Beancount.io LogoBeancount.io

CMMC 2.0 et NIST 800-171 en 2026 : une feuille de route de certification pour les petits sous-traitants de la défense

16 minutes de lectureMike ThriftMike Thrift
CMMC 2.0 et NIST 800-171 en 2026 : une feuille de route de certification pour les petits sous-traitants de la défense

Si vous fournissez quoi que ce soit au ministère de la Défense — des pièces usinées aux logiciels, des services logistiques aux dessins d'ingénierie — votre entreprise est engagée dans une course contre la montre. Le programme de certification du modèle de maturité de la cybersécurité (CMMC) est officiellement entré dans les contrats du DoD le 10 novembre 2025, et la phase de certification par des tiers qui suivra le 10 novembre 2026 disqualifiera discrètement des milliers de petits sous-traitants qui pensaient avoir plus de temps.

Le fait le plus inconfortable à propos du CMMC est qu'il ne s'agit pas vraiment d'un nouveau livre de règles. C'est un mécanisme de vérification des exigences de cybersécurité qui sont intégrées dans le Supplément au règlement sur les acquisitions fédérales de la défense (DFARS) depuis 2017. Les enquêtes de l'industrie montrent encore que moins de 15 % des sous-traitants de la défense ont pleinement mis en œuvre ces contrôles NIST SP 800-171 sous-jacents. C'est l'écart que le CMMC est conçu pour exposer — et l'écart qui est désormais contractuellement déterminant pour savoir si vous gagnez ou perdez un appel d'offres.

Ce guide s'adresse aux propriétaires, aux directeurs de l'exploitation (COO) et aux responsables informatiques des petites entreprises qui se retrouvent soudainement obligés de traduire un cadre de 110 contrôles, un guide d'évaluation de 320 objectifs et un modèle de certification à trois niveaux en quelque chose qu'ils peuvent budgétiser, planifier et livrer avant la clôture du prochain appel d'offres.

Les trois niveaux en langage clair

Le CMMC 2.0 ramène le modèle original de cinq niveaux à trois. Le niveau dont vous avez besoin est déterminé par le type d'informations gouvernementales que vous manipulez, et non par la taille de votre entreprise ou la valeur monétaire de votre contrat.

Le Niveau 1 (Fondamental) s'applique si vos seules informations liées au DoD sont des informations sur les contrats fédéraux (FCI) — les informations non publiques générées dans le cadre ou pour un contrat que le gouvernement n'a pas désignées pour une diffusion publique. Pensez aux bons de commande, aux calendriers de livraison, aux données de base de l'énoncé des travaux. Le Niveau 1 correspond aux 17 contrôles de protection de base de la clause FAR 52.204-21 et est satisfait par une auto-évaluation annuelle avec l'affirmation d'un haut responsable dans le Supplier Performance Risk System (SPRS) du DoD.

Le Niveau 2 (Avancé) s'applique dès qu'une information non classifiée contrôlée (CUI) touche votre environnement. La CUI est une catégorie plus large qui comprend les données techniques contrôlées à l'exportation, les informations techniques contrôlées, les informations sur la propulsion nucléaire navale, certains types d'informations personnelles identifiables et d'autres catégories définies dans le registre CUI. Le Niveau 2 nécessite la mise en œuvre des 110 contrôles de la révision 2 du NIST SP 800-171, évalués par rapport aux 320 objectifs d'évaluation du NIST SP 800-171A. La plupart des contrats de Niveau 2 nécessitent une évaluation triennale par une organisation d'évaluation tierce certifiée (C3PAO). Une petite partie des contrats « CUI non critiques » peut autoriser une auto-évaluation annuelle, mais vous ne devez pas supposer que votre contrat est éligible à moins que l'agent contractant ne le dise explicitement.

Le Niveau 3 (Expert) est réservé aux sous-traitants manipulant des CUI associées aux programmes les plus prioritaires du DoD. Il ajoute 24 contrôles du NIST SP 800-172 aux 110 du 800-171, et est évalué par le Defense Industrial Base Cybersecurity Assessment Center (DIBCAC). Si vous ne savez pas déjà que vous êtes au Niveau 3, c'est que vous ne l'êtes probablement pas.

L'implication pratique : si votre entreprise reçoit des dessins techniques, des spécifications marquées CUI, des données contrôlées par l'ITAR ou tout ce que le contractant principal décrit comme « contrôlé », vous êtes un établissement de Niveau 2 et vous devez budgétiser en conséquence.

Ce qui a changé dans la règle finale

L'amendement du DFARS qui codifie le CMMC est entré en vigueur le 10 novembre 2025, avec un déploiement progressif sur quatre ans. Trois éléments de la règle méritent attention car ils sont souvent mal compris.

Premièrement, la clause DFARS 252.204-7019 — l'exigence autonome d'effectuer une auto-évaluation de base NIST SP 800-171 et de publier un score dans le SPRS — a été intégrée dans les clauses CMMC et n'existe plus en tant que disposition distincte. De nombreuses petites entreprises fonctionnent encore avec l'idée que la publication d'un score d'auto-évaluation est la fin de leur obligation de conformité. Après le 10 novembre 2025, c'est le strict minimum nécessaire pour soumissionner, et après le 10 novembre 2026, ce n'est plus du tout suffisant pour la plupart des contrats CUI.

Deuxièmement, le DFARS 252.204-7021 fait de la certification CMMC une condition d'attribution du contrat et exige que le sous-traitant maintienne cette certification tout au long de la période d'exécution. Cela signifie que votre certification ne peut pas expirer discrètement au milieu du contrat ; si c'est le cas, vous avez un problème de conformité qui remonte la chaîne d'approvisionnement jusqu'au contractant principal.

Troisièmement, le DFARS 252.204-7012 — la clause de signalement d'incidents en place depuis 2017 — reste intacte. Vous disposez toujours de 72 heures pour signaler un cyber-incident affectant des informations de défense couvertes, et vous devez toujours fournir des supports pour l'analyse médico-légale sur demande.

Les 14 familles de contrôles, démystifiées

Les 110 contrôles du Niveau 2 sont organisés en 14 familles qui reflètent la structure de la norme NIST SP 800-171. Les lire en langage clair vous aide à comprendre où se situe réellement le travail.

Contrôle d'accès (22 contrôles) régit qui peut se connecter, ce qu'ils peuvent voir et ce qu'ils peuvent faire une fois à l'intérieur. Attendez-vous à inventorier chaque utilisateur, rôle et compte partagé dans votre environnement.

Sensibilisation et formation (3 contrôles) exige une formation documentée de sensibilisation à la sécurité pour tous les utilisateurs et une formation basée sur les rôles pour les utilisateurs privilégiés. Les modules de phishing génériques ne suffisent pas à eux seuls.

Audit et imputabilité (9 contrôles) exige que vos systèmes produisent, protègent et examinent des journaux (logs) suffisants pour reconstituer ce qui s'est passé lors d'un incident. Beaucoup de petites structures échouent ici non pas parce qu'elles ne peuvent pas générer de logs, mais parce que personne ne les examine.

Gestion de la configuration (9 contrôles) vous demande d'établir des lignes de base pour chaque système qui traite des CUI (informations non classifiées contrôlées) et de gérer les modifications apportées à ces lignes de base. C'est ici que les logiciels non autorisés et le « shadow IT » deviennent un constat d'audit.

Identification et authentification (11 contrôles) est la famille de l'authentification multi-facteurs (MFA). La MFA sur les comptes privilégiés est non négociable. La MFA sur tous les comptes accédant aux CUI est l'interprétation pratique appliquée par les auditeurs.

Réponse aux incidents (3 contrôles) nécessite une capacité de réponse aux incidents testée avec des procédures documentées, une formation et un reporting. Le délai de 72 heures de la clause DFARS 7012 rend cela concret.

Maintenance (6 contrôles) contrôle la manière dont vous effectuez la maintenance sur les systèmes traitant des CUI, y compris la maintenance à distance et la supervision des fournisseurs qui interviennent dans votre environnement.

Protection des supports (9 contrôles) couvre l'étiquetage, le transport, l'assainissement et la destruction des supports contenant des CUI — oui, y compris la clé USB qui contient les copies de sauvegarde des données d'ingénierie.

Sécurité du personnel (2 contrôles) exige un filtrage avant d'accorder l'accès aux CUI et garantit que l'accès est résilié à la fin de l'emploi.

Protection physique (6 contrôles) régit l'accès physique aux installations où les CUI sont traitées, y compris les registres des visiteurs et les dispositifs de protection des équipements.

Évaluation des risques (3 contrôles) nécessite des évaluations périodiques des risques et des scans de vulnérabilité de vos systèmes concernés.

Évaluation de la sécurité (4 contrôles) exige un Plan de sécurité du système (SSP) documenté et un Plan d'action et d'étapes (POA&M) — les deux documents que tout évaluateur ouvre en premier.

Protection des systèmes et des communications (16 contrôles) couvre la protection des périmètres, le chiffrement en transit, le chiffrement au repos et la séparation architecturale des CUI des autres données.

Intégrité du système et de l'information (7 contrôles) couvre la correction des failles, la protection contre les codes malveillants et la surveillance.

Les 110 contrôles se déclinent en 320 objectifs d'évaluation dans la norme NIST SP 800-171A. Chaque objectif est une question fermée (oui ou non) que l'évaluateur posera, et chacun nécessite des preuves — une politique, une capture d'écran de configuration, un échantillon de logs, un accusé de réception signé. Les créateurs de référentiels de preuves de conformité estiment généralement entre 600 et 1 200 éléments de preuve individuels pour une évaluation de Niveau 2 réussie.

Ce que cela coûte réellement à une petite entreprise

L'analyse d'impact réglementaire du DoD estime qu'environ 229 818 des 337 968 entités concernées sont des petites entreprises. La réalité des coûts varie plus que ne l'admettra n'importe quel support de présentation de fournisseur.

Les évaluations des écarts (gap assessments) réalisées par des consultants indépendants varient d'environ 3 500 aubasdeleˊchelleaˋ20000au bas de l'échelle à 20 000 pour une révision complète de la Rev. 2, incluant un projet de SSP. C'est l'argent le mieux investi avant de s'engager dans la remédiation, car cela vous indique l'ampleur réelle du projet.

Les coûts de remédiation pour les petites entreprises se situent généralement entre 35 000 et115000et 115 000 selon l'écart. Les éléments coûteux sont généralement : un tenant Microsoft 365 GCC High conforme (ou son équivalent), la détection et réponse aux menaces sur les points d'accès (EDR), la MFA partout, un service de gestion des informations et des événements de sécurité (SIEM) géré, et la main-d'œuvre pour rédiger et appliquer les politiques requises.

Les frais d'évaluation C3PAO pour la certification de Niveau 2 varient généralement de 20 000 aˋ75000à 75 000 pour un petit environnement, les environnements plus vastes ou plus complexes coûtant davantage. Les délais sont actuellement de 3 à 6 mois et s'allongent — il existe moins de 100 C3PAO autorisés pour environ 80 000 sous-traitants de Niveau 2, et la cadence ne suit pas encore la demande.

Les coûts d'exploitation permanents — services gérés, formation, outils, temps du personnel interne — ajoutent généralement de 10 000 aˋ20000à 20 000 par an pour une petite entreprise, chaque année, indéfiniment.

Le coût total de possession pour une petite structure de Niveau 2, incluant le premier cycle de certification, se situe généralement entre 80 000 et250000et 250 000 sur trois ans. Le Niveau 1 est nettement moins cher, souvent réalisable pour moins de 10 000 $ si votre environnement est déjà modérément bien géré.

Ces chiffres sont inconfortables. Ils peuvent également être intégrés aux offres. Si vos contrats ne peuvent pas les absorber, c'est une question stratégique qui mérite réponse avant de passer un autre trimestre à poursuivre des contrats avec le DoD.

L'échappatoire du Plan d'Action et des Étapes (POA&M)

La règle finale préserve un mécanisme de POA&M limité pour le niveau 2. Vous pouvez obtenir une certification conditionnelle avec des points en suspens, à condition que :

  • Votre score SPRS global soit supérieur ou égal à 88 (sur 110).
  • Les points en suspens ne figurent pas sur la liste des contrôles de haute valeur qui doivent être entièrement satisfaits au moment de l'évaluation (authentification multifacteur, cryptographie validée FIPS, surveillance continue de la sécurité, et quelques autres).
  • Vous clôturiez chaque point en suspens dans un délai de 180 jours, moment auquel une évaluation de clôture convertit votre statut conditionnel en statut final.

Les POA&M sont utiles, mais ils ne remplacent pas la préparation. Une certification conditionnelle avec un échec à la clôture de 180 jours est matériellement pire qu'une évaluation initiale retardée, car elle peut entraîner la perte de la certification en cours de contrat.

Un parcours de 90 jours pour un petit contractant débutant maintenant

Si vous lisez ceci à la mi-2026 et que vous n'avez pas encore commencé, voici un calendrier compressé réaliste. Il suppose que le niveau 2 est votre cible et que votre environnement est représentatif d'une petite entreprise de 10 à 50 employés.

Jours 1 à 14 : Périmètre et inventaire. Identifiez chaque système, compte utilisateur et flux de données qui touche aux INC (Informations Non Classifiées contrôlées). La plupart des petites entreprises surestiment considérablement la portée des INC dans leur environnement ; l'objectif est d'obtenir l'enclave défendable la plus petite possible qui respecte toujours les obligations contractuelles. Décidez si vous utiliserez une enclave INC dédiée (un tenant Microsoft 365 GCC High séparé ou équivalent) ou si vous tenterez une mise en conformité à l'échelle de l'entreprise. Les enclaves sont presque toujours moins coûteuses pour les petites structures.

Jours 15 à 30 : Évaluation des écarts. Engagez une organisation de praticiens enregistrée (RPO) ou un consultant qualifié pour effectuer une évaluation des écarts NIST SP 800-171 Rev. 2 par rapport aux 110 contrôles et 320 objectifs. Exigez un rapport écrit avec des conclusions contrôle par contrôle, des recommandations de remédiation et un projet de PSS (Plan de Sécurité du Système).

Jours 31 à 60 : Sprints de remédiation. Attaquez-vous d'abord aux contrôles de haute valeur car ils ne peuvent pas figurer sur un POA&M. Mettez en place l'A2F sur chaque compte qui touche aux INC. Migrez les charges de travail INC vers un tenant conforme. Déployez l'EDR. Mettez en place une collecte de journaux centralisée. Rédigez ou achetez les 14 documents de politique attendus par le guide d'évaluation.

Jours 61 à 75 : Documentation et formation. Terminez le PSS, achevez la formation de sécurité basée sur les rôles, menez votre premier exercice théorique de réponse aux incidents et mettez à jour votre score SPRS. Constituez le référentiel de preuves que l'évaluateur demandera.

Jours 76 à 90 : Pré-évaluation et réservation. Réalisez une simulation d'évaluation interne en utilisant le NIST SP 800-171A comme grille d'évaluation. Comblez les écarts restants. Soumettez une demande de planification C3PAO — et acceptez que l'évaluation réelle puisse avoir lieu 90 à 180 jours après la date de demande. Utilisez ce temps d'attente pour faire fonctionner les contrôles ; les évaluateurs recherchent des preuves d'un fonctionnement soutenu, et non des politiques fraîchement créées.

C'est agressif. C'est réalisable pour une organisation disposant d'un engagement de la direction, d'un périmètre honnête et d'une volonté de dépenser. Les organisations qui tentent d'adapter la conformité à un environnement étendu et non documenté prennent généralement 9 à 12 mois à la place.

La tenue de livres pour le projet de conformité

Deux erreurs de gestion financière compliquent régulièrement les projets CMMC dans les petites entreprises.

La première consiste à traiter les dépenses de conformité comme un seul panier. Un plan comptable propre sépare les coûts de remédiation ponctuels (immobilisables dans de nombreux cas), les abonnements logiciels récurrents (charges d'exploitation), la main-d'œuvre du personnel interne (souvent affectable à plusieurs programmes) et les frais d'évaluation (un coût au niveau du contrat qui peut être admissible selon les taux de coûts indirects pour les travaux à remboursement de frais). Les contractants de la défense disposant de systèmes comptables relevant de la DCAA doivent particulièrement suivre ces catégories avec précision ; une mauvaise classification peut apparaître des années plus tard comme des coûts contestés.

La deuxième est de ne pas suivre les coûts CMMC par contrat. Si votre investissement de conformité a été motivé par une exigence contractuelle spécifique, vous pourriez être en mesure d'en récupérer une partie via les coûts admissibles ou la tarification sur les contrats suivants. Si vous ne pouvez pas indiquer quel contrat un dollar donné a soutenu, vous ne pouvez pas faire valoir votre dossier.

La comptabilité en texte brut avec contrôle de version s'adapte parfaitement à cet environnement car elle laisse une piste d'audit. Chaque transaction est lisible par l'homme, chaque modification est dans le contrôle de version, et les livres eux-mêmes peuvent être examinés par un auditeur de la DCAA sans outils spécialisés d'un fournisseur. Plusieurs contrôles du NIST SP 800-171 — en particulier dans les familles Audit et Responsabilité et Gestion de la Configuration — exigent des propriétés similaires dans les systèmes informatiques, et il y a une élégance discrète à ce que les registres financiers répondent à la même norme.

Modes d'échec courants à éviter

Quelques schémas se répètent chez les petits prestataires qui échouent à leur première évaluation.

Considérer l'A2F comme facultative. L'authentification multifacteur sur les comptes privilégiés est l'échec de contrôle le plus courant. C'est aussi le moins cher à corriger. Réglez cela dès la première semaine.

Mauvaise classification des INC. Soit en marquant trop d'éléments comme INC (augmentant inutilement le périmètre et le coût), soit en en marquant trop peu (créant une réelle exposition). Poussez votre responsable contractuel à clarifier les catégories d'INC avant de définir le périmètre du projet.

Confondre sécurité informatique et conformité en cybersécurité. Un prestataire de services gérés (MSP) qui maintient vos ordinateurs portables à jour n'est pas la même chose qu'une RPO ou une C3PAO. Les compétences se recoupent, mais le travail de documentation, de preuve et de préparation à l'évaluation est une discipline différente.

Sous-estimer la documentation. Les évaluateurs n'accordent pas de crédit aux explications verbales. Chaque contrôle nécessite des preuves qui existent aujourd'hui, et non des preuves que l'entreprise pourrait produire si on le lui demandait. Construisez le référentiel de preuves au fur et à mesure de la remédiation.

Croire que le contractant principal s'en chargera. Les donneurs d'ordre répercutent leurs exigences de conformité via les sous-contrats. Ils ne sont ni votre évaluateur ni votre auditeur, mais ils se détourneront absolument d'un sous-traitant qui met leur certification en péril.

Gardez vos coûts de conformité visibles et auditables

La conformité en matière de cybersécurité est désormais un poste de dépense que tout contractant de la défense devra assumer pour le reste de la durée de vie du programme. Suivre ces coûts de manière claire — par contrat, par famille de contrôles, par remédiation par rapport aux dépenses d'exploitation — fait la différence entre un projet que vous pouvez défendre lors d'un audit de la DCAA et un projet qui érode discrètement votre marge. Beancount.io propose une comptabilité en texte brut qui vous offre une transparence totale et un contrôle de version sur chaque enregistrement financier, sans dépendance vis-à-vis d'un fournisseur ni rapports « boîte noire ». Commencez gratuitement et apportez à vos livres comptables la même préparation à l'audit que celle que la CMMC exige de votre environnement informatique.