Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Votre DSPM vous a indiqué où se trouvent vos CUI. Alors pourquoi échouez-vous encore la certification CMMC ?

Votre DSPM vous a indiqué où se trouvent vos CUI. Alors pourquoi échouez-vous encore la certification CMMC ?

par Danielle Barbour updated février 25, 2026 Conformité CMMC
temps de lecture: 11 minutes

Les organisations du secteur de la défense dépensent des centaines de milliers, voire des millions, dans des outils de Data Security Posture Management (DSPM). Et ces outils tiennent leurs promesses : ils scannent les partages de fichiers, les stockages cloud, les bases de données et les applications SaaS pour localiser les Controlled Unclassified Information (CUI) disséminées dans l’entreprise.

Les tableaux de bord sont parfaits pour les réunions du conseil. Les rapports d’écart sont détaillés. Les scores de risque sont codés par couleur et suffisamment alarmants.

Mais il y a un problème. Découvrir ne protège rien.

5 points clés à retenir

  1. Le DSPM résout le problème de la découverte, pas celui de la protection. Les plateformes DSPM excellent dans le scan des partages de fichiers, du stockage cloud, des bases de données et des applications SaaS pour localiser les CUI. Elles cartographient l’emplacement des CUI, qui y accède et si les contrôles existants sont adaptés. Mais la découverte n’est que la première moitié de la conformité CMMC 2.0. Les outils DSPM ne fournissent ni enclave sécurisée, ni chiffrement validé FIPS 140-3, ni canaux de communication gouvernés exigés par les auditeurs. Trouver et protéger les CUI sont deux disciplines fondamentalement différentes.
  2. La collaboration externe est l’angle mort du DSPM. Les organisations du secteur de la défense partagent des CUI quotidiennement avec des contractants principaux, des sous-traitants et des agences gouvernementales. Les outils DSPM se concentrent sur les référentiels internes. Ils n’offrent aucun mécanisme pour encadrer le transfert de CUI entre organisations — qui la reçoit, par quel canal, sous quel chiffrement, ou avec quelle traçabilité. Pour les entreprises dont l’activité repose sur l’échange contrôlé d’informations à travers la supply chain, c’est le point de non-conformité le plus critique.
  3. Détecter après coup n’est pas prévenir. Le DSPM vous alerte lorsqu’une CUI est mal gérée — une fois la violation déjà commise. Les auditeurs CMMC veulent voir des contrôles qui empêchent l’accès non autorisé et la transmission au moment de l’échange de données. Un système de notification qui signale les violations n’est pas équivalent à une plateforme d’application qui les bloque.
  4. Le modèle « Mieux ensemble » gagne du terrain. Les principaux fournisseurs DSPM et plateformes d’application des politiques forment des partenariats stratégiques qui relient la découverte des données à l’application automatisée des règles. Ces intégrations utilisent des étiquettes de classification pour déclencher des contrôles en temps réel — chiffrement, restrictions d’accès, partage temporaire — dès que des données sensibles sortent de l’organisation. Les entreprises qui progressent le plus rapidement vers la certification CMMC déploient ces deux fonctions en parallèle.
  5. Le DSPM est la couche d’évaluation ; il vous faut aussi une couche de protection. L’architecture technologique CMMC complète inclut l’évaluation (DSPM), la protection (enclave sécurisée CUI et communications gouvernées), l’infrastructure (EDR, firewalls, SIEM), l’identité (authentification multifactorielle, gestion des accès à privilèges) et la gouvernance (plateformes GRC). Le DSPM n’est qu’une couche. Obtenir la certification exige l’ensemble.

La vérité qui dérange sur le DSPM et le CMMC 2.0

Les plateformes DSPM sont efficaces dans leur domaine. Elles trouvent des CUI dont vous ignoriez l’existence. Elles signalent les comptes dormants ayant accès à des données sensibles. Elles identifient l’accumulation de privilèges au fil des années. Elles cartographient les flux de données et mettent en lumière les écarts de conformité par rapport aux pratiques du CMMC Niveau 2.

C’est important. Impossible de protéger des données qu’on n’a pas trouvées. Mais c’est là que la logique s’arrête : trouver et sécuriser les données sont deux disciplines totalement différentes.

Un scan DSPM peut révéler une CUI dans un dossier SharePoint non approuvé, partagé avec le groupe « Tout le monde », sans aucun chiffrement. Information utile. Mais l’outil DSPM ne peut pas déplacer cette donnée dans un environnement sécurisé, la chiffrer avec une cryptographie validée FIPS 140-3, appliquer le principe du moindre privilège ou générer la traçabilité immuable exigée par un auditeur CMMC.

Le DSPM pose le diagnostic. Il ne traite pas.

Cette distinction est plus importante que ce que la plupart des organisations du secteur de la défense imaginent. Le CMMC 2.0 Niveau 2 exige une protection démontrable des CUI sur 110 pratiques de sécurité issues du NIST SP 800-171. La découverte et la classification couvrent seulement quelques-unes de ces pratiques. La majorité — notamment celles relevant du Contrôle d’accès, de l’Audit et de la responsabilité, et de la Protection des systèmes et communications — requièrent une application active : chiffrement au repos et en transit, flux de données contrôlés, journalisation immuable et contrôles d’accès au moindre privilège au moment de l’échange de données.

Aucun outil DSPM du marché n’offre cette couche d’application. Et aucune sophistication dans la découverte ne compense cette limite fondamentale.

Feuille de route de la conformité CMMC 2.0 pour les sous-traitants DoD

LIRE L’ARTICLE/LE COMMUNIQUÉ

Ce que le DSPM fait vraiment bien

Avant d’aborder les limites, précisons ce que le DSPM apporte réellement. Ces fonctions sont concrètes et utiles pour la préparation au CMMC.

Découverte et classification des CUI. Les plateformes DSPM scannent les partages de fichiers sur site, le stockage cloud, les bases de données et les applications SaaS pour localiser les CUI. Elles cartographient leur emplacement, qui y a accès et si les protections existantes répondent aux exigences minimales. Pour les organisations n’ayant jamais inventorié leurs CUI — la majorité — c’est une étape fondamentale.

Évaluation des risques d’accès. Ces outils identifient les CUI surexposées : fichiers partagés avec des groupes larges, comptes dormants conservant l’accès, autorisations accumulées au fil des années sans révision. Le résultat est une vision priorisée des risques d’accès aux données sensibles et de leur légitimité.

Analyse des écarts de conformité. Les plateformes DSPM cartographient les données découvertes par rapport aux pratiques du CMMC 2.0. Elles génèrent des rapports d’écarts, priorisent les corrections selon le risque et l’impact sur la conformité, et suivent la progression vers la préparation. Ces rapports sont réellement utiles lors des premières étapes de la préparation au CMMC.

Surveillance continue. Une fois déployés, les outils DSPM alertent sur la création de nouveaux référentiels CUI hors des systèmes approuvés, détectent les violations de politiques comme le stockage de CUI dans des services cloud non approuvés, et surveillent les dérives de configuration pouvant générer des écarts de conformité.

Tout cela est utile. Mais ce n’est pas suffisant.

Trois points de douleur qui alimentent le débat DSPM + Protection

Les organisations visant la certification CMMC 2.0 se heurtent toutes aux mêmes obstacles, et le schéma se répète.

Les CUI sont partout, et personne ne gère le nettoyage. Les scans DSPM révèlent des CUI dans des dizaines — parfois des centaines — de référentiels : e-mails, partages de fichiers, stockage cloud, plateformes collaboratives. Les équipes de sécurité disposent désormais d’un inventaire des problèmes. Mais il leur manque une destination gouvernée : une enclave sécurisée dédiée au stockage et à la transmission des CUI. Sans cela, les rapports d’écarts s’allongent. Chaque scan trimestriel révèle plus de CUI dans plus d’emplacements non approuvés, et le retard de correction s’accumule faute d’un emplacement « correct » où les déplacer.

La collaboration externe est l’angle mort. Les organisations du secteur de la défense partagent des CUI quotidiennement avec des contractants principaux, des sous-traitants et des agences gouvernementales. Les outils DSPM se concentrent sur les référentiels internes. Ils n’offrent aucun mécanisme pour encadrer le transfert de CUI entre organisations — qui la reçoit, par quel canal, sous quel chiffrement, avec quelle traçabilité. Pour les entreprises dont l’activité repose sur l’échange contrôlé d’informations à travers la supply chain, ce n’est pas un simple écart. C’est l’écart. Et c’est celui qui attire le plus l’attention lors d’un audit CMMC, car les auditeurs évaluent précisément la protection des CUI lors des transmissions externes.

Détecter après coup n’est pas prévenir. Le DSPM vous alerte lorsqu’une personne stocke une CUI dans un emplacement non approuvé — une fois la violation commise. Les auditeurs veulent voir des contrôles qui empêchent l’accès non autorisé et la transmission au moment de l’échange, pas un système de notification qui signale l’incident après coup. Exemple : un ingénieur envoie un plan technique contenant une CUI à un sous-traitant via un compte Gmail personnel. L’outil DSPM peut le signaler après coup. Mais la donnée a déjà quitté l’organisation via un canal non chiffré, non gouverné, sans traçabilité. La violation de conformité est consommée. Le dommage est fait. Ce que le CMMC exige, c’est la prévention au moment de l’échange, une fonction que le DSPM ne fournit pas.

Là où s’arrête le DSPM et où commence la protection : vue des exigences

Pour bien comprendre la répartition des responsabilités, il suffit de cartographier les exigences CMMC aux outils conçus pour y répondre.

Pour la pratique Contrôle d’accès AC.L2-3.1.1 — limiter l’accès système aux utilisateurs autorisés — le DSPM découvre qui a accès aux référentiels CUI. Une plateforme de protection applique le moindre privilège dans une enclave sécurisée.

Pour AC.L2-3.1.20 — contrôler les flux de CUI — le DSPM cartographie les flux actuels. Une plateforme de protection fait transiter les CUI par des canaux gouvernés et chiffrés.

Pour la pratique Audit et responsabilité AU.L2-3.3.1 — créer et conserver les journaux d’audit — le DSPM identifie les systèmes sans journalisation. Une plateforme de protection génère des traces d’audit immuables pour chaque accès, modification et transmission de CUI.

Pour la pratique Protection des systèmes et communications SC.L2-3.13.11 — utiliser une cryptographie validée FIPS — le DSPM identifie les CUI stockées sans chiffrement. Une plateforme de protection fournit le chiffrement FIPS 140-3 pour les CUI au repos et en transit.

Pour SC.L2-3.13.16 — protéger la confidentialité des CUI — le DSPM évalue la posture de protection actuelle. Une plateforme de protection met en place une enclave sécurisée pour les communications CUI.

Ce schéma se retrouve dans toutes les familles de contrôles CMMC. Le DSPM indique où la conformité fait défaut. La couche de protection la rétablit.

Le modèle de partenariat DSPM : découverte et application des politiques

L’approche la plus efficace pour la conformité CMMC considère le DSPM et la protection comme des couches complémentaires d’une même pile, et non comme des solutions concurrentes. Ce n’est pas théorique. Le marché évolue dans cette direction via des partenariats stratégiques entre fournisseurs DSPM et plateformes d’application des politiques.

Ces intégrations reposent généralement sur des étiquettes de classification. Lorsqu’une plateforme DSPM classe un document comme « Confidentiel » ou lui attribue des labels de conformité comme « CMMC » ou « ITAR », la plateforme d’application applique automatiquement les contrôles associés — chiffrement, restrictions d’accès, partage temporaire, édition sans possession — dès que la donnée sort de l’organisation. La classification déclenche la politique. La politique déclenche l’application. Et l’application génère la traçabilité.

Ce modèle supprime le transfert manuel qui a longtemps freiné les programmes de conformité. Au lieu qu’un analyste sécurité examine un rapport DSPM, identifie un écart, crée un ticket et attende la correction, tout le cycle se boucle automatiquement : classification, application, journalisation. Cette rapidité et cette cohérence sont essentielles lors des audits CMMC, où les auditeurs évaluent non seulement l’existence des contrôles, mais aussi leur fonctionnement continu et fiable.

Le Réseau de données privé Kiteworks repose sur ce modèle d’intégration. Il exploite les labels Microsoft Information Protection appliqués par les plateformes DSPM pour créer et appliquer automatiquement des politiques lors du partage externe de données. Cela inclut la possibilité de copier ou télécharger les fichiers, la durée d’accès des destinataires, et le niveau de chiffrement appliqué en transit et au repos. Chaque action génère un enregistrement d’audit immuable.

Kiteworks bénéficie de l’autorisation FedRAMP Moderate depuis 2017 et a obtenu la désignation FedRAMP High Ready en 2025. Cet historique d’autorisation compte lors des audits CMMC, car il démontre des contrôles de sécurité prévalidés alignés sur les exigences du Niveau 2. Associé à une cryptographie validée FIPS 140-3 et à une architecture d’appliance virtuelle durcie, il fournit l’infrastructure de protection des CUI identifiée comme nécessaire par les outils DSPM, mais qu’ils ne peuvent pas offrir eux-mêmes.

La pile technologique CMMC complète

Les plateformes DSPM et de protection ne fonctionnent pas isolément. L’architecture de conformité CMMC complète comprend cinq couches, chacune ayant un rôle spécifique :

  • Évaluation : Découvrir les CUI, identifier les écarts, prioriser les corrections. C’est la couche DSPM.
  • Protection : Sécuriser le stockage et la transmission des CUI via une enclave gouvernée et des canaux chiffrés.
  • Infrastructure : Endpoints durcis, segmentation réseau, détection et réponse sur les endpoints, firewalls et SIEM.
  • Identité : Authentification multifactorielle, gestion des accès à privilèges et gouvernance des identités.
  • Gouvernance : Gestion des politiques, suivi de la conformité et plateformes GRC qui relient les autres couches.

Les organisations qui investissent massivement dans une couche en négligeant les autres se retrouvent avec des fonctions impressionnantes dans un domaine et des lacunes flagrantes dans un autre. Les auditeurs évaluent l’ensemble de la pile, pas les composants isolés.

Ce que cela signifie pour les organisations du secteur de la défense à différents stades

Si votre organisation a déjà déployé un DSPM, vous avez répondu à la première question : où sont nos CUI et qui peut y accéder ? La seconde question est plus difficile : qu’en faisons-nous ? Un déploiement DSPM sans plateforme d’application n’est qu’un moyen coûteux de documenter sa propre non-conformité. Les rapports d’écarts seront détaillés. L’auditeur vous recalera quand même. L’étape suivante consiste à mettre en place la couche de protection — une enclave sécurisée avec des canaux gouvernés capables de recevoir, stocker et transmettre les CUI selon les exigences du CMMC.

Si votre organisation évalue le DSPM, prévoyez dès le départ la découverte et la protection. Beaucoup d’organisations du secteur de la défense font l’erreur de considérer le DSPM comme une solution CMMC autonome, pour découvrir quelques mois plus tard que la découverte sans application ne suffit pas à la certification. Prévoyez le budget pour les deux. Déployez-les en parallèle ou en séquence, mais sachez dès le début que les deux couches sont nécessaires.

Si votre organisation n’a ni l’un ni l’autre, vous avez deux besoins parallèles : comprendre où se trouvent vos CUI aujourd’hui et construire l’environnement sécurisé où elles doivent être. Certaines organisations commencent par le DSPM pour cerner le problème, puis déploient une plateforme de protection pour le résoudre. D’autres mettent d’abord en place la couche de protection, puis utilisent le DSPM pour trouver et migrer les CUI. L’ordre importe moins que la prise de conscience que les deux couches sont incontournables.

Quand les fournisseurs DSPM vont trop loin : comment évaluer leurs promesses

Certains fournisseurs DSPM présentent leurs outils comme des solutions CMMC globales. Leur argument ressemble souvent à ceci : « Notre plateforme découvre, classe et surveille les CUI, vous assurant une conformité CMMC continue. » Voici comment évaluer cette affirmation au regard des exigences réelles du CMMC.

Propose-t-elle une enclave sécurisée pour les CUI ? Le CMMC exige que les CUI soient stockées et transmises dans des environnements protégés. Le DSPM scanne les systèmes existants. Il ne crée pas l’infrastructure durcie exigée par le CMMC. Si l’outil ne fournit pas une infrastructure autorisée FedRAMP et validée FIPS 140-3 pour les workflows CUI, ce n’est pas une solution de protection.

Gère-t-elle le partage externe des CUI ? Les organisations du secteur de la défense doivent partager des CUI avec des partenaires externes dans des conditions contrôlées. Si l’outil surveille les référentiels internes mais ne peut pas appliquer le chiffrement, les contrôles d’accès et la traçabilité lors de la transmission à un contractant principal ou à une agence gouvernementale, il laisse sans réponse la partie la plus scrutée de l’audit CMMC.

Applique-t-elle les contrôles en temps réel ? La détection et l’alerte sont utiles. Mais le CMMC exige la prévention — des contrôles qui s’appliquent au moment de l’échange de données, pas après une violation. Si le principal mécanisme de l’outil est l’alerte post-incident, il s’agit d’un outil de surveillance, pas d’une solution d’application.

Fournit-elle des traces d’audit prêtes pour le CMMC ? Le DSPM peut journaliser les scans et les alertes. Les auditeurs CMMC exigent des traces d’audit immuables de chaque accès, modification et transmission de CUI. Si l’outil ne peut pas produire ces enregistrements pour les échanges externes, il ne répond pas aux exigences d’audit et de responsabilité.

Aucune de ces limites ne remet en cause la valeur du DSPM pour son usage initial. Mais elles doivent guider l’évaluation des promesses des fournisseurs sur la préparation au CMMC.

En résumé

Le DSPM identifie le problème. Il vous faut encore une solution pour le résoudre.

Les organisations qui décrocheront le plus rapidement la certification CMMC 2.0 sont celles qui comprennent cette distinction dès le départ. Elles déploient le DSPM pour découvrir et classifier leurs CUI. Elles mettent en place une plateforme de protection pour bâtir l’enclave sécurisée et encadrer les communications externes. Elles intègrent les deux afin que les labels de classification déclenchent automatiquement l’application des politiques. Et elles génèrent les traces d’audit immuables qui prouvent la conformité continue aux auditeurs.

Découverte et protection. Évaluation et application. Diagnostic et traitement. Le CMMC exige les deux volets. La question n’est pas d’investir ou non dans le DSPM — mais de savoir si vous avez prévu ce qui vient après que le DSPM vous a dit où sont vos CUI et à quel point elles sont exposées.

Car c’est la question que posera l’auditeur. Et « nous avons un super tableau de bord » n’est pas une réponse recevable.

Pour découvrir comment Kiteworks peut vous accompagner, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Le Data Security Posture Management (DSPM) désigne une catégorie d’outils de sécurité qui découvrent, classifient et surveillent les données sensibles dans l’environnement IT d’une organisation. Pour le CMMC 2.0, les plateformes DSPM scannent les partages de fichiers sur site, le stockage cloud, les bases de données et les applications SaaS pour localiser les Controlled Unclassified Information. Elles identifient qui y a accès, signalent les données surexposées, cartographient les flux de données et génèrent des rapports d’écarts de conformité par rapport aux pratiques du CMMC Niveau 2. Le DSPM est particulièrement utile lors de la phase d’évaluation et de préparation au CMMC, car il offre un inventaire complet des CUI et une vision claire des faiblesses des contrôles existants. Cependant, le DSPM se limite à la découverte et à la surveillance — il ne fournit pas le chiffrement, l’application des accès, les enclaves sécurisées ou la traçabilité exigés par le CMMC pour la protection et la transmission des CUI.

Non. Le CMMC 2.0 Niveau 2 exige la mise en œuvre de 110 pratiques de sécurité issues du NIST SP 800-171. Les outils DSPM couvrent un sous-ensemble de ces pratiques, principalement la découverte, la classification et la surveillance. La majorité des exigences CMMC — notamment celles du Contrôle d’accès, de l’Audit et de la responsabilité, et de la Protection des systèmes et communications — imposent des fonctions d’application active : chiffrement validé FIPS 140-3, contrôles d’accès au moindre privilège, traçabilité immuable, collaboration externe sécurisée et infrastructure durcie pour les workflows CUI. Ces fonctions d’application dépassent le champ du DSPM. Les organisations ont besoin à la fois d’une couche de découverte (DSPM) et d’une couche de protection (enclave CUI sécurisée et communications gouvernées) pour obtenir la certification.

Le DSPM vous indique où se trouvent vos CUI, qui peut y accéder et où sont les failles de conformité. Une plateforme de protection CUI fournit l’environnement sécurisé où stocker les CUI et les canaux gouvernés pour leur transmission. Concrètement, le DSPM découvre qu’une CUI est stockée dans un dossier SharePoint non approuvé avec des autorisations excessives et sans chiffrement. Une plateforme de protection propose l’enclave autorisée FedRAMP et validée FIPS où déplacer cette CUI, applique le moindre privilège, chiffre les données au repos et en transit, et génère des traces d’audit immuables pour chaque interaction. Le DSPM est l’outil de diagnostic ; la plateforme de protection est le traitement.

Les déploiements les plus efficaces intègrent la découverte DSPM à l’application automatisée des politiques. Les plateformes DSPM classifient les CUI et appliquent des labels de sensibilité. Les plateformes de protection exploitent ces labels et appliquent automatiquement les contrôles associés lors du partage de données — chiffrement, restrictions d’accès, limitations de téléchargement et partage temporaire. Cela crée une boucle fermée : classification, application, journalisation. La classification déclenche la politique, la politique déclenche l’application, et l’application génère la traçabilité exigée par les auditeurs CMMC. Les organisations peuvent déployer les deux outils en parallèle ou en séquence, mais c’est l’intégration entre découverte et application qui comble les écarts de conformité et garantit une préparation continue.

Pour le DSPM, privilégiez la découverte des CUI sur l’ensemble des référentiels (cloud, sur site, SaaS, e-mail), une classification précise selon les catégories pertinentes pour le CMMC, l’évaluation des risques d’accès, le reporting des écarts de conformité aligné sur les pratiques du CMMC Niveau 2, et la surveillance continue des dérives de configuration. Pour une plateforme de protection, exigez l’autorisation FedRAMP, la cryptographie validée FIPS 140-3, une architecture d’appliance virtuelle durcie ou d’enclave, des fonctions de collaboration externe sécurisée pour l’échange de CUI dans la supply chain, la traçabilité immuable de toutes les interactions CUI, des contrôles CMMC pré-mappés avec support SSP et POA&M, et des options de déploiement flexibles (sur site, cloud privé ou cloud autorisé). Le plus important : vérifiez que les deux outils s’intègrent pour que les classifications DSPM déclenchent automatiquement les politiques d’application.

Ressources complémentaires

  • Brief Kiteworks + Data Security Posture Management (DSPM)
  • Article de blog DSPM vs sécurité des données traditionnelle : combler les failles critiques de protection des données
  • Article de blog Calculateur de ROI DSPM : bénéfices sectoriels
  • Article de blog Pourquoi le DSPM ne suffit pas et comment les responsables des risques peuvent combler les failles de sécurité
  • Article de blog Stratégies essentielles pour protéger les données confidentielles classifiées DSPM en 2026

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks