Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Exigences de conformité liées à l’IA pour les sous-traitants fédéraux : ce qu’il faut savoir

Exigences de conformité liées à l’IA pour les sous-traitants fédéraux : ce qu’il faut savoir

par Danielle Barbour updated mars 30, 2026 Conformité réglementaire
temps de lecture: 10 minutes

Les sous-traitants fédéraux évoluent dans l’un des environnements de conformité IA les plus exigeants du marché. L’empilement réglementaire auquel ils sont soumis — CMMC 2.0, NIST 800-171, FedRAMP, ITAR, FISMA, et un nombre croissant de directives exécutives spécifiques à l’IA — a été conçu pour encadrer l’accès humain aux données sensibles du gouvernement. Les agents IA opérant dans cet environnement héritent de toutes les obligations applicables aux humains qu’ils remplacent ou assistent.

Le principal défi : la plupart des outils IA n’ont pas été conçus en tenant compte des exigences de conformité fédérales. Les déployer dans un contexte de sous-traitance gouvernementale sans gouvernance systématique crée une responsabilité au regard des clauses DFARS, fait peser un risque sur l’attribution des contrats et — dans les pires cas — expose les sous-traitants à des poursuites au titre du False Claims Act pour avoir certifié une conformité qu’ils ne peuvent pas démontrer.

Résumé Exécutif

Idée principale : Les sous-traitants fédéraux qui déploient l’IA doivent répondre à un environnement de conformité à plusieurs niveaux qui applique les exigences existantes de protection des données, de contrôle d’accès, de chiffrement et d’audit aux systèmes IA avec la même rigueur que pour les employés humains — tout en prenant en compte de nouvelles obligations spécifiques à l’IA issues des décrets exécutifs, des directives d’agences et de l’application du CMMC.

Pourquoi c’est important : Les systèmes IA qui accèdent à des CUI ou FCI sans respecter les exigences du CMMC, du NIST 800-171 et des DFARS exposent les sous-traitants à la résiliation de contrat, à des constats d’audit et à une responsabilité au titre du False Claims Act. Le DIB constitue une cible prioritaire pour l’exploitation malveillante de l’IA, faisant de la gouvernance des données IA un enjeu de sécurité nationale autant que de conformité.

Résumé des Points Clés

  1. Les agents IA qui accèdent à des CUI ou FCI sont soumis à l’ensemble des exigences du CMMC, du NIST SP 800-171 et des DFARS — il n’existe aucune exemption pour l’IA, ni distinction entre accès humain et machine dans l’application de ces obligations.
  2. L’application du CMMC 2.0 est effective : les sous-traitants qui certifient leur conformité sans mettre en place une gouvernance IA pour les flux de travail impliquant des CUI s’exposent à des poursuites au titre du False Claims Act dans le cadre de la DOJ Civil Cyber-Fraud Initiative.
  3. L’autorisation FedRAMP est obligatoire pour les outils IA hébergés dans le cloud utilisés dans les systèmes fédéraux — y compris l’IA intégrée dans les logiciels de productivité — et les contrôles de base appropriés doivent être satisfaits avant tout déploiement.
  4. L’ITAR impose des restrictions indépendantes sur les systèmes IA traitant des données techniques contrôlées — des restrictions applicables indépendamment du périmètre CMMC, et qui entraînent des sanctions pénales en cas de violation.
  5. Les nouvelles directives fédérales spécifiques à l’IA — exigences des décrets exécutifs, principes éthiques IA du DoD, adoption du NIST AI RMF — convergent vers le même standard de gouvernance au niveau des données : accès authentifié, application des règles, chiffrement FIPS et traçabilité d’audit inviolable.

Paysage de la conformité IA pour les sous-traitants fédéraux

CMMC 2.0 et NIST SP 800-171. Le CMMC est le référentiel de certification cybersécurité du DoD pour les sous-traitants manipulant des CUI. Être conforme au CMMC 2.0 Niveau 2 implique la mise en œuvre intégrale des 110 pratiques du NIST SP 800-171 — couvrant le contrôle d’accès, l’audit et la responsabilité, l’identification et l’authentification, la réponse aux incidents, et la protection des systèmes et des communications. Chaque domaine de pratique s’applique directement aux systèmes IA accédant à des CUI : un agent IA qui s’authentifie sur un référentiel documentaire, accède à des données contractuelles ou génère des résultats à partir de CUI doit satisfaire les mêmes contrôles qu’un employé habilité effectuant la même tâche. La règle finale du CMMC exige une évaluation tierce par des C3PAO pour les contrats de niveau 2 — la gouvernance IA sera donc examinée par des auditeurs externes, et non auto-déclarée.

DFARS et le False Claims Act. La clause DFARS 252.204-7012 impose la protection des informations de défense couvertes et la déclaration des incidents cyber. Lorsque les sous-traitants certifient leur conformité CMMC, cette certification couvre tous les systèmes traitant des CUI — y compris les systèmes IA. La DOJ Civil Cyber-Fraud Initiative a clairement indiqué que toute certification cybersécurité mensongère engage la responsabilité au titre du False Claims Act. Un déploiement IA qui accède à des CUI sans respecter les exigences CMMC alors que l’organisation certifie sa conformité correspond exactement au scénario ciblé par cette initiative.

FedRAMP. Tout service cloud utilisé dans un système fédéral — y compris les outils IA intégrés dans des environnements cloud commerciaux — doit être autorisé FedRAMP au niveau de base approprié : Bas, Modéré ou Élevé. De nombreux outils IA commerciaux ne disposent d’aucune autorisation FedRAMP. Les sous-traitants qui les utilisent dans le cadre de missions fédérales opèrent hors des exigences de conformité, souvent sans le savoir.

ITAR et EAR. L’ITAR encadre la conformité des articles, services et données techniques de défense listés sur la U.S. Munitions List. Les systèmes IA qui traitent des données techniques contrôlées par l’ITAR — spécifications de conception, procédés de fabrication, documentation de systèmes d’armes — sont soumis aux restrictions ITAR, indépendamment du périmètre CMMC. Utiliser un outil IA commercial pour analyser des données ITAR peut constituer une exportation non autorisée si l’outil fait transiter les données via une infrastructure hors du contrôle des États-Unis. Ce risque a émergé plus vite que les directives réglementaires n’ont pu s’adapter, et les sanctions — poursuites pénales, exclusion — sont sévères.

FISMA. Les agences fédérales et leurs sous-traitants exploitant des systèmes d’information fédéraux doivent être conformes au FISMA, qui impose la mise en œuvre des contrôles NIST SP 800-53. Pour les sous-traitants dont les systèmes sont gérés par une agence, le FISMA s’applique aux systèmes IA présents dans ces environnements avec la même force que pour tout autre composant système.

Tableau 1 : Exigences de conformité IA par référentiel pour les sous-traitants fédéraux
Référentiel Déclencheur pour l’IA Exigence IA spécifique clé Mécanisme d’application
CMMC 2.0 / NIST 800-171 Le système IA accède, traite ou transmet des CUI Mise en œuvre des 110 pratiques couvrant l’authentification des agents IA, le contrôle d’accès, la journalisation d’audit et le chiffrement Évaluation tierce par C3PAO ; refus d’attribution de contrat ; responsabilité False Claims Act en cas de fausse certification
DFARS 252.204-7012 Le système IA traite des informations de défense couvertes Déclaration des incidents liés à l’IA ; sécurité adéquate pour l’accès aux données IA Application de la clause contractuelle ; DOJ Civil Cyber-Fraud Initiative
FedRAMP Outil IA hébergé dans le cloud utilisé dans un système fédéral Autorisation au niveau de base approprié (Bas/Modéré/Élevé) avant déploiement dans l’environnement fédéral Processus ATO de l’agence ; exigences contractuelles ; constatations d’utilisation non autorisée
ITAR / EAR Le système IA traite des données techniques contrôlées ITAR Aucune exportation non autorisée ; infrastructure sous contrôle US pour le traitement ITAR ; restrictions d’accès pour les non-US persons Application DDTC/BIS ; sanctions pénales ; exclusion
FISMA / NIST SP 800-53 Le système IA fonctionne dans un système d’information fédéral Mise en œuvre des contrôles NIST 800-53 incluant accès IA, audit et configuration Supervision de l’agence ; audits IG ; refus d’ATO

Là où l’IA crée les écarts de conformité les plus importants

Les sous-traitants fédéraux ayant déployé l’IA — souvent rapidement, sous la pression concurrentielle de démontrer leur capacité IA auprès des clients publics — rencontrent fréquemment les mêmes types d’écarts de conformité. Comprendre où se concentrent ces écarts permet de prioriser les actions de gouvernance nécessaires pour les combler.

Accès IA non contrôlé aux référentiels CUI. L’écart le plus courant et le plus critique : des agents IA disposant d’un accès large aux systèmes de fichiers ou référentiels documentaires contenant des CUI, sans application des contrôles d’accès au niveau opérationnel exigés par CMMC AC.2.006 (moindre privilège) et NIST 800-171 AC.1.001/AC.1.002. Un agent IA pouvant accéder à n’importe quel document dans un environnement SharePoint contenant des CUI — parce que les autorisations de dossier n’ont pas été configurées pour limiter son périmètre — fonctionne hors des exigences CMMC, quelle que soit la posture globale de l’organisation. L’application ABAC au niveau opérationnel est indispensable : ce que l’agent peut lire, télécharger, déplacer ou transmettre doit être explicitement autorisé avant tout accès.

Absence de traçabilité d’audit pour les interactions IA-données. Les exigences CMMC AU.2.041 et AU.2.042 imposent des journaux d’audit retraçant l’activité des utilisateurs sur les systèmes CUI — et « utilisateur » inclut les agents IA tout autant que les utilisateurs humains. Les journaux de session indiquant qu’un outil IA a été utilisé ne suffisent pas. La traçabilité d’audit inviolable qui alimente un SIEM et indique quel agent a accédé à quelle CUI, quelle opération a été réalisée et qui l’a autorisée, est ce que les évaluateurs CMMC examineront — et que la plupart des sous-traitants n’ont pas mis en place pour l’activité des agents IA.

Chiffrement non conforme pour les données traitées par l’IA. Les exigences CMMC SC.3.177 et NIST 800-171 SC.3.177 imposent un chiffrement validé FIPS pour la protection des CUI. De nombreux outils IA commerciaux utilisent TLS standard pour les données en transit mais ne fournissent pas de chiffrement validé FIPS 140-3 Niveau 1 en transit et au repos. Un outil IA qui ingère des CUI sans chiffrement validé FIPS crée un écart direct de conformité CMMC, indépendamment des contrôles d’infrastructure sous-jacents de l’organisation.

Exposition ITAR via des outils IA commerciaux. Le risque le plus sous-estimé pour les sous-traitants défense : les outils IA commerciaux peuvent faire transiter les données via des infrastructures non contrôlées par les États-Unis et pouvant impliquer un accès par des non-US persons. Selon l’ITAR, cela constitue une exportation de données techniques contrôlées nécessitant une licence ou une exception. La plupart des sous-traitants n’ont pas évalué l’utilisation de leurs outils IA commerciaux au regard de la conformité ITAR — et ce risque entraîne des sanctions pénales et une possible exclusion.

Quelles normes de conformité des données sont essentielles ?

Pour en savoir plus :

Directives fédérales spécifiques à l’IA : ce qui émerge

Au-delà des référentiels établis, un ensemble de directives fédérales spécifiques à l’IA a vu le jour et impacte directement la façon dont les sous-traitants doivent gouverner l’IA dans leurs opérations.

Politique exécutive IA. Le décret exécutif d’octobre 2023 de l’administration Biden sur l’IA a imposé aux agences fédérales d’adopter des standards de gouvernance IA et a exigé des sous-traitants fournissant des systèmes IA qu’ils respectent de nouvelles exigences de sécurité, de sûreté et de transparence. Les actions exécutives ultérieures de l’administration Trump ont maintenu l’accent sur la sécurité IA tout en rééquilibrant la politique d’innovation. Conséquence pratique : les systèmes IA vendus à ou exploités pour le compte d’agences fédérales doivent désormais répondre à des exigences de gouvernance IA spécifiques à chaque agence, désormais présentes dans les appels d’offres et exigences contractuelles.

Principes éthiques IA du DoD et IA responsable. Le Département de la Défense a publié des principes éthiques pour l’IA — responsabilité, équité, traçabilité, fiabilité et gouvernance — applicables aux systèmes IA développés pour ou exploités dans le cadre de programmes du DoD. Le principe de « traçabilité » cible directement le déficit de gouvernance rencontré par la plupart des sous-traitants : les systèmes IA du DoD doivent disposer d’une traçabilité explicite, documentée et auditable des données et des décisions. Les sous-traitants développant ou déployant de l’IA pour le DoD doivent démontrer cette traçabilité aux responsables de programme et aux auditeurs.

Adoption du NIST AI RMF. Le NIST AI Risk Management Framework est de plus en plus cité dans les marchés publics fédéraux comme référence de base pour les sous-traitants livrant des systèmes IA ou utilisant l’IA dans l’exécution des contrats. Ses fonctions « Gouverner » et « Gérer » s’alignent directement sur les exigences de gouvernance des données, de traçabilité d’audit et de supervision humaine imposées par le CMMC et le FISMA — faire converger son programme sur le NIST AI RMF est donc une voie efficace pour répondre à plusieurs exigences fédérales simultanément.

Mémorandums de politique IA de l’OMB. Les directives de l’OMB imposant aux agences fédérales d’inventorier l’usage de l’IA, d’évaluer les risques et de mettre en œuvre des pratiques minimales de gouvernance se répercutent sur les sous-traitants via des modifications contractuelles et de nouvelles exigences dans les appels d’offres. Les sous-traitants sans programme de gouvernance IA aligné sur les standards fédéraux risquent de ne plus pouvoir concourir sur les contrats intégrant l’IA à mesure que ces exigences se généralisent.

Construire un programme IA conforme pour la sous-traitance fédérale

Les exigences de conformité IA auxquelles font face les sous-traitants fédéraux ne constituent pas un nouveau référentiel à bâtir de zéro — elles prolongent les obligations existantes de gouvernance des données à une nouvelle catégorie d’acteurs. Les mêmes contrôles qui régissent l’accès des employés habilités aux CUI s’appliquent à l’accès des agents IA. La différence, c’est que la plupart des outils IA n’intègrent pas ces contrôles par défaut, et que la plupart des sous-traitants n’ont pas étendu leur gouvernance existante aux agents IA.

Démarrer par un inventaire IA en périmètre CUI. Avant toute démarche de conformité IA pertinente, les sous-traitants doivent recenser chaque système IA — y compris ceux intégrés dans des outils commerciaux et des SaaS — pouvant accéder à des systèmes ou données contenant des CUI ou FCI. Cela inclut les fonctions IA des outils de productivité, du stockage cloud et des logiciels collaboratifs. Tout composant IA ayant un chemin d’accès aux CUI relève du CMMC. Une analyse d’écart CMMC qui n’intègre pas les accès IA aux CUI est incomplète.

Mettre en œuvre des contrôles d’accès au niveau opérationnel pour les agents IA. Les pratiques de contrôle d’accès du NIST 800-171 — moindre privilège (AC.1.002), séparation des tâches (AC.2.006), accès autorisé uniquement (AC.1.001) — doivent être appliquées au niveau opérationnel pour les agents IA. Un agent IA doit s’authentifier avec une identité spécifique, être autorisé à réaliser des opérations précises sur des classifications de données précises, et être bloqué pour tout accès hors de ce périmètre. L’application de politiques ABAC est le mécanisme technique qui répond à ces exigences.

Établir une journalisation d’audit inviolable pour toutes les interactions IA-CUI. Les exigences d’audit CMMC (AU.2.041, AU.2.042) imposent des enregistrements d’activité utilisateur sur les systèmes CUI permettant de détecter et d’enquêter sur les incidents. Pour les agents IA, cela signifie des journaux d’audit au niveau opérationnel — et non des journaux de session — retraçant quel agent a accédé à quelle CUI, quelle opération a été réalisée et quel humain a autorisé l’action, le tout alimentant le SIEM du sous-traitant.

Vérifier le statut FedRAMP et la conformité FIPS de chaque outil IA. Avant d’utiliser tout outil IA en lien avec des données fédérales, vérifiez son statut d’autorisation FedRAMP au niveau de base approprié et confirmez la validation FIPS 140-3 Niveau 1 pour le chiffrement des données en transit et au repos. Exigez des documents — lettres d’autorisation et certificats de validation FIPS — et non de simples affirmations du fournisseur.

Mener une évaluation d’exposition ITAR. Pour les sous-traitants manipulant des données techniques contrôlées ITAR, évaluez chaque outil IA susceptible d’y accéder quant au contrôle US-person du routage et du stockage des données. Compte tenu des sanctions pénales associées aux violations ITAR, cette évaluation doit impliquer un conseil en contrôle des exportations.

Kiteworks Compliant AI : conçu pour la sous-traitance fédérale

Les sous-traitants fédéraux ont besoin d’une infrastructure de gouvernance IA conçue pour répondre aux standards probatoires spécifiques que les évaluateurs CMMC, les auditeurs DCSA et les responsables de programmes DoD examineront — et non d’outils de conformité généralistes adaptés a posteriori au contexte défense.

Kiteworks Compliant AI apporte cette réponse au sein du Réseau de données privé :

  • Chaque agent IA est authentifié avec une identité liée à un autorisateur humain avant tout accès à des CUI ;
  • La politique ABAC impose le moindre privilège au niveau opérationnel, répondant aux exigences NIST 800-171 AC.1.001, AC.1.002 et AC.2.006 ;
  • Le chiffrement validé FIPS 140-3 Niveau 1 protège les CUI en transit et au repos, conformément à SC.3.177 ;
  • Une traçabilité d’audit inviolable de chaque interaction agent alimente le SIEM du sous-traitant, répondant à AU.2.041 et AU.2.042.

Kiteworks couvre près de 90 % des exigences CMMC Niveau 2 dès l’installation — l’infrastructure de gouvernance IA proposée est donc déjà alignée sur les critères d’évaluation appliqués par les C3PAO.

Pour les sous-traitants fédéraux qui doivent prouver leur conformité IA afin de remporter et conserver des contrats publics, Kiteworks fournit la base probatoire que l’auto-attestation ne peut garantir.

Contactez-nous pour découvrir comment Kiteworks contribue à votre feuille de route de conformité CMMC 2.0 pour les déploiements IA.

Foire aux questions

Oui. Le CMMC 2.0 s’applique à tout système qui traite, stocke ou transmet des CUI — le référentiel ne fait pas de distinction entre utilisateurs humains et agents IA. Un système IA qui accède à des CUI dans le cadre des processus d’un sous-traitant doit satisfaire les mêmes exigences CMMC en matière de contrôle d’accès, d’audit, d’authentification et de chiffrement que tout autre composant traitant ces données. Cela inclut les outils IA intégrés dans des logiciels de productivité commerciaux si ces outils peuvent accéder à des référentiels CUI. Les sous-traitants ayant mis en œuvre les contrôles CMMC pour leur personnel humain mais pas pour les agents IA présentent un écart de conformité que les évaluateurs C3PAO identifieront lors de l’audit tiers.

Le niveau d’autorisation FedRAMP requis dépend de la sensibilité des données traitées par l’outil IA. Les outils traitant des informations fédérales à faible impact nécessitent une autorisation FedRAMP Bas ; ceux traitant des données à impact modéré — ce qui couvre la majorité des CUI — exigent une autorisation FedRAMP Modéré ; les outils traitant des données à impact élevé requièrent une autorisation FedRAMP Élevé. De nombreux outils IA commerciaux ne disposent d’aucune autorisation FedRAMP, et les sous-traitants qui les utilisent dans des missions fédérales opèrent hors des exigences de conformité. Les sous-traitants doivent vérifier le statut d’autorisation FedRAMP via le FedRAMP Marketplace avant de déployer tout outil IA hébergé dans le cloud dans un contexte fédéral.

L’ITAR limite l’exportation d’articles, de services et de données techniques de défense listés sur la U.S. Munitions List à des personnes étrangères sans licence ou exception applicable. Utiliser un outil IA commercial pour traiter des données techniques contrôlées ITAR peut constituer une exportation non autorisée si l’outil fait transiter ces données via une infrastructure accessible à des non-US persons — y compris une infrastructure cloud exploitée par des entités étrangères ou accessible à des employés non-US du fournisseur IA. Les sous-traitants défense traitant des données ITAR doivent évaluer chaque outil IA quant à ses pratiques de routage, de stockage et d’accès aux données, et obtenir un avis juridique en contrôle des exportations avant d’utiliser tout outil IA qui ne garantit pas un contrôle US-person des données ITAR durant tout leur cycle de traitement.

La DOJ Civil Cyber-Fraud Initiative permet au gouvernement d’engager la responsabilité False Claims Act contre les sous-traitants fédéraux qui soumettent sciemment de fausses certifications cybersécurité. Lorsqu’un sous-traitant certifie sa conformité CMMC 2.0 — comme l’exigent de plus en plus de contrats DoD — cette certification couvre tous les systèmes traitant des CUI, y compris les systèmes IA. Un sous-traitant ayant déployé des agents IA accédant à des CUI sans mettre en œuvre les contrôles d’accès, la journalisation d’audit et le chiffrement requis, tout en certifiant sa conformité CMMC, s’expose à une responsabilité False Claims Act. Ce risque est réel : la Civil Cyber-Fraud Initiative a déjà donné lieu à des enquêtes et des règlements, et les écarts de gouvernance IA deviennent un axe d’attention croissant.

Le NIST AI RMF et le CMMC présentent une forte convergence structurelle — tous deux imposent l’identification systématique des risques, la gouvernance des accès, la traçabilité d’audit et la supervision continue. Les sous-traitants ayant mis en œuvre les contrôles CMMC peuvent bâtir efficacement un programme de gouvernance IA aligné sur le NIST AI RMF en cartographiant leurs contrôles CMMC existants avec les fonctions Map, Measure, Manage et Govern du RMF. Les contrôles d’accès, d’audit et de chiffrement exigés par le CMMC couvrent une grande partie des exigences techniques de gouvernance du RMF Manage. Le travail supplémentaire porte sur l’IA : constituer l’inventaire des systèmes IA, évaluer les risques spécifiques à l’IA (opacité des modèles, exposition des données d’entraînement, risques de décisions automatisées), et mettre en place la fréquence de surveillance requise par la fonction Govern du RMF. Une analyse d’écart CMMC intégrant les systèmes IA constitue un point de départ naturel.

Ressources complémentaires

  • Article de blog
    Stratégies Zero‑Trust pour une protection abordable de la vie privée IA
  • Article de blog
    Comment 77 % des organisations échouent sur la sécurité des données IA
  • eBook
    Écart de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent la preuve qu’elle fonctionne.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks