Les nouvelles clauses contractuelles CMMC 2.0 proposées par le ministère américain de la Défense augmentent les risques de non-conformité pour les entrepreneurs

À l'heure actuelle, les entrepreneurs et sous-traitants du secteur de la défense devraient connaître le programme CMMC (Cybersecurity Maturity Model Certification) 2.0, un ensemble de contrôles obligatoires en matière de cybersécurité imposés par le ministère américain de la Défense (DoD) afin de renforcer la sécurité de certaines informations stockées ou transmises par les systèmes d'information des entrepreneurs et sous-traitants du secteur de la défense. Le 15 août 2024, le DoD a franchi une étape importante dans le déploiement du programme CMMC 2.0 en proposant des modifications à ses règlements en matière d'approvisionnement et à ses clauses contractuelles afin de clarifier la manière dont il prévoit d'imposer les exigences de sécurité CMMC 2.0 aux entrepreneurs de la défense et de les appliquer contractuellement.

Les entrepreneurs ont jusqu'au 15 octobre 2024 pour soumettre leurs commentaires sur ces modifications proposées au Defense Federal Acquisition Regulation Supplement (DFARS). Les dispositions nouvelles ou révisées du DFARS proposées dans cette nouvelle règle ne seront pas intégrées dans les contrats du DoD tant que celui-ci n'aura pas publié une règle définitive après l'expiration de la période de commentaires.

Contexte du CMMC 2.0

Le DoD désigne la version actuelle du CMMC sous le nom de « CMMC 2.0 », reflétant ainsi l'évolution du programme depuis la version initiale proposée par le DoD en 2020. Pour rappel, le CMMC 2.0 établit trois « niveaux CMMC », chaque niveau correspondant à un ensemble particulier d'exigences en matière de cybersécurité dont la rigueur augmente à mesure que les niveaux progressent. Le niveau CMMC 1 s'appliquerait aux contrats qui exigent du contractant qu'il stocke, traite ou transmette uniquement des informations contractuelles fédérales (FCI), et non la catégorie de données plus sensibles appelées informations contrôlées non classifiées (CUI). Le niveau CMMC 2 s'appliquerait aux contrats exigeant que le contractant ou les sous-traitants stockent, traitent ou transmettent des CUI à l'aide des systèmes d'information du contractant. Le niveau CMMC 3, le niveau de sécurité le plus élevé, ne s'appliquerait qu'aux contrats spécifiques nécessitant un niveau de cybersécurité plus élevé.

Le DoD a proposé différents types d'évaluations de sécurité pour les différents niveaux CMMC. Pour tous les contrats CMMC de niveau 1 et pour certains contrats CMMC de niveau 2, les sous-traitants doivent effectuer une auto-évaluation de leur conformité aux contrôles requis. D'autres contrats CMMC de niveau 2 exigeraient une évaluation du système d'information du sous-traitant par un organisme d'évaluation tiers CMMC (C3PAO). Les contrats de niveau 3 du CMMC nécessitent également une évaluation externe de la conformité, mais celle-ci sera effectuée par un évaluateur du DoD plutôt que par une C3PAO.

Le DoD prévoit de déployer le programme CMMC sur une période de trois ans, à compter du premier trimestre 2025. À l'issue de cette période, tous les principaux contractants et sous-traitants du DoD devront se conformer aux exigences applicables de la clause contractuelle CMMC, à l'exception des contrats ou sous-contrats portant exclusivement sur des articles disponibles dans le commerce (COTS).

Veiller au respect de la norme CMMC 2.0 par les entrepreneurs

La règle récemment proposée révèle comment le DoD entend faire respecter les exigences de sécurité CMMC 2.0 par les entrepreneurs et sous-traitants du secteur de la défense, notamment comment les agents contractuels du DoD vérifieront la conformité CMMC 2.0 comme condition préalable à l'attribution d'un nouveau contrat à un entrepreneur ou même à l'exercice d'options dans le cadre d'un contrat existant.

• Pas de CMMC, pas de récompense

La règle proposée formalise la procédure que les agents contractuels utiliseront pour vérifier qu'un entrepreneur dispose de la certification ou de l'auto-évaluation CMMC requise avant de lui attribuer un contrat. Avant d'attribuer un contrat, les agents contractuels consulteront le Supplier Performance Risk System (SPRS) afin de confirmer que le soumissionnaire apparemment retenu dispose des résultats d'un certificat CMMC ou d'une auto-évaluation en cours de validité, enregistrés au niveau CMMC requis dans l'appel d'offres. Dans le cadre de cette détermination d'éligibilité, l'agent contractuel peut demander au soumissionnaire apparemment retenu de fournir le ou les identifiants uniques du DoD délivrés par le SPRS pour chaque système d'information du contractant qui traitera, stockera ou transmettra des FCI ou des CUI pendant l'exécution du contrat ou de la commande à attribuer dans le cadre de l'appel d'offres. Les soumissionnaires qui ne disposent pas d'un certificat CMMC ou d'une auto-évaluation à jour au niveau requis pour chacun de ces systèmes d'information des contractants ne seront pas éligibles à l'attribution du contrat.

• Maintenir un certificat CMMC « à jour » ou une auto-évaluation

Non seulement les entrepreneurs doivent disposer d'un certificat CMMC ou d'une auto-évaluation à jour pour pouvoir prétendre à l'attribution d'un contrat, d'une tâche ou d'un bon de commande, mais ils doivent également le conserver pendant toute la durée du contrat, de la tâche ou du bon de commande. Le responsable des marchés ne peut exercer une option si la certification CMMC ou l'auto-évaluation de l'entrepreneur n'est plus à jour. La définition du terme « à jour » varie en fonction du niveau CMMC requis. Pour le niveau CMMC 1, qui ne nécessite qu'une auto-évaluation, celle-ci doit avoir été effectuée au cours de l'année écoulée. Pour le niveau CMMC 2, le certificat tiers ou l'auto-évaluation du contractant ne doit pas dater de plus de trois ans. Pour le niveau CMMC 3, le certificat d'évaluation du DoD ne doit pas dater de plus de trois ans. Pour les trois niveaux CMMC, la définition de « valide » inclut l'exigence qu'il n'y ait eu « aucun changement dans la conformité CMMC » depuis la date de l'évaluation ou du certificat concerné.

• Exigences en matière de notification

La règle proposée exigerait également que les entrepreneurs informent le bureau des contrats dans les 72 heures « en cas de faille dans la sécurité des informations ou de changement dans le statut du certificat CMMC ou des niveaux d'auto-évaluation CMMC pendant l'exécution du contrat ». La règle proposée ne définit pas précisément ce que le DoD entend par « failles dans la sécurité des informations ». Dans la mesure où le DoD entend que ce terme englobe les « incidents cybernétiques » tels qu'ils sont utilisés dans le DFARS 252.204-7012, les entrepreneurs sont déjà tenus de signaler les « incidents cybernétiques » qui affectent leurs systèmes d'information couverts dans les 72 heures suivant leur découverte. Toutefois, la notification CMMC proposée ajouterait une nouvelle charge pour les entrepreneurs, car elle les obligerait à informer le responsable des contrats individuel pour chaque contrat du DoD contenant une exigence de certification ou d'évaluation CMMC, contrairement à l'exigence actuelle de signalement des « cyberincidents », qui permet aux entrepreneurs de déposer un rapport unique et centralisé via le portail didbnet.dod.mil.

• Veiller au respect des obligations des sous-traitants

Les obligations de conformité CMMC s'appliquent à tous les niveaux de la chaîne d'approvisionnement qui stockent, traitent ou transmettent des FCI ou des CUI sur leurs systèmes d'information, ce qui signifie que les entrepreneurs et les sous-traitants doivent également s'assurer qu'ils prennent les mesures nécessaires pour garantir que leurs propres sous-traitants et fournisseurs disposent du certificat ou de l'évaluation CMMC « actuel » requis. Les entrepreneurs doivent établir les exigences correctes en matière de niveau CMMC pour les contrats de sous-traitance et s'assurer que tous les sous-traitants obtiennent le niveau CMMC requis, ou supérieur, avant d'attribuer un contrat de sous-traitance. Les entrepreneurs doivent également répercuter la clause contractuelle CMMC (DFARS 252.204-7021) dans les contrats de sous-traitance relevant de contrats avec un niveau CMMC requis, sauf si le contrat de sous-traitance concerne uniquement l'acquisition d'articles commerciaux prêts à l'emploi (COTS). Les achats de services ou de produits commerciaux qui ne sont pas des articles COTS doivent satisfaire à toutes les exigences CMMC applicables. Enfin, les entrepreneurs doivent s'assurer que tous les sous-traitants et fournisseurs se conforment et confirment leur conformité continue aux exigences de sécurité CMMC applicables au sous-traitant sur la base du niveau CMMC applicable attribué au contrat de sous-traitance.

L'un des défis que le DoD n'a pas résolu dans la règle proposée est le manque de visibilité des entrepreneurs de niveau supérieur sur le statut CMMC de leurs sous-traitants. Alors qu'un agent contractuel du DoD peut simplement consulter le statut CMMC d'une entreprise dans le SPRS, les entrepreneurs ne peuvent pas accéder aux dossiers SPRS de leurs sous-traitants ou fournisseurs potentiels. Les entrepreneurs devront donc probablement exiger des sous-traitants potentiels qu'ils soumettent des certifications attestant qu'ils disposent de la certification ou de l'évaluation CMMC requise au niveau nécessaire pour l'exécution du contrat.

• Points clés à retenir pour les entrepreneurs

Même si le DoD pourrait finalement modifier certains aspects de la règle proposée en fonction des commentaires reçus, le message global qui ressort de cette proposition est clair : le DoD va de l'avant avec son plan triennal de mise en œuvre du CMMC 2.0, et les sous-traitants doivent commencer à se préparer à ces changements s'ils ne l'ont pas déjà fait.

Voici plusieurs autres points clés à retenir pour les entrepreneurs concernant la règle proposée par le ministère américain de la Défense pour la mise en œuvre du CMMC 2.0 dans les contrats de défense :

• Identifiez tous les systèmes d'information que vous utiliseriez pour stocker, traiter ou transmettre des FCI ou des CUI dans le cadre de l'exécution de vos contrats et sous-contrats avec le DoD, ainsi que le type d'informations stockées, traitées ou transmises par chaque système. Vous pouvez ensuite déterminer quelles exigences du niveau CMMC s'appliquent à chacun des systèmes d'information identifiés du sous-traitant et évaluer si ces systèmes d'information répondent aux exigences de sécurité de ce niveau.
• Préparez-vous à signaler « toute faille dans la sécurité des informations » ou tout changement dans votre niveau CMMC dans les 72 heures, notamment en vous assurant que votre entreprise sera prête à communiquer ces informations au responsable des contrats du DoD pour chaque contrat soumis à cette exigence CMMC. Comme indiqué ci-dessus, la règle proposée exigerait la notification de chaque responsable des marchés pour un contrat CMMC, plutôt qu'un rapport unique à un portail centralisé pour l'ensemble du DoD (comme c'est le cas avec l'exigence actuelle de signalement des « incidents cybernétiques »).
• Veillez à ce que les modifications apportées à l'infrastructure informatique et aux contrôles de sécurité soient planifiées et examinées bien à l'avance, afin d'éviter toute allégation selon laquelle une modification de cette infrastructure ou de ces contrôles de sécurité mettrait le contractant en situation de non-conformité avec les exigences CMMC applicables. Un haut responsable de l'entreprise est chargé de soumettre au moins une fois par an des déclarations de « conformité continue » aux exigences CMMC. Des modifications telles que la suppression de certains contrôles de sécurité ou le début du partage d'informations FCI ou CUI sur un système d'information pour lequel le sous-traitant ne dispose pas d'un certificat ou d'une évaluation CMMC « à jour » pourraient donner lieu à des allégations selon lesquelles l'affirmation de conformité continue du sous-traitant n'est plus exacte.
• Commencez à planifier la surveillance et l'application de la conformité CMMC chez vos propres sous-traitants et fournisseurs. Commencez à classer le niveau de conformité CMMC que vous attendez de chaque sous-traitant pour le travail qu'il effectue. Communiquez avec les sous-traitants et les fournisseurs auxquels vous faites actuellement appel, ou auxquels vous envisagez de faire appel à l'avenir, pour exécuter des contrats du ministère de la Défense afin d'évaluer où en sont ces sous-traitants/fournisseurs dans la mise en œuvre des contrôles de sécurité que vous prévoyez qu'ils devront mettre en place une fois que le CMMC sera « opérationnel ». Réfléchissez à la manière dont vous exigerez des sous-traitants ou des fournisseurs qu'ils certifient ou documentent d'une autre manière qu'ils disposent de la certification ou de l'évaluation CMMC de niveau actuel requise, et à la manière dont vous intégrerez ces exigences dans vos conditions générales de sous-traitance.

Si vous avez des questions concernant la règle proposée ou les exigences du CMMC, veuillez contacter Frank Murray, Erin Toomey ou Caitlin Trevillyan.