La clause contractuelle CMMC est arrivée : ce que les entrepreneurs du secteur de la défense doivent savoir

La semaine dernière a marqué une étape importante dans le programme Cybersecurity Maturity Model Certification 2.0 (CMMC), le programme du ministère américain de la Défense (DoD) visant à garantir la sécurité des informations sensibles du DoD dans les systèmes d'information des sous-traitants, puisque le DoD a publié la clause contractuelle qui fera de la conformité au CMMC une condition préalable à l'attribution des contrats dès le mois prochain. L'année dernière, le DoD a finalisé les exigences techniques du programme CMMC, en codifiant les exigences dans le 32 C.F.R. Partie 170. Ces réglementations ont officiellement établi le programme CMMC et l'écosystème d'évaluation et de certification CMMC, mais elles ne prévoyaient pas le mécanisme par lequel les agents contractuels du DoD pourraient faire respecter la conformité au programme CMMC dans les contrats du DoD. La règle finale du 10 septembre 2025 (la « règle contractuelle CMMC ») comble cette lacune et permet au DoD de commencer à utiliser la conformité CMMC comme condition d'éligibilité pour l'attribution d'un contrat, à compter du 10 novembre 2025. 

Cet article commence par rappeler les grandes lignes du programme CMMC, puis identifie certains points clés à retenir pour les entrepreneurs et sous-traitants du secteur de la défense dans le cadre de la règle CMMC Contracting Rule, et enfin recommande certaines mesures à prendre pour améliorer la préparation de votre organisation au CMMC alors que le programme commence à être déployé dans les contrats de défense au cours des mois et des années à venir.  

Qu'est-ce que le CMMC, déjà ?

Le CMMC est le mécanisme mis en place par le ministère américain de la Défense pour vérifier que les sous-traitants du secteur de la défense respectent ses exigences préexistantes en matière de cybersécurité. Le CMMC a subi plusieurs retards et réformes depuis son annonce initiale en 2019, mais il est considéré comme essentiel pour renforcer la sécurité de l'ensemble de la base industrielle de défense (DIB) et garantir que les sous-traitants protègent les données du ministère de la Défense à une époque où les cyberattaques sont de plus en plus fréquentes et complexes. 

À un niveau élevé, le programme CMMC exige des sous-traitants du secteur de la défense qu'ils respectent des critères de cybersécurité basés sur la sensibilité des informations qu'ils traitent et qu'ils fournissent des attestations annuelles de conformité. Le modèle comprend les trois niveaux de certification suivants, allant des protections de base pour les informations relatives aux contrats fédéraux (FCI) à des exigences plus strictes pour les informations contrôlées non classifiées (CUI) :

• Le niveau 1 comprend uniquement les contrats avec FCI et exige la conformité aux 15 contrôles de sécurité actuellement énumérés dans la clause 52.204-21 du Federal Acquisition Regulation (FAR), Protection de base des systèmes d'information des entrepreneurs concernés. La conformité au niveau 1 nécessite une auto-évaluation, qui doit être effectuée chaque année, et une confirmation annuelle de conformité.
• Le niveau 2 comprend les contrats avec des informations classifiées (CUI) et exige la conformité aux 110 contrôles de sécurité énoncés dans la publication spéciale (SP) 800-171, rév. 2, du National Institute of Standards and Technology (NIST). En fonction du type de CUI traitées, stockées ou transmises par les sous-traitants sur leurs systèmes d'information, certains sous-traitants soumis à une exigence CMMC de niveau 2 pourront effectuer une auto-évaluation annuelle, tandis que d'autres devront faire appel à un organisme d'évaluation tiers certifié (C3PAO) pour effectuer un contrôle de vérification. Les attestations de conformité de niveau 2, qu'elles soient obtenues par auto-évaluation ou par certification C3PAO, sont requises tous les trois ans.
• Le niveau 3 est un niveau de sécurité plus strict qui sera exigé pour les contrats impliquant des informations CUI que le DoD juge particulièrement sensibles. Les entrepreneurs qui souhaitent obtenir des contrats CMMC de niveau 3 devront se conformer aux 110 contrôles de sécurité de la norme NIST SP 800-171, rév. 2, ainsi qu'aux 24 contrôles supplémentaires de la norme NIST SP 800-172.  Après avoir obtenu la certification C3PAO de niveau 2, les entrepreneurs qui souhaitent obtenir une certification CMMC de niveau 3 devront ensuite obtenir une certification du Centre d'évaluation de la cybersécurité DIB (DIBCAC) de l'Agence de gestion des contrats de défense (DCMA). Cette évaluation DIBCAC de niveau 3 doit être effectuée tous les trois ans pour conserver le statut CMMC de niveau 3 (DIBCAC).

Points clés à retenir pour les entrepreneurs concernant la règle relative aux contrats CMMC

1) Les exigences CMMC pourraient commencer à apparaître dans les appels d'offres et les contrats du ministère américain de la Défense dans moins de deux mois.

La règle contractuelle CMMC donne au ministère américain de la Défense la possibilité d'inclure la clause contractuelle CMMC dans les appels d'offres et, par conséquent, de faire de la conformité CMMC une condition d'attribution des contrats dès le 10 novembre 2025. 

2) À quoi s'attendre pendant le déploiement progressif du CMMC par le ministère américain de la Défense

La règle contractuelle CMMC fait référence à la mise en œuvre progressive des exigences CMMC telles que définies dans le titre 32 du Code of Federal Regulations (CFR), section 170.3. Cette réglementation annonce l'intention du ministère américain de la Défense (DoD) de mettre en œuvre le CMMC en quatre phases au cours des trois prochaines années.  

• Phase 1: À compter du 10 novembre 2025, les appels d'offres et contrats applicables exigeront le niveau 1 (auto-évaluation) ou le niveau 2 (auto-évaluation) du CMMC comme condition d'attribution du contrat. Le DoD a également le pouvoir discrétionnaire d'exiger le niveau 1 (auto-certifié) ou le niveau 2 (auto-certifié) du CMMC pour les options exercées après le 10 novembre 2025 sur les contrats émis avant le 10 novembre 2025, ainsi que d'inclure le niveau 2 (C3PAO) du CMMC au lieu du niveau 2 (auto-certifié) pour certains marchés publics.
• Phase 2: À compter du 10 novembre 2026, les appels d'offres et contrats applicables exigeront des évaluations CMMC niveau 2 C3PAO comme condition d'attribution du contrat. Le DoD aura la possibilité de reporter l'inclusion du CMMC niveau 2 (C3PAO) à une période optionnelle plutôt que de l'imposer comme condition d'attribution du contrat. Le DoD aura également la possibilité d'inclure l'exigence du CMMC niveau 3 (DIBCAC) pour certains marchés publics.
• Phase 3: À compter du 10 novembre 2027, les appels d'offres et contrats applicables exigeront des évaluations CMMC de niveau 2 (C3PAO) comme condition d'attribution du contrat et comme condition pour que le DoD exerce une période d'option sur un contrat attribué après le 10 novembre 2025. Le DoD inclura également l'exigence du niveau 3 CMMC (C3PAO) comme condition d'attribution des contrats pour les appels d'offres et contrats applicables. Le DoD aura la possibilité de reporter l'exigence du niveau 3 CMMC (C3PAO) à une période d'option plutôt que de l'imposer comme condition d'attribution des contrats.
• Phase 4: À compter du 10 novembre 2028, les exigences CMMC seront incluses dans tous les appels d'offres et contrats applicables du DoD, ainsi que dans les périodes d'option des contrats attribués avant le 10 novembre 2028.

3) Quels contrats du ministère de la Défense sont concernés ?

Lorsque la règle CMMC relative aux contrats entrera en vigueur le 10 novembre 2025, si le bureau chargé du programme ou l'activité requérante détermine qu'un contractant doit posséder un niveau CMMC spécifique, les agents contractuels pourront commencer à insérer la clause DFARS 252.204-7021 dans les appels d'offres et les contrats et préciser le niveau CMMC requis pour l'achat dans la clause DFARS 252.204-7025. Cela inclut les appels d'offres et les contrats pour les produits et services commerciaux, ainsi que les contrats de toutes valeurs. 

La seule exception prévue dans la règle finale est que la clause DFARS 252.204-7021 ne s'applique pas aux appels d'offres et aux contrats portant uniquement sur l'acquisition d'articles disponibles dans le commerce (COTS). Les articles COTS sont des articles d'approvisionnement qui sont : (i) vendus en quantités importantes sur le marché commercial ; et (ii) proposés au gouvernement, dans le cadre d'un contrat ou d'un sous-contrat à n'importe quel niveau, sans modification, sous la même forme que celle dans laquelle ils sont vendus sur le marché commercial. Par conséquent, tout type de modification du produit, même si cette modification est courante sur le marché commercial, rendrait le produit non COTS et pourrait soumettre le contrat aux exigences de conformité CMMC. 

De plus, les agents contractuels ont le pouvoir discrétionnaire de modifier bilatéralement les contrats existants attribués avant le 10 novembre 2025 afin d'y inclure la clause DFARS 252.204-7021 « en fonction des besoins du ministère de la Défense ». Les entrepreneurs doivent examiner attentivement ces modifications et s'assurer de leur conformité avant d'accepter la clause DFARS dans leur contrat.

À compter du 10 novembre 2028, le DoD devra inclure la clause DFARS 252.204-7021 dans les appels d'offres et les contrats, à l'exception des contrats portant uniquement sur des articles COTS, si « le bureau du programme ou l'activité requérante détermine que le contractant est tenu d'utiliser les systèmes d'information du contractant dans le cadre de l'exécution du contrat, de la commande ou du bon de livraison pour traiter, stocker ou transmettre des FCI ou des CUI ». En conséquence, à compter du 10 novembre 2028, pratiquement tous les appels d'offres et contrats du DoD, à l'exception de ceux portant uniquement sur des articles COTS, exigeront un certain niveau de conformité CMMC.

4) Pas de CMMC, pas de contrat 

Avant d'attribuer un contrat à un soumissionnaire retenu, le DoD doit vérifier que ce dernier dispose du niveau CMMC requis dans le SPRS. En d'autres termes, la règle finale prévoit une passerelle d'application qui permet aux agents contractuels d'exiger une certification (ou une auto-attestation, selon le niveau) comme condition d'éligibilité au contrat. Il s'agit d'un changement opérationnel important, qui fait passer le CMMC de la politique à l'approvisionnement, en autorisant l'utilisation de la clause CMMC DFARS dans les appels d'offres et les contrats du DoD et en exigeant la conformité au CMMC comme condition d'attribution du contrat. 

5) Le statut CMMC « conditionnel » peut offrir un répit temporaire (je répète, temporaire) aux entrepreneurs qui ont encore du travail à faire en matière de cybersécurité.

Il est important de noter que la règle CMMC relative aux contrats offre une certaine souplesse en autorisant l'attribution d'un contrat à un prestataire détenant un statut CMMC « conditionnel » de niveau 2 ou 3, si la période de validité du statut conditionnel est inférieure à 180 jours. Pour convertir un statut « conditionnel » de niveau 2 ou 3 en statut CMMC définitif, le prestataire doit mener à bien son plan d'action et ses étapes clés (POA&M) pour les exigences qui ne sont pas encore satisfaites.  Le statut « conditionnel » n'étant acceptable que pendant 180 jours, le contractant doit s'assurer de remédier à toute exigence non satisfaite dans les 180 jours suivant l'approbation conditionnelle. La réglementation CMMC identifie certaines exigences de sécurité physique qui doivent être satisfaites pour obtenir une approbation conditionnelle, et ces exigences ne peuvent pas faire partie d'un POA&M. 

Si le contractant n'effectue pas les mesures correctives requises dans le délai de 180 jours, le statut CMMC conditionnel expirera et le DoD pourra exercer les recours contractuels standard, y compris la résiliation du contrat. En outre, le contractant ne sera pas éligible pour d'autres contrats soumis à l'exigence CMMC tant qu'il n'aura pas atteint le niveau CMMC requis.

6) Considérations relatives à la transmission vers le bas et mise en œuvre des processus de vérification du statut CMMC des sous-traitants 

La clause contractuelle CMMC, DFARS 252.204-7021, doit être incluse par les entrepreneurs principaux et les sous-traitants de niveau supérieur dans les contrats de sous-traitance qui contiennent une exigence de traitement, de stockage ou de transmission de FCI ou de CUI. Cela impose aux entrepreneurs de niveau supérieur d'évaluer les types d'informations que leurs sous-traitants devront traiter, stocker et transmettre, afin de déterminer si les exigences CMMC doivent être répercutées et quel niveau de conformité CMMC s'appliquera au sous-traitant.  Avant d'attribuer un contrat de sous-traitance soumis à une exigence CMMC (autre que les contrats de sous-traitance portant uniquement sur des articles COTS), le contractant principal ou le sous-traitant de niveau supérieur est chargé de confirmer que le sous-traitant dispose d'une auto-évaluation CMMC ou d'un certificat à jour correspondant au niveau CMMC requis. Malheureusement, seul le DoD a actuellement accès au SPRS (le système dans lequel les entreprises déclarent leur statut CMMC), de sorte que les entrepreneurs de niveau supérieur devront déterminer les documents qu'ils exigeront des sous-traitants (par exemple, des certifications ou des captures d'écran du SPRS) pour vérifier la conformité du sous-traitant. 

7) Principales modifications apportées entre la règle proposée et la règle définitive

La règle proposée exigeait des entrepreneurs qu'ils informent le bureau des contrats dans les 72 heures « en cas de faille dans la sécurité des informations ou de changement dans le statut du certificat CMMC ou des niveaux d'auto-évaluation CMMC pendant l'exécution du contrat ». La règle proposée ne définissait pas précisément ce que le DoD entendait par « faille dans la sécurité des informations ». Reconnaissant la difficulté de se conformer à cette exigence et estimant que la clause DFARS comprend déjà des garanties suffisantes dans la définition du statut CMMC « actuel », l'exigence de confirmation annuelle et le signalement des incidents cybernétiques dans les 72 heures, le DoD a supprimé de la clause contractuelle CMMC finale l'obligation pour les entrepreneurs de signaler les « failles dans la sécurité de l'information » ou les changements de conformité avec la norme 32 CFR Part 170. Pour qu'un statut CMMC soit « actuel », il ne doit y avoir aucun changement dans la conformité aux exigences de la norme 32 CFR Part 170 depuis la date du statut CMMC.

Mesures recommandées aux entrepreneurs pour se préparer aux exigences contractuelles du CMMC

La préparation à la conformité CMMC nécessite une planification stratégique et un engagement. Voici les principales mesures concrètes que les entrepreneurs du secteur de la défense doivent prendre pour garantir leur éligibilité continue aux contrats du ministère américain de la Défense :

1. Identifiez tous les systèmes d'information que vous utiliseriez pour stocker, traiter ou transmettre des FCI ou des CUI dans le cadre de l'exécution de vos contrats et sous-contrats avec le DoD, ainsi que le type d'informations stockées, traitées ou transmises par chaque système. Vous pouvez ensuite déterminer quelles exigences du niveau CMMC s'appliquent à chacun des systèmes d'information identifiés du sous-traitant et évaluer si ces systèmes d'information répondent aux exigences de sécurité de ce niveau.
2. Veillez à ce que les modifications apportées à l'infrastructure informatique et aux contrôles de sécurité soient planifiées et examinées bien à l'avance, afin d'éviter toute allégation selon laquelle une modification de cette infrastructure ou de ces contrôles de sécurité mettrait le contractant en situation de non-conformité avec les exigences CMMC applicables. Un haut responsable de l'entreprise est chargé de soumettre au moins une fois par an des déclarations de « conformité continue » aux exigences CMMC. Des modifications telles que la suppression de certains contrôles de sécurité ou le début du partage d'informations FCI ou CUI sur un système d'information pour lequel le sous-traitant ne dispose pas d'un certificat ou d'une évaluation CMMC « à jour » pourraient donner lieu à des allégations selon lesquelles l'affirmation de conformité continue du sous-traitant n'est plus exacte.
3. Continuez à maintenir à jour votre plan de sécurité du système (SSP) et clôturez les exigences non satisfaites dans votre POA&M. Vérifiez que les exigences du NIST qui doivent être satisfaites pour obtenir un statut CMMC conditionnel ont été respectées.
4. Commencez à planifier la surveillance et l'application de la conformité CMMC chez vos propres sous-traitants et fournisseurs. Commencez à classer le niveau de conformité CMMC que vous attendez de chaque sous-traitant pour le travail qu'il effectue. Communiquez avec les sous-traitants et les fournisseurs auxquels vous faites actuellement appel, ou auxquels vous envisagez de faire appel à l'avenir, pour exécuter des contrats du ministère de la Défense afin d'évaluer où en sont ces sous-traitants/fournisseurs dans la mise en œuvre des contrôles de sécurité que vous prévoyez qu'ils devront mettre en place une fois que le CMMC sera « opérationnel ». Réfléchissez à la manière dont vous exigerez des sous-traitants ou des fournisseurs qu'ils certifient ou documentent d'une autre manière qu'ils disposent de la certification ou de l'évaluation CMMC de niveau actuel requise, et à la manière dont vous intégrerez ces exigences dans vos conditions générales de sous-traitance.
5. Si une évaluation par un tiers est requise, planifiez-la bien à l'avance. Le nombre d'organismes C3PAO agréés est limité, et il est préférable de prendre rendez-vous le plus tôt possible afin de garantir une évaluation en temps opportun avant la publication d'un appel d'offres exigeant une telle évaluation et certification.
6. Continuer à signaler les incidents cybernétiques dans les 72 heures.

Conclusion

À l'approche du 10 novembre 2025, date d'entrée en vigueur de la phase 1 du déploiement du CMMC, les sous-traitants du secteur de la défense sont confrontés à un tournant décisif en matière de conformité à la cybersécurité. Foley adopte une approche multidisciplinaire de la conformité CMMC en fournissant à ses clients des conseils complets pour les aider à garantir leur éligibilité aux contrats et à maintenir un écosystème de défense sécurisé. Cela va de la recommandation des meilleures mesures stratégiques proactives pour la conformité à la gestion et la coordination du projet de conformité, en passant par l'examen des exigences des contrats de défense, l'embauche et la supervision des entreprises informatiques, l'examen des SSP et des POA&M, jusqu'à la gestion des incidents de cybersécurité.

Si vous avez des questions concernant la règle finale ou les exigences CMMC, veuillez contacter Jen Urban, Erin Toomey, Frank Murray ou Samuel Goldstick.