Le 13 juillet 2026, le Département de la Guerre des États-Unis (DoW) a annoncé la suspension temporaire de la mise en œuvre de la Phase II du programme Cybersecurity Maturity Model Certification (CMMC). Cette phase devait entrer en vigueur le 10 novembre 2026. La suspension s'applique pour une période d'au moins 60 jours.
Pour rappel, la Phase II prévoyait qu'à partir du 10 novembre 2026, une certification CMMC Niveau 2 délivrée par une tierce partie accréditée (C3PAO) serait exigée pour les contrats de la Défense américaine.
Le DoW indique que le processus actuel de certification s'est révélé trop lourd et trop coûteux. Parmi les motifs évoqués : un fardeau bureaucratique important, un nombre d'auditeurs (C3PAO) accrédités nettement insuffisant par rapport au nombre d'entreprises à certifier, et des coûts difficiles à absorber ou à justifier pour les petits sous-traitants.
Au cours des prochaines semaines, le DoW procédera à une révision du programme afin de réévaluer le processus de certification, de réduire le fardeau administratif et de mieux l'aligner avec ses orientations.
Source officielle : https://dodcio.defense.gov/cmmc/Resources-Documentation/
À ce jour, seule l'exigence d'obtenir une certification CMMC Niveau 2 réalisée par un C3PAO est suspendue temporairement, pour une période d'au moins 60 jours. Toutes les autres exigences demeurent en vigueur et inchangées :
Un point mérite une attention particulière : toute information inexacte fournie lors d'une auto-évaluation, par exemple un score SPRS erroné, pourrait être interprétée par le DoW comme une tentative de fraude. Les organisations concernées s'exposeraient à des conséquences en vertu de la False Claims Act.
À ce stade, poursuivre les démarches de mise en conformité au CMMC et au NIST SP 800-171 Rev.2 demeure la voie la plus prudente pour toute organisation qui traite du CUI.
Les travaux déjà entrepris conservent toute leur valeur. L'implantation des contrôles de sécurité, la rédaction des politiques et des procédures, l'élaboration du System Security Plan (SSP) et la collecte des preuves continueront d'améliorer la posture de cybersécurité, peu importe les ajustements qui seront apportés au programme.
Le DoW continuera d'exiger que les organisations démontrent un niveau de conformité approprié aux exigences applicables. Maintenir la conformité aux 110 contrôles du NIST SP 800-171 Rev.2, lorsqu'ils s'appliquent, reste donc essentiel. Cette suspension vise le mécanisme de certification par tierce partie, et non la norme de sécurité sous-jacente.
Le programme CMMC entre dans une période de révision dont les conclusions ne sont pas encore connues. StreamScan suit de près l'évolution du dossier et publiera des mises à jour à mesure que le DoW précisera ses orientations et ses décisions finales.
Pour discuter de l'incidence de cette annonce sur un projet de conformité CMMC, communiquez avec notre équipe.