Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Conformité CMMC > Préparation au CMMC 2.0 dans le DIB : Aperçus de recherche sur les bases de la conformité
Préparation au CMMC 2.0 dans le DIB : Principaux résultats du rapport

Préparation au CMMC 2.0 dans le DIB : Aperçus de recherche sur les bases de la conformité

par Danielle Barbour updated mars 25, 2025 Conformité CMMC
temps de lecture: 13 minutes

Les vulnérabilités en cybersécurité dans la supply chain de la défense représentent l’un des défis de sécurité nationale les plus importants auxquels les États-Unis sont confrontés aujourd’hui. Avec des adversaires ciblant de plus en plus les petits sous-traitants comme points d’entrée pour accéder à des informations sensibles, le Département de la Défense a établi le cadre de la Cybersecurity Maturity Model Certification (CMMC) pour garantir une protection adéquate des informations non classifiées contrôlées (CUI) dans l’ensemble de la Base Industrielle de Défense (DIB).

Une étude révolutionnaire de Kiteworks et Coalfire offre des aperçus sans précédent sur la manière dont les organisations de la DIB abordent la conformité au CMMC 2.0 Niveau 2. Le rapport “État de préparation au CMMC 2.0 dans la DIB” a interrogé 209 organisations de tailles et de rôles variés, révélant des schémas clairs dans les approches de conformité, les défis de mise en œuvre et les décisions stratégiques qui peuvent guider les sous-traitants de la défense à chaque étape de leur parcours de certification.

Cette recherche arrive à un moment critique—juste après la publication en décembre 2024 de la règle finale 32 CFR—capturant les réponses des organisations aux exigences finalisées. Les résultats révèlent que les organisations adoptant des approches structurées et systématiques de la conformité obtiennent systématiquement de meilleurs résultats en matière de sécurité dans toutes les dimensions mesurées, fournissant une feuille de route pour des stratégies de mise en œuvre efficaces.

Conformité CMMC 2.0 Feuille de route pour les contractants du DoD

Lire maintenant

Comprendre les exigences du CMMC 2.0 Niveau 2

Le CMMC 2.0 représente un raffinement significatif du modèle de certification original, passant de cinq niveaux à trois tout en maintenant des normes rigoureuses pour la protection des informations sensibles de défense. Le Niveau 2—au centre de cette recherche—s’aligne directement avec le NIST SP 800-171 et englobe 110 contrôles de sécurité répartis sur 14 domaines.

L’évolution du cadre CMMC

Le Département de la Défense a développé le CMMC pour répondre aux vulnérabilités persistantes en cybersécurité dans sa supply chain. Le cadre reconnaît que les adversaires ciblent fréquemment les petits sous-traitants comme points d’entrée pour accéder à des informations sensibles, créant une approche globale pour sécuriser les informations de défense dans l’ensemble de la supply chain.

Contrairement aux modèles précédents d’auto-attestation, le CMMC fournit un mécanisme de vérification pour garantir la mise en œuvre réelle des pratiques de sécurité requises. Ce passage de la conformité basée sur la confiance à celle basée sur la vérification représente un changement fondamental dans la manière dont le DoD aborde la sécurité de la supply chain.

Les organisations cherchant à obtenir la certification CMMC Niveau 2 doivent mettre en œuvre les 110 pratiques requises et subir une évaluation soit par auto-évaluation (pour certains contrats) soit par une évaluation tierce menée par une Organisation d’Évaluation Tierce Certifiée (C3PAO). Ces exigences s’appliquent aux organisations de toutes tailles au sein de la DIB qui manipulent des CUI, des petits sous-traitants aux grands contractants principaux.

Le cadre fonctionne en parallèle avec les réglementations fédérales en matière de cybersécurité, y compris la clause 52.204-21 du Federal Acquisition Regulation (FAR) et la clause 252.204-7012 du Defense Federal Acquisition Regulation Supplement (DFARS). Cet écosystème réglementaire crée une approche globale pour sécuriser les informations de défense dans la supply chain.

Méthodologie de l’enquête et démographie des répondants

L’étude Kiteworks/Coalfire offre une validité exceptionnelle grâce à son échantillon diversifié et représentatif d’organisations de la DIB. La recherche a recueilli les réponses de 209 participants à l’aide de 22 questions ciblées pour évaluer le statut de conformité, les approches de mise en œuvre et les défis.

Représentation organisationnelle complète

Les organisations répondantes couvraient toutes les catégories de taille dans le secteur de la défense :

  • Petites organisations avec moins de 500 employés (32 %)
  • Organisations de taille moyenne avec 500 à 9 999 employés (48 %)
  • Grandes organisations avec plus de 10 000 employés (20 %)

Cette distribution permet une analyse détaillée de la manière dont la taille de l’organisation influence les approches de préparation au CMMC et les défis, révélant des schémas importants dans l’allocation des ressources et les stratégies de mise en œuvre dans différents contextes organisationnels.

Perspectives de leadership diversifiées

L’enquête a capturé des aperçus de l’ensemble du spectre du leadership :

  • CIO/Leaders IT (20 %)
  • Leaders en cybersécurité (17 %)
  • CEO/Fondateurs (14 %)
  • Leaders en gestion des risques (15 %)
  • Conseil général/Leaders juridiques (8 %)
  • COOs (4 %)
  • CFOs (1 %)

Cette diversité de leadership permet d’analyser comment les rôles fonctionnels influencent les perceptions de la préparation à la conformité et les priorités, révélant des différences importantes dans la manière dont les spécialistes techniques et les dirigeants exécutifs abordent la mise en œuvre du CMMC.

L’analyse des données s’est concentrée sur l’identification des corrélations entre les caractéristiques organisationnelles et les approches de conformité, examinant les relations entre l’achèvement de l’analyse des écarts, la maturité de la documentation et la mise en œuvre des contrôles de sécurité critiques. Pour une identification plus claire des schémas, les réponses ont été regroupées en trois catégories : petites (*500 employés), moyennes (500 à 9 999 employés) et grandes organisations (10 000+ employés).

Principaux enseignements pour la préparation au CMMC 2.0 dans la DIB

  1. L’analyse des écarts établit la base critique pour le succès de la conformité au CMMC 2.0

    1. Les organisations réalisant des analyses d’écarts complètes sont 73 % plus susceptibles d’avoir des politiques de cybersécurité entièrement documentées et 77 % plus susceptibles de suivre des normes de chiffrement vérifiées par rapport à celles qui n’ont pas commencé l’évaluation. Cette corrélation frappante démontre qu’une évaluation approfondie de la posture de sécurité par rapport aux 110 contrôles NIST SP 800-171 fournit la feuille de route essentielle pour toutes les activités de conformité ultérieures.

  2. La maturité de la documentation sert de puissant prédicteur de l’efficacité de la mise en œuvre de la sécurité

    Les organisations avec des politiques entièrement documentées mettent en œuvre les normes de chiffrement à des taux nettement plus élevés (83 %) par rapport à celles avec une documentation partielle (49 %), tandis que les organisations avec une documentation minimale sont 30 fois plus susceptibles de signaler un chiffrement incohérent des CUI. Cette relation fondamentale souligne comment le développement de politiques complètes crée la structure et la clarté nécessaires pour une mise en œuvre cohérente et vérifiable des contrôles de sécurité.

  3. Des écarts de perception significatifs existent entre les spécialistes techniques et la direction exécutive

    Les leaders en cybersécurité rapportent des taux de maturité de la documentation beaucoup plus bas (54 %) que les CEO/fondateurs (80 %), suggérant des ruptures potentielles de communication ou des différences dans les normes d’évaluation. Cette disparité souligne l’importance d’aligner les perspectives techniques et exécutives grâce à des méthodologies d’évaluation structurées et une communication transversale régulière pour garantir une planification réaliste de la conformité.

  4. La taille de l’organisation influence la préparation à la conformité, mais pas autant que l’approche systématique

    Bien que les grandes organisations aient signalé des taux légèrement plus élevés d’analyses d’écarts complètes (47 %) et de politiques entièrement documentées (68 %) par rapport aux petites organisations (38 % et 58 % respectivement), le taux constant bas de documentation minimale dans toutes les catégories de taille indique qu’une prise de conscience de base existe indépendamment des ressources organisationnelles. Ce schéma suggère qu’une approche structurée et systématique de la conformité peut être efficace dans toutes les tailles d’organisation.

  5. Le développement de POA&M est fortement corrélé à la maturité globale de la conformité

    Les organisations ayant complété des analyses d’écarts étaient plus de deux fois plus susceptibles d’avoir des POA&M détaillés avec des responsabilités et des délais assignés (71 %) par rapport à celles qui n’avaient pas encore commencé les analyses d’écarts (33 %). Cette constatation souligne la valeur opérationnelle pratique de passer d’une prise de conscience générale à une planification de conformité spécifique et actionnable avec des responsabilités et des délais clairs pour les activités de remédiation.

Analyse des écarts : La base du succès du CMMC

L’achèvement d’une analyse formelle des écarts par rapport aux exigences du NIST SP 800-171 émerge de la recherche comme la base critique pour toutes les activités de conformité ultérieures. Les organisations qui mènent des analyses d’écarts approfondies démontrent des taux significativement plus élevés de préparation à la conformité structurée.

L’impact d’une évaluation complète

Parmi les organisations interrogées, 41 % ont déclaré avoir terminé une analyse d’écarts approfondie, tandis que 37 % ont indiqué que leur analyse d’écarts était en cours. Plus préoccupant, 16 % n’avaient pas encore commencé mais prévoyaient de le faire bientôt, et 6 % n’étaient pas sûrs de leur statut d’analyse d’écarts—suggérant des problèmes potentiels de communication ou des lacunes de planification au sein de ces organisations.

Les données révèlent des différences frappantes dans la préparation entre les organisations axées sur l’évaluation et les autres :

Les organisations ayant complété des analyses d’écarts étaient significativement plus susceptibles d’avoir déjà engagé des partenaires externes expérimentés, avec 62 % travaillant avec des consultants tiers, des Organisations de Fournisseurs Enregistrés (RPO) ou des C3PAO, contre seulement 40 % des organisations avec des analyses d’écarts en cours et 21 % de celles qui n’avaient pas encore commencé. Ce schéma suggère que des analyses d’écarts approfondies aident les organisations à reconnaître les complexités de la conformité et la valeur de l’expertise spécialisée externe.

La corrélation entre l’achèvement de l’analyse des écarts et la maturité de la documentation révèle un autre schéma critique. Les organisations ayant complété des analyses d’écarts ont signalé des taux plus élevés de politiques et procédures de cybersécurité entièrement documentées (73 %) par rapport à celles avec des analyses en cours (44 %) ou non encore commencées (28 %). Cette corrélation souligne comment les analyses d’écarts conduisent à des améliorations concrètes de la documentation en identifiant les déficiences spécifiques nécessitant une remédiation.

Le statut de l’analyse des écarts est également fortement corrélé à la mise en œuvre du chiffrement. Parmi les organisations ayant complété des analyses d’écarts, 77 % ont déclaré suivre des normes de chiffrement documentées avec vérification de la mise en œuvre. Ce pourcentage tombe à 63 % pour les organisations avec des analyses d’écarts en cours et à seulement 42 % pour les organisations qui n’avaient pas encore commencé. Ces différences soulignent le rôle des analyses d’écarts dans l’identification et la conduite de la remédiation des déficiences techniques spécifiques des contrôles.

Le développement du Plan d’Action et de Jalons (POA&M) montre peut-être la corrélation la plus forte avec le statut de l’analyse des écarts. Les organisations ayant complété des analyses d’écarts étaient plus de deux fois plus susceptibles d’avoir des POA&M détaillés avec des responsabilités et des délais assignés (71 %) par rapport à celles qui n’avaient pas encore commencé les analyses d’écarts (33 %). Cette constatation souligne la valeur opérationnelle pratique des analyses d’écarts dans la structuration des efforts de remédiation.

Approches d’analyse des écarts par taille d’organisation

L’enquête a également révélé des schémas intéressants dans la relation entre l’achèvement de l’analyse des écarts et la taille de l’organisation :
Les grandes organisations (10 000+ employés) ont signalé le taux le plus élevé d’analyses d’écarts complètes à 47 %, contre 40 % pour les organisations de taille moyenne (500 à 9 999 employés) et 38 % pour les petites organisations (*500 employés). Cependant, les organisations de taille moyenne ont montré le pourcentage le plus élevé d’analyses d’écarts en cours (42 %), suggérant un engagement actif avec les exigences de conformité mais des contraintes potentielles de ressources pour terminer les évaluations.

Les données de l’enquête montrent clairement que les organisations à différents stades d’achèvement de l’analyse des écarts font face à des défis de préparation au CMMC significativement différents. Les organisations qui n’ont pas complété d’analyses d’écarts ont tendance à lutter avec des questions fondamentales sur l’applicabilité et la portée des exigences, tandis que celles avec des analyses complètes se concentrent davantage sur des défis techniques spécifiques de mise en œuvre et l’allocation des ressources. Cette progression souligne le rôle critique des analyses d’écarts pour faire passer les organisations d’une prise de conscience générale à des efforts de conformité spécifiques et ciblés.

Rapport 2024 de Kiteworks sur la sécurité et la conformité des communications de contenu sensible

Maturité de la documentation : Le lien critique avec la mise en œuvre

Les résultats de l’enquête révèlent une relation fondamentale entre la maturité de la documentation en cybersécurité d’une organisation et son efficacité à mettre en œuvre les contrôles de sécurité spécifiques requis pour le CMMC 2.0 Niveau 2. La maturité de la documentation sert à la fois d’indicateur de la gouvernance globale de la cybersécurité et de base pratique pour une mise en œuvre cohérente des contrôles.

Statut de la documentation dans la DIB

Parmi les organisations interrogées :

  • 61 % ont signalé des politiques et procédures de cybersécurité entièrement documentées et régulièrement mises à jour
  • 32 % ont indiqué une documentation partielle avec des mises à jour en cours
  • 2 % ont signalé une documentation minimale avec des plans de mises à jour significatives
  • 5 % étaient incertains de leur statut de documentation

Ces chiffres suggèrent que bien qu’une majorité d’organisations de la DIB reconnaissent l’importance d’une documentation complète, une partie significative fait encore face à des lacunes de documentation qui peuvent affecter leur préparation à la certification.

L’enquête a révélé des variations intéressantes dans la maturité de la documentation selon la taille de l’entreprise. Les grandes organisations (10 000+ employés) ont signalé le taux le plus élevé de politiques entièrement documentées à 68 %, contre 63 % pour les organisations de taille moyenne (500 à 9 999 employés) et 58 % pour les petites organisations (*500 employés). Cependant, le pourcentage d’organisations avec une documentation minimale ou incertaine est resté constamment bas dans toutes les catégories de taille (3 %-4 %), suggérant qu’une prise de conscience de base de la documentation existe indépendamment des ressources organisationnelles.

La documentation comme prédicteur de sécurité

La corrélation entre la maturité de la documentation et l’efficacité de la mise en œuvre de la sécurité émerge comme l’une des découvertes les plus significatives de la recherche. Cette relation est particulièrement évidente dans les domaines de sécurité critiques :

La corrélation entre la maturité de la documentation et la mise en œuvre du chiffrement se distingue comme particulièrement significative. Parmi les organisations avec des politiques et procédures entièrement documentées, 83 % ont déclaré suivre des normes de chiffrement documentées avec vérification de la mise en œuvre. Ce pourcentage chute dramatiquement à 49 % pour les organisations avec des politiques partiellement documentées et à 0 % pour celles avec une documentation minimale.

Encore plus révélateur, les organisations avec une documentation minimale étaient 30 fois plus susceptibles de signaler un chiffrement incohérent des CUI (60 %) par rapport aux organisations avec des politiques entièrement documentées (2 %). Ces différences frappantes soulignent comment une documentation complète crée la base pour une mise en œuvre cohérente et vérifiable des contrôles de sécurité.

Les contrôles d’accès tiers montrent des schémas similaires liés à la maturité de la documentation. Parmi les organisations avec des politiques entièrement documentées, 75 % ont déclaré disposer de contrôles et de systèmes avancés pour garantir que les tiers ne peuvent accéder qu’aux CUI autorisées. Ce pourcentage diminue à 56 % pour les organisations avec des politiques partiellement documentées et à seulement 20 % pour celles avec une documentation minimale. Ce schéma démontre comment des pratiques de documentation matures soutiennent la mise en œuvre de contrôles techniques complexes nécessitant des définitions claires, des processus et des mécanismes de vérification.

La maturité de la documentation est également fortement corrélée à l’implication des parties prenantes dans les efforts de préparation au CMMC. Les organisations avec des politiques entièrement documentées étaient plus de deux fois plus susceptibles de signaler des approches hautement collaboratives avec des réunions transversales régulières (56 %) par rapport à celles avec des politiques partiellement documentées (26 %). Cette relation souligne comment des pratiques de documentation matures nécessitent et facilitent un engagement organisationnel plus large, créant une boucle de rétroaction positive qui améliore la gouvernance globale de la sécurité.

Les perceptions de la maturité de la documentation variaient notablement en fonction du rôle des répondants, révélant des différences importantes dans la manière dont les domaines fonctionnels évaluent la qualité de la documentation. Les CEO/Fondateurs ont signalé le taux le plus élevé de politiques entièrement documentées (80 %), tandis que les leaders en cybersécurité ont signalé un taux significativement plus bas (54 %). Cette disparité suggère des lacunes potentielles de communication ou des différences dans les normes d’évaluation, les spécialistes techniques appliquant probablement des critères plus rigoureux que la direction exécutive. Les répondants COO ont signalé le taux le plus bas de politiques entièrement documentées (33 %) et le taux le plus élevé de documentation partielle (67 %), reflétant peut-être des préoccupations opérationnelles concernant les défis de mise en œuvre des politiques.

La relation entre la maturité de la documentation et le développement du Plan d’Action & Jalons (POA&M) fournit un autre indicateur du rôle de la documentation dans les approches de conformité structurées. Les organisations avec des politiques entièrement documentées étaient trois fois plus susceptibles d’avoir des POA&M détaillés avec des responsabilités et des délais assignés (67 %) par rapport à celles avec des politiques partiellement documentées (22 %). Ce schéma suggère que des pratiques de documentation matures facilitent la transition d’une prise de conscience générale à une planification de conformité spécifique et actionnable.

Principaux enseignements de la conformité au CMMC 2.0 : Construire votre base pour le succès de la certification

La recherche de Kiteworks et Coalfire offre des preuves convaincantes que les organisations adoptant des approches de conformité structurées obtiennent des résultats supérieurs dans toutes les dimensions de sécurité. Les données démontrent clairement que les analyses d’écarts fournissent la base essentielle pour le succès de la conformité, les organisations réalisant des évaluations complètes obtenant des résultats nettement meilleurs en matière de documentation, de mise en œuvre du chiffrement et de contrôles tiers.

Tout aussi important, la recherche révèle la maturité de la documentation comme un prédicteur critique de l’efficacité de la mise en œuvre de la sécurité. Les organisations avec une documentation robuste montrent des performances nettement plus fortes dans la mise en œuvre des contrôles techniques, suggérant que le développement de politiques complètes représente une étape fondamentale dans le parcours de conformité.

Pour les organisations commençant leur préparation au CMMC 2.0 Niveau 2, le message est clair : commencez par une évaluation approfondie de la posture de sécurité actuelle par rapport aux 110 contrôles NIST SP 800-171 et priorisez le développement de documentation complète. Celles déjà en cours devraient évaluer la maturité de leur documentation et s’assurer de l’alignement entre les perceptions exécutives et la réalité technique.

FAQs

1. L’analyse des écarts sert de base critique pour toutes les activités de conformité ultérieures, la recherche montrant que les organisations qui réalisent des analyses d’écarts approfondies sont 73 % plus susceptibles d’avoir des politiques de cybersécurité entièrement documentées. Les données révèlent que les organisations ayant complété des analyses d’écarts démontrent également des taux significativement plus élevés de mise en œuvre du chiffrement (77 % contre 42 %) et de POA&M détaillés avec des responsabilités assignées (71 % contre 33 %), soulignant comment des évaluations complètes conduisent à des améliorations concrètes en identifiant les déficiences spécifiques nécessitant une remédiation.

La maturité de la documentation sert à la fois d’indicateur de la gouvernance globale de la cybersécurité et de base pratique pour une mise en œuvre cohérente des contrôles, les organisations ayant des politiques entièrement documentées mettant en œuvre les normes de chiffrement à des taux nettement plus élevés (83 %) par rapport à celles avec une documentation partielle (49 %). La recherche révèle que les organisations avec une documentation minimale sont 30 fois plus susceptibles de signaler un chiffrement incohérent des CUI, démontrant comment une documentation complète crée la base nécessaire pour une mise en œuvre vérifiable des contrôles de sécurité.

L’enquête a révélé des écarts de perception significatifs, les CEO/Fondateurs rapportant une maturité de la documentation beaucoup plus élevée (80 %) que les leaders en cybersécurité (54 %), suggérant des échecs potentiels de communication entre les équipes techniques et la direction. Les répondants COO ont signalé le taux le plus bas de politiques entièrement documentées (33 %) et le taux le plus élevé de documentation partielle (67 %), reflétant peut-être des préoccupations opérationnelles concernant les défis de mise en œuvre des politiques qui peuvent ne pas être pleinement visibles pour d’autres rôles de leadership.

Les grandes organisations (10 000+ employés) ont signalé le taux le plus élevé d’analyses d’écarts complètes à 47 % et de politiques entièrement documentées à 68 %, contre 38 % et 58 % respectivement pour les petites organisations (*500 employés). Cependant, les organisations de taille moyenne ont montré le pourcentage le plus élevé d’analyses d’écarts en cours (42 %), suggérant un engagement actif avec les exigences de conformité mais des contraintes potentielles de ressources pour terminer les évaluations, tandis que le taux constant bas de documentation minimale dans toutes les catégories de taille (3-4 %) indique qu’une prise de conscience de base de la documentation existe indépendamment des ressources organisationnelles.

Les organisations devraient commencer par une évaluation approfondie de la posture de sécurité actuelle par rapport aux 110 contrôles NIST SP 800-171, car la recherche montre que cette analyse d’écarts complète fournit la base essentielle pour toutes les activités de conformité ultérieures. La deuxième étape critique est de prioriser le développement de documentation complète, que la recherche révèle comme un prédicteur fondamental de l’efficacité de la mise en œuvre de la sécurité dans toutes les dimensions de sécurité, de la mise en œuvre du chiffrement aux contrôles d’accès tiers.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks