Percer le marché du département de la Guerre des É.-U. ne consiste pas seulement à remporter des contrats — il s’agit aussi de satisfaire à des exigences strictes en matière de cybersécurité visant à protéger les données gouvernementales sensibles.
Dans le cadre du modèle de certification de la maturité en cybersécurité (CMMC), chaque entreprise qui soumissionne à de nouveaux contrats du département de la Guerre des É.-U. doit démontrer que ses réseaux — ainsi que ceux de l’ensemble de sa chaîne d’approvisionnement — respectent l’un des trois niveaux de conformité du CMMC.
Pour les entreprises canadiennes, il est essentiel de bien comprendre ces exigences : la conformité n’est pas facultative, et le non-respect peut bloquer l’accès à des occasions d’affaires lucratives dans le secteur de la défense.
Qu’est-ce que le CMMC?
Le CMMC est un programme du département de la Guerre des É.-U. visant à s’assurer que les entrepreneurs et leurs partenaires de la chaîne d’approvisionnement disposent de mesures de cybersécurité adéquates pour protéger les renseignements sensibles du gouvernement américain. Pour en savoir plus sur le CMMC.
Une modification récente au Defense Federal Acquisition Regulation Supplement (DFARS), plus précisément la clause DFARS 252.204-7021 — Cybersecurity Maturity Model Certification Requirements, rend désormais obligatoire l’intégration d’exigences liées au CMMC dans toutes les sollicitations et tous les contrats du département de la Défense des É.-U. Cela signifie que vous devez mettre en place les mesures de cybersécurité appropriées pour être admissible à l’attribution d’un contrat.
De quel niveau de CMMC avez-vous besoin?
Pour déterminer si vous avez besoin du CMMC et à quel niveau, voici un guide simple basé sur le type d’information que vous serez amené à traiter dans le cadre de contrats avec le département de la Guerre des É.-U. :
Uniquement des informations contractuelles de base (prix, échéanciers, informations de livraison)
- Il s’agit de renseignements contractuels fédéraux (FCI) → Niveau 1
- Exige 15 pratiques de base pour protéger ces renseignements
Données techniques sensibles (plans, spécifications d’ingénierie, informations soumises aux contrôles à l’exportation)
- Il s’agit de renseignements non classifiés contrôlés (CUI) → Niveau 2
- Exige 110 pratiques alignées sur la norme NIST SP 800-171
Travaux de défense hautement sensibles (programmes critiques, systèmes d’armes avancés, impact sur la sécurité nationale)
- Niveau 3 requis
- Exige des pratiques avancées de cybersécurité alignées sur la norme NIST SP 800-172, ainsi que des exigences supplémentaires du département de la Guerre des É.-U.
Mise en œuvre des niveaux 1 et 2 du CMMC en cours
La première phase de mise en œuvre du CMMC est maintenant en cours, du 10 novembre 2025 au 9 novembre 2026. Pendant cette période, l’accent est mis sur l’atteinte de la conformité de l’industrie pour les autoévaluations des niveaux 1 et 2, afin que la base industrielle commence à aligner ses pratiques de cybersécurité sur les exigences du CMMC.Démarrer avec le CMMC 2.0
La meilleure ressource officielle du gouvernement américain pour les entreprises qui se préparent à une certification CMMC de niveau 1, 2 ou 3 est la page des ressources et de la documentation du CMMC du Chief Information Officer du département de la Guerre des É.-U. (CIO). Ce site fournit tout ce dont vous avez besoin pour amorcer et mener à bien le processus.| Étape | Activité |
|---|---|
| Obtenir les normes et documents d’orientation | Commencez par obtenir les documents du cadre CMMC applicables. Ils établissent les exigences de cybersécurité de base pour vos opérations. |
| Déterminer votre niveau requis | Effectuez une évaluation des risques afin de déterminer la sensibilité des informations que vous traiterez et le niveau de certification requis (niveau 1, 2 ou 3). Cela vous permet de cibler les contrôles et le périmètre appropriés. |
| Effectuer une analyse des écarts / autoévaluation | Pour tous les niveaux : comparez vos pratiques actuelles en matière de cybersécurité aux exigences de contrôle définies dans la norme. Identifiez les écarts au niveau des politiques, des processus, des technologies et de la formation du personnel qui doivent être corrigés. |
| Mettre en œuvre les contrôles de sécurité requis et les mesures correctives | Pour tous les niveaux : corrigez les lacunes identifiées lors de l’analyse des écarts en améliorant les technologies, les processus, les politiques et la formation du personnel. Cette étape est essentielle pour atteindre la conformité avant une évaluation formelle. |
| Faire appel à un évaluateur ou à un organisme certifié | Pour les niveaux 2 et 3 : vous devez faire appel à un organisme d’évaluation tiers certifié et accrédité (Certified Third-Party Assessment Organization – C3PAO) ou à un équivalent. |
| Réaliser l’évaluation formelle / l’audit | Pour les niveaux 2 et 3 : l’évaluateur examinera vos systèmes, vos processus et votre documentation en fonction des exigences de la norme. Vous pourriez devoir fournir des preuves, des résultats d’essais et d’autres documents justificatifs. Pour les niveaux 3 : une évaluation supplémentaire est réalisée par le Information System Security Certification and Accreditation Center du DoW des É.-U.. |
| Certification / attestation | Une fois l’évaluation réussie, votre organisation est officiellement certifiée au niveau CMMC applicable. Les résultats sont consignés dans le CMMC Enterprise Mission Assurance Support Service (eMASS) et le Supplier Performance Risk System (SPRS). |
| Maintenir et surveiller la conformité | La conformité au CMMC est continue et non ponctuelle. Les organisations doivent effectuer des attestations annuelles, des audits internes et des mises à jour des contrôles de sécurité afin de tenir compte des risques émergents. Le non-maintien de la conformité peut entraîner la perte de la certification et nécessiter une nouvelle évaluation. |