Qu'est-ce que CMMC 2.0 et qui est concerne ?

CMMC (Cybersecurity Maturity Model Certification) 2.0 est le cadre du US Department of Defense (DoD) pour evaluer la posture de cybersecurite de la base industrielle de defense. Il s'applique a tout contractant ou sous-traitant qui traite, stocke ou transmet de la Federal Contract Information (FCI) ou de la Controlled Unclassified Information (CUI) sur des contrats soumis aux clauses DFARS de cybersecurite. La regle finale a ete publiee dans 32 CFR Part 170 avec entree en vigueur en decembre 2024, et la clause contractuelle 48 CFR / DFARS 252.204-7021 est progressivement integree aux appels d'offres jusqu'en 2027. Les organisations concernees incluent les contractants principaux, les sous-traitants de tout rang, les fabricants de composants et les integrateurs electroniques fournissant les chaines d'approvisionnement DoD.

Quels sont les trois niveaux CMMC ?

Le niveau 1 (Foundational) couvre 15 pratiques de base derivees de FAR 52.204-21 et s'applique aux contractants ne manipulant que de la FCI; il repose sur une auto-evaluation annuelle avec attestation d'un dirigeant. Le niveau 2 (Advanced) couvre les 110 pratiques de NIST SP 800-171 Rev 2 et s'applique aux contractants manipulant de la CUI; l'evaluation est realisee par un C3PAO (CMMC Third Party Assessor Organization) pour les contrats prioritaires et par auto-evaluation avec attestation sinon. Le niveau 3 (Expert) ajoute un sous-ensemble des pratiques de NIST SP 800-172 par-dessus le niveau 2 et s'applique aux contractants manipulant de la CUI sur les programmes les plus sensibles; l'evaluation est conduite par le DIBCAC (Defense Industrial Base Cybersecurity Assessment Center). Chaque niveau est dicte par le contrat, pas choisi par le contractant.

Comment CMMC s'articule-t-il avec l'auto-evaluation NIST SP 800-171 deja deposee dans SPRS ?

Depuis 2020, les contractants DoD manipulant de la CUI doivent realiser une auto-evaluation au regard de NIST SP 800-171 Rev 2 et soumettre le score resultant a SPRS (Supplier Performance Risk System), le referentiel central de risque fournisseur du gouvernement. CMMC niveau 2 s'appuie directement sur ce cadre: les 110 pratiques sont identiques. Le changement apporte par CMMC est le passage de l'auto-attestation seule a une evaluation par un tiers C3PAO pour les contrats prioritaires, avec certification formelle valable trois ans. La soumission SPRS reste le point d'entree, et un score SPRS eleve avec preuves documentees raccourcit le chemin vers une evaluation CMMC niveau 2.

Qu'est-ce que UK Cyber Essentials et qui en a besoin ?

Cyber Essentials est le schema soutenu par le gouvernement britannique, opere par l'IASME Consortium sous la gouvernance du National Cyber Security Centre (NCSC), seul organisme d'accreditation depuis 2020. Il repose sur cinq controles techniques: pare-feu, configuration securisee, controle d'acces utilisateur, protection contre les malwares, et gestion des mises a jour de securite. Il est delivre sur la base d'une auto-evaluation annuelle validee par un assesseur certifie IASME. Depuis 2014, Cyber Essentials est requis pour de nombreux contrats publics britanniques et est largement demande dans les chaines d'approvisionnement de defense, les marches publics et comme prerequis contractuel par les acheteurs prives. Cyber Essentials Plus est le niveau superieur avec verification auditee des memes controles.

Quelle est la difference entre Cyber Essentials et Cyber Essentials Plus ?

Cyber Essentials (basique) est delivre sur auto-evaluation verifiee: le candidat remplit un questionnaire mappe aux cinq controles, un assesseur certifie IASME examine les reponses, et le certificat est emis. Cyber Essentials Plus est delivre sur audit technique pratique par le meme assesseur: scan de vulnerabilites externes des actifs exposes a Internet, scan interne d'un echantillon de postes de travail, test de detection malware (detonation de fichiers contre le controle de protection), et verification de la configuration des navigateurs et clients de messagerie. Plus est requis pour les contrats ou l'autorite contractante exige une assurance auditee. Les deux expirent annuellement et requierent un renouvellement.

ISO 27001 satisfait-il les exigences CMMC ou Cyber Essentials ?

Non, ni pour CMMC ni pour Cyber Essentials, mais ISO 27001 soutient fortement la collecte de preuves dans les deux cas. ISO/IEC 27001 est une norme de systeme de management avec un perimetre organisationnel plus large que l'un ou l'autre programme, couvrant la securite de l'information fondee sur le risque a l'echelle de l'organisation. CMMC niveau 2 mappe sur NIST SP 800-171 Rev 2 avec des definitions federales US specifiques du traitement de la CUI qu'ISO 27001 n'adresse pas par defaut. Cyber Essentials est un schema fonde sur des controles, sur cinq controles techniques prescriptifs, distinct de l'approche fondee sur le risque d'ISO 27001. Un ISMS ISO 27001 mature reduit l'effort marginal des deux, mais aucun ne delivre de reciprocite formelle.

Comment fonctionnent les POA&M et les certifications conditionnelles sous CMMC 2.0 ?

CMMC 2.0 autorise un POA&M (Plan of Action and Milestones) sur un ensemble limite de pratiques, sous reserve que le seuil de score soit atteint et que les elements soient remedies dans un delai de 180 jours. Une certification conditionnelle est alors emise, devenant definitive a la cloture des elements POA&M. Les pratiques critiques (celles ponderees le plus lourdement dans le modele de scoring SPRS) ne sont pas eligibles au POA&M et doivent etre implementees au moment de l'evaluation. Les elements POA&M restes ouverts au-dela de la fenetre de 180 jours invalident la certification conditionnelle et necessitent une re-evaluation. C'est l'aspect le plus sensible operationnellement du cycle de vie post-evaluation.

CMMC et UK Cyber Essentials: baselines cyber de defense

Q: CMMC concerne-t-il le produit ou l'environnement IT de l'entreprise ?

CMMC concerne l'environnement IT et OT corporate du contractant, pas le produit livre. Les 110 pratiques de NIST SP 800-171 couvrent le controle d'acces, la journalisation d'audit, la reponse aux incidents, la gestion de configuration et autres controles IT entreprise appliques aux systemes qui traitent de la CUI. La cybersecurite cote produit pour les produits radio et connectes est regie en UE par les actes delegues de la directive RED Article 3(3)(d-f) et largement par IEC 62443 pour l'automatisation industrielle. Confondre conformite CMMC et cybersecurite produit est l'une des erreurs de cadrage les plus frequentes, notamment dans le secteur de la fabrication electronique.

Auteur Hugues Orgitello Mis à jour le 27 mai 2026 ~16 min de lecture

Guide - Baselines cyber de defense et gouvernement

Deux baselines cyber portees par les pouvoirs publics conditionnent desormais l'acces aux chaines d'approvisionnement de defense et du secteur public de part et d'autre de l'Atlantique: CMMC 2.0 (Cybersecurity Maturity Model Certification) cote americain, qui gouverne la base industrielle de defense sous l'autorite du DoD (Department of Defense), et Cyber Essentials avec son niveau audite Cyber Essentials Plus cote britannique, qui gouverne l'acces aux contrats publics du Royaume-Uni sous gouvernance du NCSC via l'IASME Consortium. Les deux sont des schemas d'assurance cybersecurite corporate, pas des regimes de cybersecurite produit. Ils visent le systeme d'information du contractant, son traitement d'informations sensibles, et ses pratiques operationnelles. Pour les fabricants electroniques et integrateurs exposes aux chaines d'approvisionnement defense ou gouvernement, l'absence de l'une ou l'autre baseline ferme l'acces a des categories entieres de contrats, independamment de la conformite produit. Ce guide cartographie les deux schemas, leurs niveaux, les voies d'evaluation, et les pieges de cadrage recurrents.

CMMC 2.0: la baseline de la base industrielle de defense US

La DIB (Defense Industrial Base) est le reseau de contractants et sous-traitants americains et allies soutenant le DoD pour le materiel, le logiciel, les services et la recherche. Elle inclut les contractants principaux, les fournisseurs de composants et sous-systemes, les integrateurs, et une longue traine de petits fournisseurs specialises. CMMC 2.0 est le cadre qui conditionne l'assurance cybersecurite pour tout participant a la DIB manipulant de l'information federale.

Ancrage reglementaire: 32 CFR Part 170 et DFARS 252.204-7021

CMMC 2.0 a ete publie dans 32 CFR Part 170 avec date d'entree en vigueur en decembre 2024. La clause contractuelle qui fait d'un niveau CMMC une condition d'attribution est 48 CFR / DFARS 252.204-7021, Contractor Compliance with the Cybersecurity Maturity Model Certification Level Requirement. La clause est progressivement integree aux appels d'offres DoD jusqu'en 2027, avec priorite donnee aux contrats impliquant de la CUI sur des programmes d'acquisition critiques.

Deux categories distinctes d'information federale dictent le perimetre:

FCI (Federal Contract Information): information fournie par ou generee pour le gouvernement dans le cadre d'un contrat, non destinee a publication; applicabilite large dans la base des contractants.
CUI (Controlled Unclassified Information): information qui necessite des mesures de protection en vertu de la loi, du reglement ou d'une politique gouvernementale, sans pour autant etre classifiee. Exemples: donnees de conception sur des systemes militaires, donnees techniques controlees, informations soumises a controle d'exportation sous ITAR / EAR.

Le niveau exige par un contrat donne depend de l'information FCI ou CUI traitee par le contractant.

Niveau 1, Foundational

CMMC niveau 1 s'applique aux contractants manipulant uniquement de la FCI, sans CUI dans le perimetre. Il couvre les 15 pratiques de protection de base derivees de FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems. Ces pratiques incluent:

les fondamentaux du controle d'acces (identification et authentification des utilisateurs, limitation aux utilisateurs autorises),
les fondamentaux de la protection des supports (assainissement avant destruction),
la protection physique des installations et des equipements,
la protection des systemes et des communications (protection des frontieres),
l'integrite des systemes et de l'information (protection anti-malware, traitement des alertes de securite).

L'evaluation est realisee par auto-evaluation annuelle avec attestation d'un dirigeant, sans tiers. Le resultat est enregistre dans SPRS (Supplier Performance Risk System), le referentiel central de scoring du risque fournisseur du DoD.

Niveau 2, Advanced

CMMC niveau 2 s'applique aux contractants manipulant de la CUI. Il couvre les 110 pratiques de NIST SP 800-171 Rev 2, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, publie en fevrier 2020. Ces pratiques sont organisees en 14 familles:

controle d'acces,
sensibilisation et formation,
audit et traceabilite,
gestion de configuration,
identification et authentification,
reponse aux incidents,
maintenance,
protection des supports,
securite du personnel,
protection physique,
evaluation des risques,
evaluation de la securite,
protection des systemes et des communications,
integrite des systemes et de l'information.

Chaque pratique porte un poids (1, 3 ou 5 points) dans le modele de scoring NIST SP 800-171, avec un score SPRS maximal de 110 lorsque toutes les pratiques sont pleinement implementees.

L'evaluation est differenciee:

Pour les acquisitions prioritaires (typiquement les contrats impliquant de la CUI sur des programmes critiques), l'evaluation est realisee par un C3PAO (CMMC Third Party Assessor Organization) accredite par le Cyber AB (CMMC Accreditation Body). Une evaluation reussie donne un certificat CMMC niveau 2 valable trois ans.
Pour les acquisitions non prioritaires, l'evaluation est par auto-evaluation avec attestation d'un dirigeant, enregistree dans SPRS, valable un an.

La separation est fixee par le contrat; le contractant ne choisit pas la voie.

Niveau 3, Expert

CMMC niveau 3 s'applique aux contractants manipulant de la CUI sur les programmes DoD les plus sensibles. Il ajoute un sous-ensemble des pratiques de NIST SP 800-172 au-dessus du socle niveau 2. NIST SP 800-172, Enhanced Security Requirements for Protecting CUI (publie en fevrier 2021), fournit 35 pratiques renforcees; CMMC niveau 3 en retient environ 24.

L'evaluation est conduite par le DIBCAC (Defense Industrial Base Cybersecurity Assessment Center), le bras d'evaluation propre du DoD. Il n'y a pas de voie tierce au niveau 3, et la certification est valable trois ans.

POA&M et certifications conditionnelles

Un POA&M (Plan of Action and Milestones) est autorise sous CMMC 2.0 sur un ensemble limite de pratiques, sous reserve que:

le score d'evaluation atteigne le seuil (typiquement 80 % du maximum, avec contraintes sur les pratiques eligibles),
les pratiques critiques (celles portant un poids 5 dans le modele de scoring SPRS) ne soient pas en POA&M,
les elements POA&M soient clos dans un delai de 180 jours apres l'evaluation.

Le contractant recoit une certification conditionnelle qui devient definitive a la cloture de tous les elements POA&M. Un element POA&M reste ouvert au-dela de la fenetre de 180 jours invalide la certification conditionnelle et declenche une re-evaluation. La gestion du cycle de vie POA&M est l'aspect le plus sensible operationnellement de la conformite CMMC, particulierement pour les organisations a equipe cybersecurite interne reduite.

SPRS et l'auto-evaluation NIST 800-171 existante

Le SPRS (Supplier Performance Risk System) est le referentiel central du DoD pour les informations de risque fournisseur, incluant le score d'auto-evaluation NIST SP 800-171 requis depuis 2020 sous DFARS 252.204-7012 et 252.204-7019 / 7020. Un contractant DIB manipulant de la CUI a typiquement deja depose un score d'auto-evaluation dans SPRS.

CMMC niveau 2 s'appuie directement sur cette base: les 110 pratiques sont identiques, le modele de scoring est le meme, seule la voie d'evaluation change (auto-evaluation seule de 2020 a 2024, certification formelle par C3PAO ou DIBCAC sous CMMC). Une organisation avec un score SPRS eleve existant et des preuves documentees a des delais materiellement plus courts pour la certification niveau 2.

Cout CMMC: a quoi s'attendre

Le cout varie selon la taille de l'entreprise, l'ampleur du traitement de CUI, la posture de securite existante et la voie d'evaluation (auto-evaluation vs C3PAO vs DIBCAC). Le DoD a publie des estimations de cout dans la regle finale a 32 CFR Part 170, ventilees par niveau, type d'evaluation et cycle (initial, attestation, surveillance). Des points de donnees pilotes existent depuis les evaluations C3PAO conduites en 2024 et 2025, mais varient largement. Il convient de se referer aux estimations de cout DoD publiees plutot qu'aux chiffres publies par les prestataires, qui refletent souvent un cas de cadrage etroit.

UK Cyber Essentials: la baseline britannique

Le regime equivalent britannique est structurellement plus simple: un schema unique a deux niveaux (basique et Plus), construit sur cinq controles techniques prescriptifs, administre par un organisme d'accreditation unique depuis 2020.

Ancrage reglementaire et institutionnel: NCSC et IASME

Le schema est detenu par le NCSC (National Cyber Security Centre), l'autorite technique du gouvernement britannique en cybersecurite (partie du GCHQ). La livraison operationnelle et l'accreditation des assesseurs sont conduites par l'IASME Consortium, designe par le NCSC comme seul organisme d'accreditation pour Cyber Essentials en 2020 (il avait auparavant ete l'un de plusieurs). IASME accredite un reseau d'organismes de certification, qui a leur tour emploient ou sous-traitent des assesseurs certifies IASME habilites a delivrer les evaluations Cyber Essentials et Cyber Essentials Plus.

Perimetre obligatoire pour les contrats publics britanniques

Cyber Essentials est requis pour de nombreux contrats du gouvernement central britannique depuis 2014, particulierement ceux impliquant:

le traitement d'informations personnelles,
le traitement d'informations sensibles,
la fourniture de services ou produits ICT.

Le MOD (Ministry of Defence) exige Cyber Essentials sur de nombreux contrats de sa chaine d'approvisionnement, avec Cyber Essentials Plus obligatoire dans les niveaux les plus sensibles. Au-dela du secteur public, Cyber Essentials est largement demande par les acheteurs prives des secteurs regules (services financiers, sante, infrastructures critiques) et comme prerequis contractuel par les grands integrateurs repercutant l'exigence sur leurs fournisseurs.

Cinq controles techniques

Le schema repose sur cinq controles techniques definis de maniere prescriptive, pas fondes sur le risque:

Firewalls (pare-feu): chaque equipement doit etre protege par un pare-feu correctement configure (ou equivalent reseau); mots de passe administrateur par defaut changes; services entrants restreints a ceux requis et autorises.
Secure configuration (configuration securisee): equipements et logiciels configures pour reduire les vulnerabilites; comptes par defaut supprimes ou renommes; services inutiles desactives; auto-execution desactivee sur les supports amovibles.
User access control (controle d'acces utilisateur): comptes utilisateur attribues aux seuls individus autorises; privileges administratifs accordes uniquement lorsque necessaire; authentification multi-facteur sur les services cloud; exigences mots de passe alignees sur les recommandations NCSC.
Malware protection (protection contre les malwares): logiciel anti-malware, allow-listing applicatif ou sandboxing; signatures a jour; analyse temps reel lorsque applicable.
Security update management (gestion des mises a jour de securite): logiciels sous licence et supportes; mises a jour de securite appliquees dans les delais definis par le schema (typiquement 14 jours apres publication pour les vulnerabilites elevees ou critiques).

L'ensemble des controles est mis a jour periodiquement par le NCSC et IASME (l'iteration actuelle en vigueur est referencee par IASME sous une version nommee, avec rafraichissement periodique); les fabricants doivent referencer la version active du schema sur les sites NCSC et IASME au moment de l'evaluation.

Cyber Essentials, niveau basique

Le niveau basique est delivre sur auto-evaluation verifiee:

Le candidat remplit le questionnaire IASME, mappant chacun des cinq controles au parc IT en perimetre (IT corporate, BYOD lorsque utilise pour le travail, services cloud, postes de travail).
Le questionnaire est examine par un assesseur certifie IASME.
Sur examen favorable, le certificat est emis et l'organisation est listee dans l'annuaire IASME.
Le certificat est valable 12 mois et requiert un renouvellement annuel.

Le niveau basique est structurellement proche d'un regime declaratif avec verification documentaire par l'assesseur. Il n'inclut pas d'audit technique pratique.

Cyber Essentials Plus, niveau audite

Le niveau Plus couvre les memes cinq controles mais ajoute un audit technique pratique par l'assesseur certifie IASME, incluant typiquement:

scan de vulnerabilites externes des actifs exposes a Internet, recherchant les vulnerabilites connues et les services non patches,
scan de vulnerabilites interne d'un echantillon representatif de postes de travail,
test de detection malware (detonation de fichiers test contre le controle de protection anti-malware, pour verifier qu'il les bloque effectivement),
test de configuration des navigateurs et clients de messagerie, verifiant que les defauts s'alignent sur le schema (pas d'execution de scripts non signes sur les pieces jointes, pas d'auto-execution des supports amovibles, etc.).

L'echec sur l'un des elements d'audit, y compris un navigateur non patche sur un poste de l'echantillon, conduit a la non-emission du certificat jusqu'a remediation. Plus est valable 12 mois et requiert un renouvellement annuel.

IASME Cyber Assurance: l'alternative britannique a ISO 27001

Pour les PME ayant besoin d'une assurance au niveau systeme de management sans le cout et la complexite d'ISO 27001, IASME opere egalement IASME Cyber Assurance (anciennement IASME Governance), un referentiel developpe au Royaume-Uni aligne sur ISO 27001 mais plus accessible. Il est typiquement associe a Cyber Essentials et joue un role comparable a celui d'ISO 27001, de la meme maniere que Cyber Essentials joue un role comparable a un sous-ensemble fonde sur des controles d'ISO/IEC 27001.

CMMC et Cyber Essentials cote a cote

Les deux schemas partagent une philosophie commune (assurance cybersecurite corporate conditionnant l'acces aux chaines d'approvisionnement publiques) mais different sur la structure:

Critere	CMMC 2.0	Cyber Essentials / Plus
Juridiction	Etats-Unis, DoD	Royaume-Uni, NCSC
Gouvernance	DoD CIO, Cyber AB, C3PAOs, DIBCAC	NCSC, IASME Consortium (seul organisme d'accreditation depuis 2020)
Niveaux	L1 (Foundational), L2 (Advanced), L3 (Expert)	Cyber Essentials (basique), Cyber Essentials Plus (audite)
Referentiel	NIST SP 800-171 Rev 2 (L2), NIST SP 800-172 (sous-ensemble L3)	Schema NCSC Cyber Essentials, cinq controles
Voie d'evaluation	Auto-evaluation, C3PAO ou DIBCAC selon niveau	Auto-evaluation verifiee (basique), audite (Plus)
Validite du certificat	3 ans (L2 C3PAO, L3 DIBCAC), 1 an (auto-evaluation)	12 mois, renouvellement annuel
Type d'information en perimetre	FCI (L1), CUI (L2, L3)	Information de contrat public britannique largement
Clause contractuelle	DFARS 252.204-7021	Exigences fournisseurs UK depuis 2014
Modele de maturite	Pratique-based, prescriptif	Controle-based, prescriptif
Reconnaissance mutuelle	Aucune avec schemas non-US	Aucune avec schemas non-UK
Systeme de management adjacent	ISO 27001 soutient les preuves	ISO 27001 ou IASME Cyber Assurance

Aucun des deux schemas ne delivre de reciprocite avec l'autre. Un contractant americain disposant d'un certificat CMMC niveau 2 ne peut pas utiliser ce certificat pour satisfaire une exigence Cyber Essentials britannique, et reciproquement. Une organisation operant des deux cotes de l'Atlantique doit obtenir les deux schemas si elle repond a des contrats des deux cotes.

Considerations transversales

Quelques points de cadrage recurrent en pratique meritent d'etre explicites, notamment pour les fabricants electroniques et integrateurs.

ISO 27001 couvre un perimetre plus large mais ne satisfait pas CMMC ou Cyber Essentials

ISO/IEC 27001 est la norme internationale de systeme de management pour la securite de l'information. Son perimetre est plus large (ISMS fonde sur le risque a l'echelle de l'organisation) que CMMC (ensemble de controles specifique sur les systemes traitant la CUI) ou Cyber Essentials (cinq controles techniques prescriptifs). Un ISMS ISO 27001 mature:

soutient la collecte de preuves CMMC sur nombre des 110 pratiques NIST SP 800-171, particulierement dans les familles evaluation des risques, evaluation de la securite et reponse aux incidents,
soutient la collecte de preuves Cyber Essentials sur la gestion de configuration, le controle d'acces et la gestion des mises a jour,
ne delivre pas par lui-meme l'un ou l'autre certificat.

Des tables de correspondance existent entre NIST SP 800-171 et les controles Annexe A d'ISO 27001, mais ne sont pas formellement reconnues comme reciprocite par le DoD ou par IASME.

NIS 2 et DORA: regimes UE adjacents

Pour les organisations avec exposition UE, deux regimes adjacents recoupent CMMC et Cyber Essentials en ampleur d'effort sans delivrer de reciprocite:

la directive NIS 2 (Network and Information Security Directive 2, directive UE 2022/2555), en vigueur depuis janvier 2023 et transposee nationalement jusqu'en 2024, s'applique aux entites essentielles et importantes incluant certains fabricants et integrateurs des secteurs infrastructure numerique et services ICT,
DORA (Digital Operational Resilience Act, reglement UE 2022/2554), applicable depuis janvier 2025, s'applique aux entites financieres et a leurs prestataires ICT tiers critiques.

Les deux imposent des regimes d'assurance cybersecurite corporate structurellement comparables a CMMC et Cyber Essentials, mais avec perimetre juridictionnel UE et voies d'evaluation propres. Un fabricant touchant plusieurs regimes affronte un effort de conformite multiplie, avec de fortes opportunites de reutilisation des preuves mais sans reciprocite formelle.

Cyber produit vs cyber corporate

C'est la confusion de cadrage la plus frequente dans le secteur de la fabrication electronique. CMMC, Cyber Essentials et les regimes cyber corporate adjacents (NIS 2, DORA, ISO 27001) concernent l'environnement IT et OT du contractant lui-meme, pas le produit livre au client. Ils couvrent le controle d'acces, la journalisation, la reponse aux incidents, la gestion de configuration des systemes corporate.

La cybersecurite cote produit pour les produits radio et connectes est regie par un autre ensemble de regimes:

en UE, les actes delegues de la directive RED Article 3(3)(d), (e), (f), avec norme harmonisee EN 18031 applicable depuis aout 2025 (traite dans Checklist RED Article 3(3)(d-f) cybersecurite),
en UE, le Cyber Resilience Act (CRA, reglement UE 2024/2847), traite dans Cyber Resilience Act (CRA),
pour l'automatisation industrielle, la famille de normes IEC 62443,
pour l'IoT grand public, ETSI EN 303 645, traite dans EN 303 645 cybersecurite IoT,
pour les modules cryptographiques, FIPS 140-3, traite dans FIPS 140-3 modules cryptographiques,
pour la certification produit haut niveau d'assurance, les Criteres Communs (ISO/IEC 15408), traites dans Criteres Communs ISO 15408, et le schema national francais CSPN dans CSPN ANSSI.

Un fournisseur defense doit adresser les deux axes: cyber corporate via CMMC et Cyber Essentials, plus cyber produit via le regime cote produit applicable. Confondre les deux est l'erreur de cadrage typique des nouveaux entrants.

Voir aussi

Pieges recurrents

Plusieurs erreurs reviennent dans les projets CMMC et Cyber Essentials menes par les fabricants electroniques et integrateurs.

Confondre CMMC et cybersecurite produit. CMMC concerne l'environnement IT corporate du contractant, pas le produit. Implementer IEC 62443 sur une ligne de produits ne contribue pas a la conformite CMMC, et reciproquement.
System Security Plan (SSP) manquant ou incomplet. Le SSP est le document de cadrage fondateur de tout dossier NIST SP 800-171 / CMMC niveau 2. Il definit la frontiere de l'environnement en perimetre, les flux de donnees, l'inventaire des actifs CUI, et l'implementation de chacune des 110 pratiques. Un SSP absent ou faible est la cause la plus courante d'echec d'evaluation.
Elements POA&M laisses expirer. Une certification CMMC conditionnelle devient nulle si les elements POA&M restent ouverts a l'echeance de 180 jours. Les organisations sous-estiment l'effort de remediation et perdent le certificat conditionnel, declenchant une re-evaluation complete.
Cyber Essentials Plus echouant sur un navigateur non patche. Le test de configuration des navigateurs et clients de messagerie de l'audit Plus detecte les postes avec versions de navigateur obsoletes. Un seul poste echantillonne non conforme peut faire echouer l'audit complet. La gestion des correctifs sur les postes de travail doit etre rigoureuse dans les semaines precedant l'audit.
Rotation des assesseurs IASME entrainant un effort de re-evaluation. Lorsque l'assesseur certifie IASME initial change de centre de certification ou quitte le reseau, la continuite relationnelle est perdue. Le renouvellement au sein du meme organisme est recommande lorsque la relation avec l'assesseur est operationnellement critique.
Cadrer l'environnement en perimetre trop large ou trop etroit. Une frontiere SSP trop large multiplie la charge de preuve sur l'ensemble de l'organisation; trop etroite risque d'exclure des systemes qui touchent la CUI et d'invalider la certification. Des revues de cadrage avec des consultants experimentes dans les mois precedant l'evaluation sont rentables.
Supposer qu'un score SPRS eleve garantit la certification CMMC niveau 2. L'auto-evaluation SPRS utilise les memes 110 pratiques mais un standard de preuve moins rigoureux qu'une evaluation C3PAO. Un score de 105 dans SPRS ne garantit pas une evaluation C3PAO favorable si les preuves sur les pratiques sous-jacentes sont minces.
Traiter ISO 27001 comme un substitut. Aucun des deux schemas n'accepte ISO 27001 comme equivalent. ISO 27001 soutient la collecte de preuves mais ne delivre pas le certificat. Les organisations certifiees ISO 27001 doivent encore passer CMMC et Cyber Essentials separement.
Cycles de renouvellement manques. Cyber Essentials et Plus expirent annuellement; CMMC niveaux 2 et 3 expirent apres trois ans. Laisser l'un ou l'autre expirer rompt l'eligibilite contractuelle. Le renouvellement doit etre planifie trois a six mois avant expiration.
Sous-estimer le perimetre BYOD pour Cyber Essentials. Les terminaux personnels utilises pour le courrier electronique professionnel ou l'acces VPN sont dans le perimetre de Cyber Essentials. De nombreuses organisations le decouvrent tard et constatent que les terminaux BYOD echouent aux controles techniques (pare-feux non geres, versions d'OS non supportees).

Synthese

CMMC 2.0 est la baseline US DoD pour la base industrielle de defense, ancree dans 32 CFR Part 170 (en vigueur decembre 2024) et DFARS 252.204-7021 (deploiement progressif jusqu'en 2027). Trois niveaux: L1 Foundational (15 pratiques de FAR 52.204-21, auto-evaluation), L2 Advanced (110 pratiques de NIST SP 800-171 Rev 2, C3PAO ou auto-evaluation selon contrat), L3 Expert (sous-ensemble de NIST SP 800-172, evaluation DIBCAC).
Cyber Essentials est la baseline britannique sous gouvernance NCSC via l'IASME Consortium (seul organisme d'accreditation depuis 2020), fondee sur cinq controles techniques (pare-feu, configuration securisee, controle d'acces utilisateur, protection anti-malware, gestion des mises a jour de securite). Requis pour de nombreux contrats publics britanniques depuis 2014.
Cyber Essentials Plus ajoute un audit technique pratique (scans de vulnerabilites, test malware, configuration navigateurs/messagerie) par un assesseur certifie IASME.
Les deux schemas concernent l'environnement IT corporate du contractant, pas le produit. La cybersecurite produit est regie ailleurs: RED Article 3(3)(d-f), CRA, IEC 62443, EN 303 645, FIPS 140-3, Criteres Communs.
ISO 27001 soutient la collecte de preuves dans les deux schemas mais ne delivre aucune reciprocite formelle.
Aucune reconnaissance mutuelle entre CMMC et Cyber Essentials. Un fournisseur transatlantique a besoin des deux.
Le POA&M sous CMMC 2.0 permet une certification conditionnelle sous reserve que les elements soient remedies dans 180 jours; expiration entraine annulation de la certification. Les pratiques critiques ne sont pas eligibles au POA&M.
Renouvellement: 12 mois pour Cyber Essentials et Plus, 3 ans pour CMMC niveaux 2 (C3PAO) et 3 (DIBCAC). La planification de renouvellement doit demarrer plusieurs mois avant.
Pour une cartographie plus large des certifications de cybersecurite, voir Cyber Resilience Act (CRA), EN 303 645 cybersecurite IoT, FIPS 140-3 modules cryptographiques, Criteres Communs ISO 15408, CSPN ANSSI, Checklist RED, et le Glossaire pour les definitions.

Sources & références

CMMC 2.0 Program, 32 CFR Part 170 , Office of the Federal Register www.ecfr.gov/current/title-32/subtitle-A/chapter-I/subchapter-D/part-170
DFARS 252.204-7021, Contractor Compliance with the CMMC Level Requirement , Defense Acquisition Regulations System www.acquisition.gov/dfars/252.204-7021-contractor-compliance-cybersecurity-maturity-model-certification-level-requirement
NIST SP 800-171 Rev 2, Protecting Controlled Unclassified Information in Nonfederal Systems , National Institute of Standards and Technology csrc.nist.gov/pubs/sp/800/171/r2/final
NIST SP 800-172, Enhanced Security Requirements for Protecting CUI , National Institute of Standards and Technology csrc.nist.gov/pubs/sp/800/172/final
NCSC Cyber Essentials scheme , National Cyber Security Centre www.ncsc.gov.uk/cyberessentials/overview
IASME Consortium, Cyber Essentials delivery partner , IASME Consortium iasme.co.uk/cyber-essentials/
DoD CIO, CMMC Program Resources , Department of Defense Chief Information Officer dodcio.defense.gov/CMMC/