La vision de Cyber Academy
CMMC est le modèle de maturité cybersécurité que le département américain de la Défense impose à ses contractants manipulant des informations contractuelles fédérales et des informations non classifiées contrôlées. CMMC 2.0 a été ramené à trois niveaux (Foundational, Advanced, Expert) alignés sur NIST SP 800-171 et 800-172. Si vous vendez au DoD ou faites partie de leur chaîne d'approvisionnement, vous êtes dans le périmètre.
Ce que CMMC change concrètement pour un sous-traitant
Pendant des années, le Department of Defense américain a demandé à ses fournisseurs de protéger les informations sensibles en leur faisant confiance pour le faire. Les sous-traitants attestaient eux-mêmes respecter les mesures de protection exigées, et l'écart entre ce qui était déclaré et ce qui était réellement mis en œuvre n'apparaissait qu'après une compromission. CMMC comble cet écart en transformant les exigences de protection existantes en une certification vérifiable.
La substance des contrôles n'a pas autant changé que la charge de la preuve : là où vous signiez autrefois une déclaration, vous détenez désormais une certification confirmant, à l'issue d'une évaluation, que vos pratiques sont réellement en place. Si vous traitez des Federal Contract Information ou des Controlled Unclassified Information à un quelconque maillon de la chaîne d'approvisionnement du DoD, c'est ce mécanisme qui détermine si vous pouvez continuer à soumissionner.
Ce modèle compte bien au-delà des frontières américaines. Les fournisseurs européens qui sous-traitent à des donneurs d'ordre américains, fabriquent des composants de défense ou traitent des CUI pour le compte d'un programme du DoD héritent de la même obligation. CMMC n'est pas un référentiel que l'on adopte volontairement par souci d'hygiène ; c'est une porte contractuelle. Pas de certification au niveau exigé par votre contrat, pas d'attribution de marché. C'est ce qui le distingue d'un modèle de maturité volontaire et le place dans la même catégorie pratique qu'une exigence réglementaire : la conformité est le prix d'accès au marché.
Les trois niveaux et ce qu'ils recouvrent
CMMC 2.0 a rationalisé un schéma antérieur à cinq niveaux en trois, chacun lié à la sensibilité des données que vous traitez et à une base NIST existante. Le niveau 1 (Foundational) couvre la protection de base des Federal Contract Information et s'appuie sur les pratiques des règles fédérales d'acquisition, vérifiées par une auto-évaluation annuelle.
Le niveau 2 (Advanced) protège les Controlled Unclassified Information et s'aligne directement sur NIST SP 800-171, le catalogue de contrôles déjà exigé des sous-traitants qui traitent des CUI ; selon le contrat, il est confirmé par une évaluation tierce. Le niveau 3 (Expert) concerne les programmes les plus sensibles et y ajoute les exigences renforcées de NIST SP 800-172 pour se défendre contre les menaces persistantes avancées, évalué par le gouvernement lui-même.
| Niveau | Données protégées | Base | Évaluation |
|---|---|---|---|
| Niveau 1 — Foundational | Federal Contract Information (FCI) | Exigences de protection de base | Auto-évaluation annuelle |
| Niveau 2 — Advanced | Controlled Unclassified Information (CUI) | NIST SP 800-171 | Évaluation tierce (ou autoévaluation) |
| Niveau 3 — Expert | CUI à forte valeur, exposition aux APT | NIST SP 800-171 plus 800-172 | Évaluation menée par le gouvernement |
L'enseignement clé est que CMMC n'invente pas tant de nouveaux contrôles qu'il n'impose ceux que les sous-traitants étaient déjà tenus de respecter. Un fournisseur qui a véritablement mis en œuvre NIST SP 800-171 a fait l'essentiel du chemin vers le niveau 2 ; le travail qui reste consiste à produire les preuves, à finaliser les pratiques supposées mais jamais opérationnalisées, et à passer avec succès une évaluation menée par quelqu'un d'autre que vous.
La place de CMMC à côté de NIS 2 et ISO 27001
Il est tentant de ranger CMMC, NIS 2 et ISO 27001 dans le même tiroir, mais ils répondent à des questions différentes. ISO 27001 certifie que vous exploitez un système de management de la sécurité de l'information fondé sur les risques ; il est volontaire, international et indifférent à l'origine des données que vous détenez. NIS 2 est une législation européenne qui impose des obligations de sécurité et de notification d'incident aux entités essentielles et importantes des secteurs critiques.
CMMC est plus étroit et plus spécifique : une exigence de marché public du gouvernement américain visant une seule chaîne d'approvisionnement, rattachée à des ensembles de contrôles NIST fixes plutôt qu'à votre propre appréciation des risques. Une organisation déjà certifiée ISO 27001 aura construit une discipline de management qui facilite l'effort CMMC, mais les certifications ne sont pas interchangeables et l'une ne satisfait pas l'autre.
Frequently asked questions
01Qui doit se conformer à CMMC ?
Toute organisation de la chaîne d'approvisionnement du Department of Defense américain qui traite des Federal Contract Information ou des Controlled Unclassified Information, y compris les sous-traitants non américains de donneurs d'ordre américains. Le niveau requis est inscrit dans le contrat.
02Quelle est la différence entre CMMC et NIST SP 800-171 ?
NIST SP 800-171 est le catalogue de contrôles pour la protection des CUI. CMMC est le mécanisme de certification qui vérifie que ces contrôles sont effectivement mis en œuvre. Le niveau 2 de CMMC s'appuie directement sur NIST SP 800-171.
03Combien de niveaux compte CMMC 2.0 ?
Trois : niveau 1 (Foundational), niveau 2 (Advanced) et niveau 3 (Expert). Le modèle antérieur comptait cinq niveaux ; CMMC 2.0 les a consolidés et a aligné chacun sur une base NIST existante.
04Une certification ISO 27001 satisfait-elle CMMC ?
Non. Ce sont des schémas distincts. ISO 27001 certifie un système de management fondé sur les risques, tandis que CMMC vérifie des ensembles de contrôles NIST spécifiques pour la chaîne d'approvisionnement du DoD. La maturité ISO 27001 aide, mais elle ne se substitue pas à une évaluation CMMC.
05Puis-je encore m'auto-évaluer dans le cadre de CMMC 2.0 ?
Le niveau 1 est vérifié par une auto-évaluation annuelle, et certains contrats de niveau 2 l'autorisent, mais les travaux de niveau 2 les plus sensibles et l'intégralité du niveau 3 exigent une évaluation indépendante ou menée par le gouvernement.