Secteur public 
Alors que les agences fédérales américaines sont confrontées à des cybermenaces de plus en plus sophistiquées, la sécurisation des systèmes à fort impact et des données
Le ministère de la défense des États-Unis (DoD) a lancé début 2020 son programme Cybersecurity Maturity Model Certification (CMMC), ou certification du modèle de maturité de la cybersécurité, afin de renforcer la cybersécurité dans l’ensemble de la base industrielle de la défense (DIB) et de garantir que les entrepreneurs traitant des informations contrôlées non classifiées (CUI) respectent des normes strictes de cybersécurité définies par le National Institute of Standards and Technology (NIST).
Le 10 novembre 2025, la règle d’acquisition finale du DoD pour le programme CMMC est officiellement entrée en vigueur, ce qui signifie que les contrats du DoD commenceront à inclure des exigences CMMC obligatoires qui seront progressivement mises en place au cours des prochaines années.
Le CMMC comporte trois niveaux de maturité, et les exigences varient selon le niveau. Le CMMC de niveau 1 comporte 15 contrôles et s’applique aux contrats ne contenant que des informations contractuelles fédérales (FCI) mais aucune CUI. Le prestataire doit effectuer une auto-évaluation ; aucune évaluation tierce n’est requise. Le CMMC de niveau 2 comporte 110 contrôles et s’appuie sur la norme NIST SP 800-171. Il est obligatoire pour les contrats contenant des CUI. De nombreux contrats exigeront une certification CMMC de niveau 2 via une évaluation tierce réalisée par un organisme d’évaluation tiers CMMC (C3PAO). Enfin, le CMMC de niveau 3 exige 24 contrôles de sécurité renforcés supplémentaires, et tous les contrats devront être soumis à une évaluation tierce.
Le nouveau calendrier CMMC
Le DoD prévoit de déployer le CMMC au cours des prochaines années. Voici ce que chaque phase implique pour les entrepreneurs qui traitent des CUI et le calendrier actuel :
- La phase 1 a déjà commencé, et les entrepreneurs qui traitent des CUI doivent s’auto-évaluer pour s’assurer qu’ils répondent aux exigences CMCC de niveau 2 afin de pouvoir prétendre aux contrats du DoD. Le DoD peut également exiger des audits tiers pour le niveau 2 dans certains cas.
- La phase 2 débutera en novembre 2026, et les contrats de niveau 2 nécessiteront une certification par un tiers plutôt qu’une simple auto-évaluation.
- La phase 3 débutera en novembre 2027, et les certifications tierces CMMC de niveau 3 seront obligatoires pour tous les nouveaux contrats, sauf en cas de report. Le DoD peut reporter les exigences CMCC de niveau 3 aux périodes d’option pour certains contrats.
- La phase 4 est la dernière phase et commencera en novembre 2028. Les exigences CMMC s’appliqueront à tous les contrats concernés.
Conséquences pour les sous-traitants
Si votre entreprise traite des CUI ou des FCI, les prochains appels d’offres incluront les exigences CMMC. Pour vous préparer, concentrez-vous sur ces étapes :
- Vérifiez votre conformité cloud : le CMMC exige la certification FedRAMP Moderate (ou un équivalent) pour tout service cloud qui stocke ou traite des CUI. Les entreprises qui font appel à des fournisseurs de services cloud doivent évaluer chacun de leurs contrats de services cloud et vérifier que le fournisseur possède la certification FedRAMP Moderate.
- Définissez votre environnement CUI : cartographiez l’emplacement des CUI et identifiez les systèmes, réseaux, applications et utilisateurs qui interagissent avec cet environnement.
- Examinez les 110 contrôles de niveau 2 : identifiez les lacunes, notez les catégories qui ont besoin d’un soutien supplémentaire et classez les mesures correctives par ordre de priorité. Certaines catégories de niveau 2 comprennent le contrôle d’accès (AC), la sensibilisation et la formation, l’audit et la responsabilité (AU) et la gestion de la configuration (CM).
- Documentez tout : conservez des enregistrements clairs des politiques d’accès, des audits et des configurations. Que vous procédiez à une auto-évaluation ou que vous vous prépariez à une évaluation tierce, disposer d’une documentation claire réduira le temps nécessaire pour assurer une conformité CMMC totale.
Pourquoi la gestion des accès privilégiés est importante et comment Keeper peut vous aider
Les solutions de gestion des accès privilégiés (PAM) gèrent et sécurisent les comptes qui sont autorisés à accéder à des systèmes et données hautement sensibles, réduisant ainsi le risque de cyberattaques. Une solution PAM peut aider les entreprises à répondre à de nombreux contrôles CMMC, en particulier ceux liés aux contrôles d’accès (AC), à l’identification et à l’authentification (IA) et à la protection des systèmes et des communications (SC).
De nos jours, une équipe de sécurité standard manque souvent de visibilité sur la robustesse de la politique de mots de passe de son organisation. Keeper Security Government Cloud (KSGC) comble cette lacune en offrant une visibilité sur la réutilisation des mots de passe et les identifiants compromis, et en permettant aux organisations de définir et de contrôler leurs politiques de mots de passe. KSGC surveille également les vulnérabilités et alerte les administrateurs, permettant ainsi une gestion proactive des risques avant que des incidents de cybersécurité ne surviennent.
KSGC est certifié FedRAMP High Authorized, ce qui en fait une solution parfaitement adaptée aux entreprises sous contrat avec le DoD qui ont besoin de protéger des informations sensibles. Keeper aide les entreprises à se conformer aux contrôles CMMC en constante évolution en répondant aux exigences principales en matière de sécurité des mots de passe et de gestion des accès, réduisant ainsi la charge de démontrer leur conformité avec ces contrôles CMMC.
Afin d’aider les entreprises à comprendre comment Keeper s’inscrit dans le cadre CMMC, Keeper a récemment collaboré avec un expert CMMC tiers pour harmoniser les capacités de Keeper avec certains contrôles CMMC spécifiques. Cet expert, Jacob Hill, est le PDG de TEKFused, qui propose des certifications en matière de gouvernance, de risque et de conformité (GRC). Jacob Hill possède plus de 17 ans d’expérience, un master en cybersécurité de la Western Governors University et plusieurs certifications, dont CMMC Certified Assessor, CMMC Provisional Instructor, CISSP-ISSEP et CySA+. Il a également publié des CVE, et ses recherches sur la sécurité ont été publiées par Brian Krebs et Infosecurity Magazine.
* Avertissement : Cliquer sur le bouton ci-dessus téléchargera un fichier sur votre ordinateur.
En associant des pratiques de cybersécurité intentionnelles, des politiques de gestion des accès robustes et des plateformes comme KSGC, les entreprises peuvent accélérer leur mise en conformité, anticiper les exigences réglementaires et être prêtes pour les contrats du DoD. Demandez une démonstration dès aujourd’hui pour en savoir plus.
