La Cybersecurity Maturity Model Certification, ou CMMC, conditionne désormais l’accès aux contrats du Département de la Défense américain. Trois niveaux, des centaines de pratiques possibles, un vocabulaire technique dense : beaucoup d’entreprises foncent dans le sur-investissement par peur de rater une exigence. Pourtant, le cadre prévoit explicitement une logique graduée. La bonne dose d’information et de contrôles dépend du type de données que vous manipulez et de votre rôle dans la chaîne d’approvisionnement de la défense. Voici comment calibrer.
CMMC en deux phrases : à quoi ça sert vraiment ?
Le CMMC est un cadre de cybersécurité créé par le Département de la Défense des États-Unis pour protéger deux catégories de données sensibles circulant chez ses fournisseurs : les Federal Contract Information (FCI) et les Controlled Unclassified Information (CUI). Il ne réinvente rien : il s’appuie sur les normes NIST SP 800-171 et 800-172 et les transforme en obligation contractuelle vérifiable. Avant le CMMC, chaque sous-traitant déclarait sa propre conformité. Désormais, certains contrats imposent un audit tiers ou une attestation signée par un cadre dirigeant.
Trois niveaux, trois doses d’exigences
CMMC 2.0 est passé de cinq à trois niveaux en 2021. Cette simplification reflète une volonté claire : faire correspondre l’effort de sécurité à la sensibilité réelle des données. Le tableau ci-dessous résume les seuils.
| Niveau | Données protégées | Pratiques requises | Évaluation |
|---|---|---|---|
| 1 – Fondamental | FCI uniquement | 17 pratiques (FAR 52.204-21) | Auto-évaluation annuelle |
| 2 – Avancé | CUI | 110 pratiques (NIST SP 800-171) | Auto ou audit tiers selon criticité |
| 3 – Expert | CUI critiques | NIST 800-171 + sous-ensemble 800-172 | Évaluation gouvernementale tous les 3 ans |
Niveau 1 : la base pour les sous-traitants qui touchent des FCI
Le niveau 1 vise les organisations qui manipulent uniquement des informations sur les contrats fédéraux, c’est-à-dire des documents non classifiés mais à protéger : énoncés de travail, dossiers financiers, documentation de conception. Dix-sept pratiques fondamentales suffisent : contrôle d’accès, authentification, sécurité physique des médias, intégrité du système. Une auto-évaluation annuelle accompagnée d’une affirmation par un cadre supérieur ferme la boucle. Pour la plupart des PME sous-traitantes, c’est la dose juste.
Niveau 2 : le palier exigeant pour les CUI
Dès lors que votre organisation traite des CUI (informations personnelles, données HIPAA, contrôle des exportations, infrastructures critiques), le niveau 2 s’impose. Cent dix pratiques alignées sur le NIST SP 800-171, c’est un saut considérable. La nuance vient de la criticité du contrat : pour les informations CUI dites non critiques, une auto-évaluation annuelle reste possible. Pour les CUI critiques pour la sécurité nationale, l’audit tous les trois ans par un C3PAO devient obligatoire.
Niveau 3 : l’expertise pour les contrats sensibles
Le niveau 3 cible les organisations confrontées aux menaces persistantes avancées sur des données hautement sensibles. Il ajoute aux 110 pratiques du niveau 2 un sous-ensemble de contrôles NIST SP 800-172 défini par le DoD lui-même. L’évaluation est conduite directement par le gouvernement tous les trois ans. Peu d’entreprises sont concernées mais celles qui le sont doivent d’abord satisfaire pleinement le niveau 2.
Comment savoir quelle dose d’information appliquer chez vous ?
Trois questions simples permettent de calibrer l’effort sans tâtonner :
- Quel type de données touchez-vous concrètement ? Si aucune CUI ne transite par vos systèmes, le niveau 1 suffit. Inutile de viser plus haut par excès de zèle.
- Que disent vos contrats DoD actuels ou futurs ? Les RFP et clauses DFARS précisent le niveau exigé. Lisez-les avant d’investir.
- Êtes-vous sous-traitant ou contractant principal ? Les principaux donneurs d’ordre transmettent leurs exigences vers le bas. Demandez-leur le niveau attendu plutôt que de deviner.
Une PME qui livre des composants standardisés à un grand intégrateur n’a souvent besoin que du niveau 1. À l’inverse, un éditeur logiciel hébergeant des CUI doit immédiatement viser le niveau 2.
Auto-évaluation ou audit tiers : ce que change CMMC 2.0
La version 2.0, déployée progressivement depuis mai 2023, allège la charge des PME de la base industrielle de défense. Trois changements méritent votre attention :
- Auto-évaluation élargie : les niveaux 1 et certains contrats de niveau 2 acceptent une attestation interne, à condition qu’un dirigeant l’affirme formellement.
- Alignement strict sur le NIST : les pratiques propres au CMMC qui doublonnaient avec les normes existantes ont été supprimées. Les entreprises déjà conformes au NIST 800-171 partent avec une longueur d’avance.
- Mise en œuvre progressive : tous les contrats DoD intégreront la conformité CMMC d’ici 2028. Les contractants principaux privilégient déjà les sous-traitants prêts.
Côté documentation, deux livrables structurent toute démarche, quel que soit le niveau : le Plan de Sécurité du Système (SSP), qui décrit les contrôles déployés, et le Plan d’Action et de Jalons (POA&M), qui acte les écarts identifiés et les délais de remédiation.
Les écueils à éviter quand on prépare la conformité
Le piège classique consiste à viser le niveau le plus élevé pour se rassurer, puis à découvrir un coût d’implémentation hors de portée.
Plusieurs erreurs reviennent dans les retours d’expérience des C3PAO :
- Confondre FCI et CUI, ce qui aboutit à appliquer 110 contrôles là où 17 suffisent (ou l’inverse, plus dangereux).
- Sous-estimer le SSP, document central que les évaluateurs lisent en premier. Une description floue du périmètre fait échouer l’audit avant même les tests techniques.
- Négliger le POA&M : un plan de remédiation flou ou sans jalons concrets disqualifie l’organisation, même si les contrôles sont presque tous en place.
- Oublier les sous-traitants. Si votre chaîne d’approvisionnement transmet des CUI, leur conformité conditionne la vôtre.
Doser la conformité CMMC, c’est accepter que la sécurité parfaite n’existe pas et que chaque pratique a un coût. Le cadre lui-même invite à cette approche graduée. Lisez vos contrats, qualifiez vos données, choisissez le niveau juste, puis investissez méthodiquement.
