Qu’est-ce que la conformité CMMC ?

La conformité CMMC permet de s’assurer que vos systèmes et vos équipes répondent aux normes de cybersécurité requises par le ministère américain de la défense. Il protège les données sensibles, améliore votre éligibilité aux contrats et vous donne un avantage concurrentiel puissant.

Qu’est-ce que la conformité CMMC ?

Signification de CMMC
Qui a besoin d’une certification CMMC ?
Risque de non-conformité
CMMC 2.0 vs. CMMC 1.0 vs. DFARS
Logiciel répondant aux exigences de conformité de CMMC
FAQ
Glossaire

Pour toute entreprise qui s’attend à remporter, voire à soumissionner, des contrats avec le ministère américain de la Défense (DoD), la conformité CMMC est indispensable. Il s’agit de l’abréviation de Cybersecurity Maturity Model Certification (certification du modèle de maturité en cybersécurité) et est la norme de mesure utilisée par le gouvernement pour définir les exigences imposées à ses sous‑traitants. Les nouvelles normes CMMC 2.0 ont simplifié et réorganisé certaines exigences, mais elles restent déterminées par le type d’informations que votre entreprise traite ou auxquelles elle accède. Certaines organisations n’ont besoin que d’un niveau de base, D’autres doivent se soumettre à des audits rigoureux et maintenir des mesures de contrôle strictes sur les données sensibles. Et cela affecte plus que l’IT. Il touche les achats, les opérations, l’infrastructure cloud, le personnel et même les relations avec les fournisseurs. Plus vos systèmes et processus sont alignés, plus il est facile de répondre aux exigences – et de prouver que vous êtes prêt.

Signification de CMMC

La certification du modèle de maturité de la cybersécurité est un cadre du ministère américain de la défense qui impose des normes de cybersécurité aux sous-traitants et fournisseurs de la base industrielle de la défense. Il vérifie la capacité d’une organisation à protéger les informations non classifiées contrôlées (CUI) et les informations sur les contrats fédéraux (FCI) grâce à un processus de certification échelonné.

Qui a besoin d’une certification CMMC ?

Si votre entreprise manipule des informations gouvernementales liées au Département de la Défense ou intervient au sein de la Defense Industrial Base (DIB), elle doit se conformer aux exigences de cybersécurité en vigueur. Cela inclut les entrepreneurs principaux, les sous-traitants, les fournisseurs et les prestataires de services.

Entrepreneurs et sous-traitants DoD directs

Tout appel d’offres commercial ou sous-traitance de travaux DoD doit respecter le niveau CMMC spécifié dans le contrat. Les règles de flux descendant s’appliquent, ce qui signifie que la conformité est exigée sur l’ensemble de la supply chain de défense, et pas uniquement pour les entrepreneurs principaux.

Entreprises traitant des ICP, CUI ou HVA

Si vous accédez aux informations fédérales sur les contrats (FCI), aux informations non classifiées contrôlées (CUI) ou aux actifs de grande valeur (HVA), ou si vous gérez des documents DoD, des spécifications techniques ou des conceptions sensibles, vous devez certifier au bon niveau CMMC.

Fournisseurs de cloud, services informatiques et fournisseurs d’assistance

Les prestataires tiers fournissant de l’infrastructure, du stockage ou des services aux contractants du Département de la Défense doivent disposer au minimum d’une équivalence FedRAMP Moderate, qu’il s’agisse de fournisseurs SaaS, PaaS, IaaS, de MSP, de sociétés logistiques, de prestataires en cybersécurité ou d’autres partenaires soutenant des activités liées à la défense.

Quels sont les risques si vous ne respectez pas les exigences de conformité CMMC ?

Sans la certification adéquate, votre entreprise pourrait passer à côté de futures opportunités. Vous pouvez également mettre en péril des contrats existants, être exclu des offres concurrentielles ou même être le maillon faible qui provoque l’échec de votre entrepreneur principal. Pour clarifier, voici un aperçu des risques de non-conformité sous trois angles :

Éligibilité

Les contrats DoD nécessitent la preuve de la certification CMMC comme facteur de contrôle. Sans elle, vous ne pouvez même pas faire d’enchères. Les sous‑traitants doivent garder à l’esprit que les donneurs d’ordre évaluent leurs fournisseurs 12 à 18 mois en amont afin de garantir une conformité totale au moment de l’attribution.

Impact sur le pipeline

La préparation du processus de certification, de l’audit et la correction des lacunes peuvent prendre plusieurs mois. Seules les entreprises certifiées apparaîtront dans le système de gestion des risques liés aux performances des fournisseurs (SPRS). Un retard dans la conformité peut entraîner une perte de temps et d’argent.

Travail et réputation

Si vous n’êtes pas certifié CMMC lorsque le contrat d’un client arrive pour être renouvelé, vous pouvez être remplacé. Et le non-respect des normes minimales de cybersécurité pourrait vous exposer à une responsabilité ou à une suppression totale de la liste des fournisseurs approuvés par la DoD.

Loading component...

CMMC 2.0 vs. CMMC 1.0 vs. DFARS : Ce qui est nouveau et ce qui reste valable

DFARS désigne le Defense Federal Acquisition Regulation Supplement, tandis que le NIST correspond à l’Institut national des normes et de la technologie. Ce sont les normes qui structurent et orientent le cadre de cybersécurité. CMMC 2.0 ne remplace pas DFARS ou NIST 800-171. Il s’agit d’une formalisation de ceux-ci. Elle présente une application plus claire, une certification par niveaux et beaucoup moins d’ambiguïté. Pour comprendre leur relation, il est important de savoir ce qui a changé, ce qui n’a pas changé et ce qui est désormais requis pour la conformité. Voici un résumé de la nouvelle configuration :

Nouveautés de CMMC 2.0 (par rapport à CMMC 1.0)

Moins de niveaux, une structure plus claire : CMMC 2.0 réduit cinq niveaux à trois. Cette simplification élimine les niveaux intermédiaires flous et s’aligne plus étroitement sur les besoins contractuels réels.
Des liens plus forts avec les normes existantes : Le modèle abandonne les processus de maturité personnalisés au profit d’un alignement 1:1 avec : NIST SP 800-171 (niveau 2) et NIST SP 800-172 (niveau 3).
Plus de flexibilité dans la certification : Autorise désormais les auto-évaluations au niveau 1, ainsi que pour certaines acquisitions non prioritaires de niveau 2. Cela réduit significativement les coûts et les délais pour les petites et moyennes entreprises.
Utilisation des POA&M : Autorise l’usage de Plan of Action and Milestones (POA&M) pour certains contrôles non satisfaits, sous conditions strictes. Cette possibilité n’existait pas dans CMMC 1.0.
Établissement plus rapide des règles : Introduit via le dossier DFARS 2019-D041, le CMMC 2.0 bénéficie d’un processus d’adoption accéléré, avec une mise en œuvre complète prévue d’ici 2026.

Ce qui n’a pas changé

Le DFARS reste en vigueur : Les exigences du DFARS 252.204‑7012 demeurent pleinement en vigueur. Les sous‑traitants doivent donc continuer à signaler rapidement tout cyberincident,mettre en œuvre les contrôles du NIST SP 800‑171 pour les systèmes traitant des informations CUI.
Le SPRS reste essentiel : Les entreprises doivent enregistrer leurs scores d’auto-évaluation dans le Supplier Performance Risk System (SPRS) qui est désormais utilisé de manière courante pour évaluer l’éligibilité des sous-traitants.
Le CUI reste la ligne de séparation : Si une organisation traite des informations non classifiées contrôlées (CUI), elle doit toujours satisfaire aux 110 contrôles complets du NIST SP 800‑171, désormais validés dans le cadre de CMMC.

Pourquoi est-ce important ?

CMMC 2.0 clarifie ce que les entrepreneurs sont techniquement tenus de faire depuis des années et l’applique désormais par le biais d’une certification échelonnée. Pour les sous-traitants DoD, cela signifie que vos systèmes doivent aller au‑delà du simple support des politiques : ils doivent contribuer à appliquer les contrôles techniques soumis à audit, notamment la gestion des accès, le chiffrement des workflows, les pistes d’audit, la traçabilité de la supply chain, et bien plus encore.

Loading component...

Qu’est-ce qui rend une plateforme cloud compatible avec la CMMC ?

Une évaluation de la conformité CMMC dépendra de la posture globale de votre organisation en matière de cybersécurité. Cela dit, les outils et solutions que vous utilisez jouent un rôle absolument essentiel. Une plateforme compatible CMMC n’est pas seulement une plateforme qui soutient votre parcours de conformité, elle doit également faire partie de l’environnement certifié lui-même.

Pour les logiciels qui traitent les CUI ou les FCI, cette infrastructure est cruciale. Vous rechercherez des fournisseurs de solutions qui proposent des services cloud répondant à des exigences de sécurité équivalentes à celles établies par le gouvernement pour le programme fédéral de gestion des risques et des autorisations (FedRAMP). Les solutions les plus efficaces, qu’il s’agisse d’ERP, de gestion documentaire ou d’autres plateformes opérationnelles, intègrent des mécanismes de protection tels que le contrôle d’accès basé sur les rôles, le chiffrement des données au repos et en transit, des pistes d’audit et des contrôles au niveau des workflows, alignés sur les principales familles de contrôles CMMC.

Mais la conformité CMMC ne se limite pas à l’achat d’outils sécurisés. La façon dont ils sont configurés, surveillés et utilisés est également très importante. Pour résumer : les logiciels seuls ne garantissent pas la certification, mais les logiciels conçus et exploités dans un souci de conformité peuvent réduire considérablement les risques et les efforts. C’est pourquoi il est important d’évaluer non seulement si une plateforme est « sécurisée », mais aussi si elle aide à maintenir la traçabilité, à appliquer les restrictions d’accès, à journaliser l’activité et à prendre en charge le type de responsabilité partagée qui est crucial pour les environnements alignés sur FedRAMP et CMMC.

En bref, un logiciel conforme ne remplace pas votre programme de cybersécurité, mais il peut le rendre plus cohérent, plus défendable et plus efficace à exécuter.

Conclusion

Les dirigeants d’aujourd’hui font face à des transformations rapides, à des défis majeurs et à une concurrence d’une intensité inédite. Même si la CMMC peut paraître intimidante et complexe, elle devient beaucoup plus simple dès lors que les bons outils et la bonne structure sont en place. Cela nécessite une planification, un travail d’équipe et des systèmes qui restent sous surveillance et évoluent au fur et à mesure que les exigences changent. Une fois cette étape franchie, vous pourrez vous consacrer pleinement à l’innovation et aux orientations stratégiques nécessaires pour prospérer et préparer l’avenir.

Loading component...

Obtenez le guide ultime sur les exigences de conformité CMMC 2.0. En savoir plus sur le nouveau cadre, notamment les niveaux, la manière d’atteindre la conformité, etc.

Lisez le guide

Découvrez comment Infor accompagne les sous‑traitants du Département de la Défense (DoD) grâce à des solutions spécifiques à leur secteur et à des logiciels entièrement conformes aux exigences CMMC.

Découvrez le logiciel pour le secteur A&D

Loading component...

FAQ concernant CMMC

Loading component...

Glossaire des acronymes CMMC

Acronyme	Temps plein	Définition
AC	Contrôle d’accès	Domaine CMMC axé sur la restriction de l’accès aux systèmes et aux données
AU	Audit et responsabilité	Domaine CMMC nécessitant la journalisation et la traçabilité des audits
AWS	Amazon Web Services	Plateforme cloud utilisée par de nombreux fournisseurs pour héberger des environnements sécurisés pour les contrats de défense
C3PAO	Organisation d’évaluateurs tiers CMMC	Société agréée qui effectue des évaluations officielles CMMC
CMMC	Certification du modèle de maturité de la cybersécurité	Cadre du ministère américain de la défense pour l’évaluation des pratiques de cybersécurité des sous-traitants de la défense
CUI	Informations non classifiées contrôlées	Informations sensibles nécessitant une protection mais non classifiées par la loi
DCAA	Agence d’audit des contrats de défense	Réalise des audits des contrats gouvernementaux pour garantir la conformité et le contrôle des coûts
DCMA	Agence de gestion des contrats de défense	Agence DoD qui surveille les performances des sous-traitants
DFARS	Supplément au Règlement fédéral sur l’acquisition de la défense	Règles spécifiques au DoD pour l’acquisition qui incluent des mandats de cybersécurité
DIB	Secteurs de la défense	Réseau d’organisations, d’installations et de ressources qui fournit au gouvernement des matériaux, des produits et des services
DIBCAC	Centre d’évaluation de la cybersécurité de base industrielle de la défense	Réaliser des évaluations de cybersécurité pour le DoD, en particulier pour le CMMC de niveau 3
DoD	Département de la Défense	Agence fédérale chargée de superviser les opérations militaires et les contrats de défense américains
OREILLE	Réglementations de l’administration des exportations	Règles régissant l’exportation d’articles à double usage non couverts par l’ITAR
FCI	Vos coordonnées	Informations fournies par ou pour le gouvernement non destinées à être divulguées au public
FIPS	Normes fédérales sur le traitement de l’information	Normes de sécurité informatique du gouvernement américain
FedRAMP	Programme fédéral de gestion des risques et des autorisations	Programme gouvernemental américain qui standardise la sécurité des services cloud
IAM	Gestion des identités et des accès	Technologies et politiques qui contrôlent l’accès des utilisateurs aux systèmes
IR	Réponse aux incidents	Domaine CMMC couvrant les processus de détection et de réponse aux incidents de sécurité
ITAR	Réglementations relatives au trafic international d’armes	Réglementations américaines contrôlant l’exportation de matériaux liés à la défense
MP	Protection médiatique	Domaine CMMC sur la sécurisation des supports physiques et numériques
NIST	Institut national des normes et de la technologie	Agence américaine chargée d’élaborer des cadres de cybersécurité et des normes techniques
NIST SP 800-171	Publication spéciale 800-171 du NIST	Lignes directrices du NIST décrivant comment protéger l’interface utilisateur interne dans les systèmes non fédéraux
OSC	Organisation à la recherche d’une certification	Société ou entité faisant l’objet d’une évaluation CMMC
POA&M	Plan d’action et jalons	Document décrivant comment une organisation prévoit de corriger les lacunes en matière de sécurité
RMF	Cadre d’évaluation des risques	Processus structuré utilisé pour identifier et gérer les risques de cybersécurité
SIEM	Gestion des informations de sécurité et des événements	Système qui agrége et analyse les données de sécurité
SPRS	Système de risque lié à la performance des fournisseurs	Système DoD qui suit la conformité des sous-traitants et les scores de risque
SSP	Sécurité des Systèmes	Document décrivant comment une organisation met en œuvre les exigences de cybersécurité
TLS	Protocole de sécurité de la couche de transport	Protocole de chiffrement des données en transit

Loading component...

Qu’est-ce que la conformité CMMC ?