d’articles de défense, de services de défense et de données techniques associées. Le CMMC 2.0 s’applique à tous les sous-traitants travaillant avec le DoD, tandis que l’ITAR concerne spécifiquement ceux qui fabriquent, exportent ou fournissent des services liés à des articles figurant sur l’USML.

Non. Le CMMC 2.0 et l’ITAR ont des objectifs et des exigences différents. Le CMMC 2.0 cible la cybersécurité pour les sous-traitants de la défense travaillant avec le DoD et manipulant du FCI ou du CUI, avec des pratiques de cybersécurité spécifiques sur trois niveaux. La conformité ITAR implique de s’enregistrer auprès du DDTC, de mettre en place un programme de conformité au contrôle des exportations et d’obtenir les licences nécessaires pour exporter, importer ou intermédiariser des articles de défense. Se conformer à l’ITAR ne suffit donc pas pour répondre aux exigences du CMMC.

Non. Pour les sous-traitants devant gérer la double conformité, une stratégie intégrée est nécessaire afin de répondre aux exigences spécifiques des deux cadres. Cela inclut le développement d’un programme de cybersécurité aligné sur le CMMC tout en intégrant les exigences du contrôle des exportations, la maintenance d’un programme de conformité au contrôle des exportations intégré à l’infrastructure de cybersécurité, et la réalisation d’évaluations régulières pour les deux cadres. La conformité CMMC seule ne couvre pas les exigences de contrôle des exportations de l’ITAR.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks