Articles
·
CMMC
·
14.07.2026

Suspension de la Phase II du CMMC : ce que les entreprises doivent savoir

Le 13 juillet 2026, le Département de la Guerre des États-Unis (DoW) a annoncé la suspension temporaire de la mise en œuvre de la Phase II du programme Cybersecurity Maturity Model Certification (CMMC). Cette phase devait entrer en vigueur le 10 novembre 2026. La suspension s'applique pour une période d'au moins 60 jours.

Pour rappel, la Phase II prévoyait qu'à partir du 10 novembre 2026, une certification CMMC Niveau 2 délivrée par une tierce partie accréditée (C3PAO) serait exigée pour les contrats de la Défense américaine.

Pourquoi cette suspension

Le DoW indique que le processus actuel de certification s'est révélé trop lourd et trop coûteux. Parmi les motifs évoqués : un fardeau bureaucratique important, un nombre d'auditeurs (C3PAO) accrédités nettement insuffisant par rapport au nombre d'entreprises à certifier, et des coûts difficiles à absorber ou à justifier pour les petits sous-traitants.

Au cours des prochaines semaines, le DoW procédera à une révision du programme afin de réévaluer le processus de certification, de réduire le fardeau administratif et de mieux l'aligner avec ses orientations.

Source officielle : https://dodcio.defense.gov/cmmc/Resources-Documentation/

Ce que la suspension change (et ce qu'elle ne change pas)

À ce jour, seule l'exigence d'obtenir une certification CMMC Niveau 2 réalisée par un C3PAO est suspendue temporairement, pour une période d'au moins 60 jours. Toutes les autres exigences demeurent en vigueur et inchangées :

  • Les organisations qui traitent des renseignements non classifiés contrôlés (CUI) doivent continuer à maintenir les contrôles de sécurité exigés par leurs obligations contractuelles. Toutes les obligations DFARS applicables restent en vigueur.
  • La conformité au NIST SP 800-171 Rev.2 demeure obligatoire.
  • Les auto-évaluations (self-assessments) CMMC Niveau 1 et Niveau 2 restent obligatoires, et les contrats du DoW vont continuer à les exiger.
  • La soumission annuelle du score SPRS demeure requise lorsque le contrat l'exige.
  • Une personne de la haute direction doit continuer à produire une affirmation annuelle confirmant la conformité au NIST SP 800-171 Rev.2.
  • Le DoW se réserve le droit de mener des audits aléatoires et non planifiés pour vérifier le niveau de conformité réelle.

Un point mérite une attention particulière : toute information inexacte fournie lors d'une auto-évaluation, par exemple un score SPRS erroné, pourrait être interprétée par le DoW comme une tentative de fraude. Les organisations concernées s'exposeraient à des conséquences en vertu de la False Claims Act.

Ce que les organisations devraient envisager

À ce stade, poursuivre les démarches de mise en conformité au CMMC et au NIST SP 800-171 Rev.2 demeure la voie la plus prudente pour toute organisation qui traite du CUI.

Les travaux déjà entrepris conservent toute leur valeur. L'implantation des contrôles de sécurité, la rédaction des politiques et des procédures, l'élaboration du System Security Plan (SSP) et la collecte des preuves continueront d'améliorer la posture de cybersécurité, peu importe les ajustements qui seront apportés au programme.

Le DoW continuera d'exiger que les organisations démontrent un niveau de conformité approprié aux exigences applicables. Maintenir la conformité aux 110 contrôles du NIST SP 800-171 Rev.2, lorsqu'ils s'appliquent, reste donc essentiel. Cette suspension vise le mécanisme de certification par tierce partie, et non la norme de sécurité sous-jacente.

Nous suivons la situation

Le programme CMMC entre dans une période de révision dont les conclusions ne sont pas encore connues. StreamScan suit de près l'évolution du dossier et publiera des mises à jour à mesure que le DoW précisera ses orientations et ses décisions finales.

Pour discuter de l'incidence de cette annonce sur un projet de conformité CMMC, communiquez avec notre équipe.