Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Liste de contrôle CMMC : Guide de préparation à l’audit pour les sous-traitants du DoD
Cybersecurity 101/Cybersécurité/Liste de contrôle CMMC

Liste de contrôle CMMC : Guide de préparation à l’audit pour les sous-traitants du DoD

CMMC 2.0 exige une vérification indépendante des contrôles de cybersécurité des sous-traitants du DoD. Utilisez cette liste de contrôle CMMC pour vous préparer à l’audit, de la définition du périmètre à la certification.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce que la CMMC (Cybersecurity Maturity Model Certification) ?
Qui a besoin d'une checklist CMMC ?
Comment déterminer votre niveau CMMC requis
Faire correspondre le type de données au niveau de certification
Comprendre les niveaux CMMC avant d'utiliser une checklist
Checklist de préparation pré-évaluation
Checklist CMMC Niveau 1 (Contrôles fondamentaux)
Checklist CMMC Niveau 2 (Contrôles avancés)
Checklist CMMC Niveau 3 (Contrôles de niveau expert)
Checklist de documentation et de preuves
Erreurs courantes dans la mise en œuvre d'une checklist CMMC
Erreurs de périmétrage qui compromettent les évaluations
Documentation décrivant l'intention, pas la réalité
Mauvaise gestion des POA&M
Coûts et délais attendus pour l'évaluation CMMC
Plages de délais typiques
Considérations de coût
Bonnes pratiques pour utiliser une checklist CMMC
Commencez par la découverte des CUI, pas par la mise en œuvre des contrôles
Segmentez votre réseau avant l'évaluation
Constituez les preuves sur plusieurs mois, pas en quelques jours
Préparez votre personnel aux entretiens
Appliquez les exigences de transmission aux sous-traitants
Points clés à retenir

Articles similaires

  • Qu'est-ce que le règlement DORA ? Cadre européen de résilience numérique
  • Qu'est-ce que la session fixation ? Comment les attaquants détournent les sessions utilisateur
  • Hacker éthique : méthodes, outils et guide de carrière
  • Qu’est-ce qu’une attaque adversariale ? Menaces et défenses
Auteur: SentinelOne | Réviseur: Arijeet Ghatak
Mis à jour: April 30, 2026

Qu'est-ce que la CMMC (Cybersecurity Maturity Model Certification) ?

Un sous-traitant du DoD perd un contrat de défense majeur parce qu'il pensait que l'auto-attestation à la NIST SP 800-171 suffisait. À partir du 10 novembre 2025, ce n'est plus le cas. La Cybersecurity Maturity Model Certification (CMMC) 2.0 est un cadre de certification de cybersécurité du DoD qui vérifie la mise en œuvre par les sous-traitants de la défense des exigences fédérales de sécurité existantes via une évaluation indépendante. Elle ne crée pas de nouvelles exigences de sécurité. Elle ajoute une vérification indépendante aux contrôles déjà exigés par le DFARS 7012 depuis 2017.

Le programme est codifié dans le 32 CFR 170 (CMMC Program Rule) et appliqué via le 48 CFR 204 (DFARS Acquisition Rule). Le Cyber AB agit en tant qu'organisme d'accréditation pour l'écosystème CMMC. Si vous traitez des Federal Contract Information (FCI) ou des Controlled Unclassified Information (CUI) pour le Department of Defense, la CMMC s'applique à vous.

Selon le 48 CFR 204.7502, les agents contractuels ne doivent pas attribuer de contrats aux soumissionnaires sans statut CMMC actuel au niveau requis. La préparation de votre checklist CMMC commence maintenant, pas lorsque vous recevez un appel d'offres.

Avant la CMMC, les sous-traitants auto-évaluaient leur mise en œuvre de la NIST SP 800-171 et soumettaient les résultats au Supplier Performance Risk System (SPRS). L'auto-attestation a créé un déficit de confiance dans la base industrielle de défense (DIB), permettant aux sous-traitants de revendiquer la conformité sans validation indépendante.

La CMMC comble cette lacune en exigeant des évaluations tierces ou gouvernementales selon la sensibilité des données traitées. Chaque contrôle revendiqué dans votre System Security Plan (SSP) doit résister à l'examen, à l'entretien et aux tests techniques pratiques par des évaluateurs formés. Vos outils d'opérations de sécurité, la journalisation des audits, les contrôles d'accès et les procédures de réponse aux incidents entrent tous dans le périmètre d'évaluation de la CMMC. Le cadre organise ces exigences en trois niveaux de certification, chacun avec son propre processus d'évaluation.

Qui a besoin d'une checklist CMMC ?

Toutes les organisations interagissant avec le DoD ne font pas face aux mêmes exigences CMMC, mais le périmètre est plus large que ce que beaucoup de sous-traitants imaginent. Toute entreprise qui stocke, traite ou transmet des FCI ou des CUI dans le cadre d'un contrat DoD doit atteindre le niveau de certification CMMC approprié avant l'attribution du contrat.

Les contractants principaux titulaires de contrats DoD incluant la clause DFARS 252.204-7021 doivent démontrer un statut CMMC actuel au niveau spécifié dans l'appel d'offres. Cette exigence s'applique à toute la chaîne d'approvisionnement : les sous-traitants qui traitent des CUI pour l'exécution du contrat doivent satisfaire indépendamment au niveau CMMC requis, sans simplement se reposer sur la certification du contractant principal. Selon une analyse de la chaîne d'approvisionnement NDIA, les exigences de transmission DFARS s'appliquent quel que soit le niveau de la chaîne d'approvisionnement.

Les organisations devant maintenir une checklist CMMC incluent les fabricants et fournisseurs de défense traitant des CUI, les prestataires de services informatiques et fournisseurs de services managés ayant accès à des environnements CUI, les instituts de recherche sous contrats financés par le DoD, ainsi que les sociétés de services professionnels ou de recrutement dont les employés accèdent à des systèmes CUI. Les petites entreprises ne sont pas exemptées. Si votre contrat implique des CUI, les exigences du niveau 2 de la CMMC s'appliquent, quelle que soit la taille ou le chiffre d'affaires de l'entreprise.

Le seuil est simple : si votre contrat inclut actuellement ou inclura la clause DFARS 252.204-7021, vous avez besoin d'un processus de conformité structuré. Une checklist CMMC vous permet de suivre la mise en œuvre des contrôles, de documenter la collecte de preuves et d'identifier les écarts avant qu'un évaluateur C3PAO ou DIBCAC ne le fasse.

Comment déterminer votre niveau CMMC requis

Votre niveau CMMC requis dépend du type d'information que vous traitez dans le cadre d'un contrat DoD. La détermination commence par une question : votre contrat implique-t-il des CUI ?

Faire correspondre le type de données au niveau de certification

  • FCI uniquement (Niveau 1) : Votre contrat concerne des Federal Contract Information de base mais aucune mention de CUI. Vous mettez en œuvre 17 pratiques issues du FAR 52.204-21 et réalisez une auto-évaluation annuelle.
  • CUI (Niveau 2) : Votre contrat inclut des données marquées comme Controlled Unclassified Information selon le registre CUI. Vous mettez en œuvre les 110 pratiques de la NIST SP 800-171 et subissez une évaluation C3PAO ou une auto-évaluation selon le contrat.
  • CUI à haute valeur (Niveau 3) : Votre contrat concerne des CUI sur des programmes critiques identifiés par le DoD. Vous mettez en œuvre 134 pratiques (110 de la NIST SP 800-171 plus 24 de la NIST SP 800-172) et subissez une évaluation gouvernementale DIBCAC. Le niveau 3 exige un statut actuel de niveau 2 comme prérequis.

Si votre contrat ne précise pas de niveau CMMC, examinez les clauses DFARS dans votre appel d'offres. Selon le 32 CFR 170, l'agent contractuel détermine le niveau requis en fonction de la sensibilité des informations concernées. En cas de doute, contactez directement votre agent contractuel. Se tromper de niveau signifie se préparer à la mauvaise évaluation, ce qui fait perdre du temps et du budget. Une fois votre niveau connu, le tableau ci-dessous indique exactement ce qu'il exige.

Comprendre les niveaux CMMC avant d'utiliser une checklist

Avant d'utiliser une checklist CMMC, il est essentiel de bien comprendre ce que chaque niveau de certification exige. Les trois niveaux diffèrent considérablement en nombre de pratiques, type d'évaluation et catégorie d'information protégée.

CaractéristiqueNiveau 1 : FondamentalNiveau 2 : AvancéNiveau 3 : Expert
ProtègeFederal Contract Information (FCI)Controlled Unclassified Information (CUI)High-Value CUI
Nombre de pratiques17 pratiques de protection de base110 pratiques134 pratiques
Type d'évaluationAuto-évaluation annuelleÉvaluation triennale C3PAO ou auto-évaluationÉvaluation gouvernementale triennale DIBCAC
POA&M autorisés ?NonOui, clôture requiseOui, clôture requise, exigences critiques exclues
Résultats saisis dansSPRSSPRSCMMC eMASS
PrérequisAucunAucunStatut actuel de niveau 2

La phase 1 de mise en œuvre a débuté le 10 novembre 2025, en se concentrant principalement sur les exigences des niveaux 1 et 2. La phase 2 commence le 10 novembre 2026, élargissant les évaluations obligatoires de niveau 2 par les C3PAO. La mise en œuvre complète sur tous les contrats applicables commence après le 9 novembre 2028.

Toutes les évaluations de niveau 2 par C3PAO suivent une structure obligatoire en quatre phases selon le processus CMMC :

  1. Planification et préparation pré-évaluation : Définir le périmètre, fournir le SSP et les schémas réseau, et convenir du calendrier d'évaluation.
  2. Évaluer la conformité aux exigences de sécurité : Les évaluateurs examinent la documentation, interrogent le personnel et testent directement les contrôles.
  3. Finaliser et rapporter les résultats de l'évaluation : Le C3PAO télécharge les résultats dans le système de rapport requis.
  4. Délivrer le certificat et clôturer le POA&M : Corriger les éléments ouverts dans le délai imparti ou perdre votre statut CMMC conditionnel.

Les évaluateurs utilisent trois méthodes obligatoires issues de la NIST 171A : examiner (revoir la documentation, les configurations, les journaux), interroger (entretiens structurés avec le personnel) et tester (validation technique pratique). Vous ne pouvez pas réussir uniquement sur la base de la documentation.

La CMMC utilise actuellement la NIST SP 800-171 Révision 2. Selon la FAQ du DoD CIO, le DoD a publié une dérogation à la clause DFARS 252.204-7012 pour maintenir la Rév 2 comme standard d'évaluation jusqu'à l'intégration de la Rév 3 via une future réglementation. Avec ce contexte, les checklists suivantes vous offrent un parcours structuré pour la préparation.

Checklist de préparation pré-évaluation

La préparation pré-évaluation couvre le travail fondamental à réaliser avant de pouvoir définir précisément le périmètre, documenter ou engager un C3PAO. Les écarts identifiés ici impactent chaque élément de votre checklist CMMC.

Périmétrage des actifs :

  • Inventaire complet du matériel et des logiciels sur les cinq catégories d'actifs CMMC (CUI Assets, Security Protection Assets, CRMA, Specialized Assets, Out-of-Scope)
  • Cartographier tous les flux de données montrant où les CUI entrent, circulent et sortent de votre environnement
  • Documenter toutes les connexions aux fournisseurs de services cloud et indiquer s'ils traitent des CUI ou FCI
  • Identifier toutes les connexions externes, les travailleurs à distance et les points d'accès des fournisseurs
  • Vérifier la séparation technique et physique pour les actifs hors périmètre
  • Documenter la justification de la gestion des risques CRMA dans le SSP pour chaque désignation CRMA
  • Identifier tous les Security Protection Assets et leurs fonctions de sécurité

Préparation à l'évaluation :

  • Analyse des écarts terminée pour toutes les pratiques de niveau 2 à l'aide du guide d'évaluation DoD
  • Évaluation interne simulée ou revue de préparation par un Registered Practitioner Organization (RPO) réalisée
  • Personnel préparé pour les entretiens avec les évaluateurs (capable d'expliquer ses responsabilités en matière de sécurité)
  • Score d'auto-évaluation soumis au SPRS
  • C3PAO sélectionné sur la place de marché Cyber AB et accord d'engagement signé

Compléter le périmétrage des actifs avant d'engager un C3PAO n'est pas optionnel. Les évaluateurs qui découvrent des actifs CUI non déclarés lors de l'évaluation peuvent élargir le périmètre, prolonger les délais et transformer des contrôles validés en constats. Bien faire cette étape en amont a plus d'impact sur les résultats de l'évaluation que toute autre étape de la préparation CMMC.

Checklist CMMC Niveau 1 (Contrôles fondamentaux)

Le niveau 1 exige 17 pratiques issues du FAR 52.204-21, réparties sur six domaines de sécurité. Ce sont des exigences de protection de base pour les systèmes traitant des FCI. Aucun POA&M n'est autorisé au niveau 1 : les 17 pratiques doivent être entièrement mises en œuvre avant l'auto-évaluation.

Contrôle d'accès :

  • Limiter l'accès au système aux utilisateurs, processus et dispositifs autorisés
  • Restreindre l'accès aux types de transactions et fonctions que les utilisateurs autorisés peuvent exécuter
  • Vérifier et contrôler les connexions aux systèmes d'information externes
  • Contrôler les informations publiées ou traitées sur des systèmes accessibles au public

Identification et authentification :

  • Identifier tous les utilisateurs, processus agissant pour le compte d'utilisateurs et dispositifs
  • Authentifier l'identité des utilisateurs, processus et dispositifs avant d'autoriser l'accès au système

Protection des supports :

  • Nettoyer ou détruire les supports des systèmes d'information avant élimination ou réutilisation

Protection physique :

  • Limiter l'accès physique aux systèmes aux personnes autorisées
  • Accompagner les visiteurs, surveiller leur activité et tenir des registres d'accès physique
  • Protéger et surveiller les installations physiques et l'infrastructure de support

Protection des systèmes et des communications :

  • Surveiller, contrôler et protéger les communications aux frontières externes et internes clés
  • Mettre en place des sous-réseaux pour les composants accessibles au public, séparés des réseaux internes

Intégrité des systèmes et de l'information :

  • Identifier et corriger rapidement les failles des systèmes d'information
  • Fournir une protection contre les codes malveillants aux emplacements appropriés du système
  • Mettre à jour les mécanismes de protection contre les codes malveillants lors de nouvelles versions
  • Effectuer des analyses périodiques du système et des analyses en temps réel des fichiers provenant de sources externes

La conformité de niveau 1 est atteignable pour la plupart des petits sous-traitants disposant d'une hygiène informatique de base. Si les 17 pratiques sont mises en œuvre, votre checklist CMMC à ce niveau est simple à documenter et à auto-attester. La charge de préparation la plus importante commence au niveau 2, où 110 pratiques doivent être évaluées sur la base de preuves documentées et opérationnelles.

Checklist CMMC Niveau 2 (Contrôles avancés)

Le niveau 2 correspond aux 110 pratiques de la NIST SP 800-171 Révision 2 réparties sur 14 domaines de sécurité. Cette checklist CMMC est organisée par famille de domaines. Toutes les 110 pratiques individuelles ne sont pas listées ici ; utilisez le guide d'évaluation DoD pour la liste complète et les objectifs d'évaluation.

  • Contrôle d'accès (AC) : Mettre en œuvre le principe du moindre privilège, gérer les comptes privilégiés, appliquer le verrouillage de session après inactivité, contrôler l'accès à distance et l'utilisation de systèmes externes, et interdire l'utilisation de supports portables sans propriétaire identifiable.
  • Audit et responsabilité (AU) : Créer et protéger les journaux d'audit système, examiner et analyser les journaux pour détecter toute activité non autorisée, conserver les enregistrements d'audit pour permettre une enquête a posteriori, et fournir la capacité d'audit des événements définis dans le SSP.
  • Gestion de la configuration (CM) : Établir et maintenir des configurations de référence, appliquer les paramètres de sécurité, suivre et contrôler les changements sur les systèmes, analyser l'impact sécurité des changements avant leur mise en œuvre.
  • Identification et authentification (IA) : Appliquer l'authentification multifacteur pour tous les accès réseau et comptes privilégiés, gérer la robustesse et le cycle de vie des authentifiants, et utiliser une authentification résistante à la reproduction.
  • Réponse aux incidents (IR) : Établir une capacité opérationnelle de gestion des incidents incluant la préparation, la détection, le confinement, la récupération et la déclaration par les utilisateurs. Tester la capacité de réponse aux incidents et suivre les incidents.
  • Maintenance (MA) : Effectuer la maintenance des systèmes, contrôler les outils de maintenance, nettoyer les équipements retirés pour maintenance hors site, et exiger une MFA pour les sessions de maintenance à distance.
  • Protection des supports (MP) : Protéger les supports système contenant des CUI, limiter l'accès aux CUI sur supports aux utilisateurs autorisés, nettoyer les supports avant élimination ou réutilisation, et contrôler l'accès aux supports contenant des CUI lors du transport.
  • Sécurité du personnel (PS) : Vérifier les personnes avant d'autoriser l'accès aux systèmes contenant des CUI, et garantir la protection des CUI lors des actions sur le personnel telles que les départs et mutations.
  • Évaluation des risques (RA) : Évaluer périodiquement les risques pour les opérations et les actifs, analyser les vulnérabilités des systèmes et applications, et corriger les vulnérabilités selon les évaluations de risque.
  • Évaluation de la sécurité (SA) : Évaluer périodiquement les contrôles de sécurité, élaborer et mettre en œuvre des plans d'action, surveiller les contrôles de sécurité du système en continu, et produire un SSP à jour reflétant l'environnement opérationnel.
  • Protection des systèmes et des communications (SC) : Surveiller, contrôler et protéger les communications aux frontières, mettre en œuvre des conceptions architecturales et des techniques de développement logiciel favorisant la sécurité, et chiffrer les CUI en transit et au repos.
  • Intégrité des systèmes et de l'information (SI) : Identifier et corriger les failles, fournir une protection contre les codes malveillants, surveiller les systèmes pour les alertes de sécurité, et mettre à jour les protections contre les codes malveillants lors de nouvelles versions.

Travailler sur la checklist CMMC de niveau 2 nécessite un effort soutenu sur plusieurs mois, pas semaines. Les organisations n'ayant pas déjà mis en œuvre la NIST SP 800-171 doivent commencer la remédiation des écarts bien avant l'engagement d'un C3PAO.

Checklist CMMC Niveau 3 (Contrôles de niveau expert)

Le niveau 3 ajoute 24 pratiques de la NIST SP 800-172 en plus de l'ensemble des pratiques du niveau 2, pour un total de 134 pratiques. Ces exigences renforcées ciblent les organisations protégeant des CUI à haute valeur sur des programmes DoD critiques. Les évaluations sont menées par le Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), et le statut de niveau 2 actuel est un prérequis.

Les 24 pratiques supplémentaires portent sur cinq domaines de contrôle renforcés :

  • Contrôle d'accès renforcé : Mettre en œuvre des approches dynamiques de contrôle d'accès coordonnées avec la stratégie de gestion des risques de l'organisation et soutenant des décisions d'accès en temps réel
  • Gestion de la configuration avancée : Établir et maintenir un système de gestion de la configuration capable de suivre les changements avec vérification d'intégrité
  • Renforcement de la réponse aux incidents : Mettre en place une capacité de centre des opérations de sécurité (SOC) et utiliser des mécanismes automatisés pour soutenir la gestion des incidents
  • Gestion des risques de la chaîne d'approvisionnement : Évaluer les risques associés aux fournisseurs, développeurs et prestataires externes et les traiter via des exigences contractuelles
  • Protection avancée des systèmes et des communications : Mettre en œuvre des capacités architecturales et des configurations système utilisant des interfaces gérées et des dispositifs/mécanismes de protection des frontières

Les organisations de niveau 3 doivent également démontrer une surveillance persistante, une capacité de threat hunting et une coordination avec les agences fédérales de cybersécurité. Comme les évaluations sont menées par le DIBCAC, les délais de planification sont importants et une coordination précoce avec les bureaux de programmes DoD est essentielle avant de commencer la préparation de la checklist CMMC niveau 3.

Checklist de documentation et de preuves

Les lacunes en matière de documentation et de preuves sont la raison la plus fréquente des blocages ou échecs d'évaluation CMMC. Votre SSP est l'élément central de toute checklist CMMC, mais les évaluateurs exigent un dossier de preuves complet couvrant chaque domaine concerné.

SSP et documentation :

  • Descriptions complètes de tous les actifs concernés dans les cinq catégories
  • Schémas réseau à jour montrant les flux de données CUI et les frontières système
  • Documentation de tous les contrôles de sécurité et de leur état de mise en œuvre
  • Rôles et responsabilités pour la mise en œuvre des contrôles de sécurité
  • Procédures de réponse aux incidents et contacts
  • Toutes les pratiques non-POA&M listées entièrement mises en œuvre (AC.L2-3.1.20, AC.L2-3.1.22, CA.L2-3.12.4, PE.L2-3.10.3, PE.L2-3.10.4, PE.L2-3.10.5)

Collecte de preuves :

  • Journaux système démontrant la surveillance continue (domaine AU)
  • Configurations de contrôle d'accès et listes d'utilisateurs autorisés à jour
  • Enregistrements d'authentification multifacteur sur tous les systèmes concernés
  • Attestations de formation à la sensibilisation à la sécurité avec dates et contenu
  • Plan de réponse aux incidents avec preuves d'exercices documentés
  • Configurations de référence et enregistrements de gestion des changements
  • Résultats d'évaluation des vulnérabilités et suivi de la remédiation
  • Documentation de cryptographie et certificats
  • Registres d'accès physique pour les zones CUI
  • Preuves de nettoyage des supports
  • Documentation de gestion des CUI par les prestataires tiers et cloud

Maintien post-certification :

  • Auto-évaluation annuelle avec attestation d'un cadre dirigeant
  • Affirmation annuelle soumise au SPRS
  • Surveillance continue et journalisation des audits maintenues
  • SSP mis à jour lors de tout changement d'environnement
  • Planification de la recertification initiée avant expiration

Selon le Cyber AB CAP, sans SSP suffisamment documenté, une évaluation ne peut pas avoir lieu et entraîne un échec par défaut. Constituez votre référentiel de preuves CMMC de façon continue tout au long de la préparation, et non dans les semaines précédant la date d'évaluation.

Erreurs courantes dans la mise en œuvre d'une checklist CMMC

De nombreux sous-traitants abordent la CMMC avec confiance dans leurs programmes de sécurité existants, pour finalement rencontrer des blocages lors de la préparation à l'évaluation. Voici les points d'échec les plus fréquents et comment les éviter.

Erreurs de périmétrage qui compromettent les évaluations

Sur-périmétrer votre environnement CUI augmente les coûts et la complexité sans améliorer la sécurité. Si un système ne traite, ne stocke ni ne transmet jamais de CUI, une désignation CRMA appropriée et une ségrégation technique peuvent légitimement réduire votre périmètre d'évaluation. Cependant, selon le processus CMMC, les désignations CRMA sont "à la discrétion de l'évaluateur". Chaque CRMA doit être justifiée par une documentation dans votre SSP.

Tout aussi risqué : sous-périmétrer en excluant des systèmes de sauvegarde contenant des CUI, des services cloud traitant des CUI ou des terminaux de travailleurs à distance. Si des CUI peuvent transiter par un système, ce système est dans le périmètre, quelles que soient les déclarations informelles.

Documentation décrivant l'intention, pas la réalité

Selon le Cyber AB CAP, sans System Security Plan suffisamment documenté, une évaluation ne peut pas avoir lieu et entraîne un échec par défaut. Votre SSP est le document le plus critique de la CMMC, et il doit refléter l'état opérationnel réel, pas une posture souhaitée.

Les lacunes courantes incluent des listes de contrôle d'accès omettant du personnel récemment ajouté, des politiques sans validation de la direction, et des attestations signées par des employés qui ne sont pas le propriétaire, l'opérateur ou le superviseur approprié.

Mauvaise gestion des POA&M

Certaines pratiques ne peuvent pas être placées sur un Plan of Action and Milestones (POA&M), notamment CA.L2-3.12.4 (System Security Plan), plusieurs pratiques de protection physique et des pratiques spécifiques de contrôle d'accès. Si vous entrez en évaluation C3PAO avec des écarts sur ces contrôles, vous risquez une nouvelle évaluation complète.

Si vous obtenez un statut CMMC conditionnel avec des éléments POA&M ouverts, le délai de clôture est strict. Selon le guide CMMC du DoD, le non-respect du délai de clôture entraîne l'expiration de votre statut sans option de prolongation documentée.

Dans tous ces points d'échec, le facteur commun est le calendrier. Les délais entre l'identification des écarts et la certification CMMC peuvent être importants, et les coûts liés aux échéances manquées ou aux évaluations répétées sont significatifs. Comprendre le budget et le calendrier réalistes est l'étape suivante.

Coûts et délais attendus pour l'évaluation CMMC

Le budget et le calendrier sont deux préoccupations majeures pour les sous-traitants débutant la préparation CMMC. Les deux varient considérablement selon la taille de votre organisation, la maturité de votre sécurité existante et le niveau de certification requis.

Plages de délais typiques

Selon le guide DoD CIO, il n'y a pas de période de préparation fixe, mais l'expérience du secteur fournit des repères utiles :

  • Auto-évaluation niveau 1 : 1 à 3 mois pour les organisations disposant déjà de contrôles de base.
  • Niveau 2 avec programme NIST SP 800-171 existant : 6 à 12 mois pour la remédiation des écarts, la collecte de preuves et la planification C3PAO.
  • Niveau 2 à partir de zéro : 12 à 18 mois ou plus, en tenant compte de la mise en œuvre des contrôles, de la documentation, de la maturation des preuves et de la disponibilité des évaluateurs.
  • Évaluation gouvernementale niveau 3 : Le délai dépend de la planification DIBCAC et nécessite d'abord un statut de niveau 2 actuel.

La disponibilité des C3PAO allonge ces délais. Selon le GAO-26-107955, la capacité des évaluateurs est limitée, donc un engagement précoce est important.

Considérations de coût

Les coûts d'évaluation dépendent de la taille de votre environnement et de la complexité du périmètre. Les principales catégories de coûts incluent les honoraires de consultants et RPO pour l'analyse des écarts et le support de remédiation, les frais d'évaluation C3PAO (variables selon la taille et le périmètre), les investissements technologiques pour les contrôles non encore mis en œuvre, et le temps du personnel interne pour la documentation et la préparation des preuves. 

Les petits sous-traitants avec un périmètre CUI restreint dépenseront moins que les grands contractants principaux gérant des environnements complexes et multi-sites. Intégrez ces coûts dans votre planification dès le début pour éviter les surprises lors de la réponse à un appel d'offres. Une fois le budget et le calendrier pris en compte, les pratiques opérationnelles suivantes vous aideront à optimiser les deux.

Bonnes pratiques pour utiliser une checklist CMMC

Réussir une évaluation CMMC nécessite plus que de cocher des cases sur une checklist. Ces pratiques aident les sous-traitants à construire la posture de conformité CMMC durable attendue par les évaluateurs.

Commencez par la découverte des CUI, pas par la mise en œuvre des contrôles

Avant de déployer un seul contrôle de sécurité, identifiez tous les emplacements où existent des CUI. Les emplacements courants incluent :

  • Archives de messagerie et plateformes de collaboration
  • Dossiers RH et documentation de projet
  • Documents fournisseurs et comptes rendus de réunion
  • Lecteurs partagés et stockage cloud

Cartographiez précisément comment les CUI entrent dans votre environnement, où elles circulent, où elles sont stockées et où elles sortent. Cette cartographie CUI alimente votre SSP et détermine directement le périmètre de votre évaluation. Si des fournisseurs de services cloud externes traitent des CUI, ils doivent satisfaire aux exigences DFARS 252.204-7012(b)(2)(ii)(D).

Segmentez votre réseau avant l'évaluation

Une segmentation appropriée est le principal mécanisme pour réduire votre périmètre d'évaluation. Déployez des pare-feu entre les réseaux internes et Internet. Utilisez des commutateurs de routage pour créer des zones séparant les environnements CUI des réseaux métier généraux, et chiffrez toutes les CUI circulant sur Internet. Les capacités d'application de politiques et de contrôle des périphériques de la Singularity Platform peuvent soutenir cette segmentation en contrôlant l'accès des périphériques aux systèmes traitant des CUI.

Constituez les preuves sur plusieurs mois, pas en quelques jours

Mettez en place un référentiel de preuves structuré aligné sur les familles de contrôles CMMC. Alimentez-le en continu, pas de façon réactive. Le guide d'évaluation niveau 2 exige des preuves démontrant que les contrôles fonctionnent de façon cohérente dans le temps, donc les attestations de formation, échantillons de journaux d'audit, résultats de scans de vulnérabilité et documentation des exercices de réponse aux incidents doivent montrer une opérationnalité durable. Les évaluateurs évaluent la maturité opérationnelle, pas seulement la présence technique.

Préparez votre personnel aux entretiens

Le personnel incapable d'expliquer ses responsabilités de sécurité aux évaluateurs est un point d'échec souvent sous-estimé. Organisez des simulations d'entretiens internes. Assurez-vous que chaque personne concernée peut expliquer ce qu'elle fait, pourquoi elle le fait et où cela est documenté.

Les évaluateurs interrogeront le personnel dans plusieurs rôles clés :

  • Bénéficiaires de la formation à la sensibilisation à la sécurité
  • Administrateurs de la formation à la sécurité de l'information
  • Membres de l'équipe de réponse aux incidents
  • Personnel de surveillance des audits et de revue des journaux

La préparation de ces groupes renforce la confiance et réduit les surprises lors de l'évaluation.

Appliquez les exigences de transmission aux sous-traitants

Selon une analyse de la chaîne d'approvisionnement NDIA, les exigences de transmission DFARS 252.204-7012 s'appliquent "sans égard au niveau de la chaîne d'approvisionnement" pour tout sous-traitant qui stocke, traite ou génère des CUI dans le cadre de l'exécution du contrat. Identifiez tous les sous-traitants qui traiteront des CUI et incluez la transmission de la clause CMMC dans les contrats de sous-traitance. Vérifiez que chaque sous-traitant dispose du statut CMMC approprié au niveau requis. Ne transmettez pas les exigences CMMC aux sous-traitants qui ne traiteront pas de CUI.

Appliquer ces pratiques de façon cohérente construit la maturité opérationnelle recherchée par les évaluateurs. Les bons outils de sécurité peuvent encore réduire l'effort manuel nécessaire au maintien de cette posture.

Une cybersécurité alimentée par l'IA

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

La CMMC 2.0 est désormais applicable, avec la phase 1 active depuis le 10 novembre 2025. Votre checklist CMMC doit couvrir le périmétrage des actifs, la documentation du SSP, la collecte de preuves et la maintenance continue sur les pratiques de niveau 2. Les échecs les plus courants sont une documentation décrivant l'intention plutôt que la réalité opérationnelle, une découverte incomplète des CUI et une collecte de preuves réactive. 

Commencez la préparation à la conformité CMMC bien avant d'avoir besoin de la certification, tenez compte de la capacité limitée des C3PAO et construisez une infrastructure de surveillance générant des preuves de certification CMMC par conception.

FAQ

Une liste de contrôle CMMC est un outil structuré qui aide les sous-traitants du DoD à suivre la mise en œuvre et la collecte de preuves pour chaque pratique de cybersécurité requise dans le cadre du Cybersecurity Maturity Model Certification. Elle organise les 17, 110 ou 134 pratiques exigées à chaque niveau CMMC en éléments actionnables, couvrant la délimitation des actifs, la documentation, la mise en œuvre des contrôles et la préparation à l’évaluation. 

L’utilisation d’une liste de contrôle CMMC réduit le risque d’omettre des contrôles critiques ou de se présenter à une évaluation C3PAO sans preuves suffisantes.

Une liste de contrôle CMMC complète couvre l'inventaire des actifs et la délimitation du CUI, les exigences de documentation du System Security Plan (SSP), le statut de mise en œuvre des contrôles dans toutes les familles de pratiques applicables du NIST SP 800-171, les exigences de collecte de preuves par domaine (contrôle d'accès, journaux d'audit, réponse aux incidents, gestion de la configuration, et autres), le suivi du POA&M pour tout point en suspens, ainsi que la préparation du personnel pour les entretiens avec les évaluateurs. 

Au niveau 2, la liste de contrôle s'aligne sur 110 pratiques réparties dans 14 domaines de sécurité. Au niveau 3, elle s'étend à 134 pratiques intégrant les exigences du NIST SP 800-172.

Aucune réglementation n'exige que les sous-traitants utilisent un format de liste de contrôle spécifique. Cependant, le processus d'évaluation du DoD exige que chaque pratique concernée soit examinée, testée ou observée par les évaluateurs. Sans approche de suivi systématique, les sous-traitants omettent régulièrement des lacunes dans les preuves ou documentent insuffisamment la mise en œuvre des contrôles. 

Selon le Cyber AB CAP, une évaluation ne peut pas avoir lieu sans un SSP suffisamment documenté, rendant ainsi une préparation structurée effectivement obligatoire, même si le format de la liste de contrôle lui-même n'est pas prescrit.

Le dossier de documentation principal pour une évaluation CMMC Niveau 2 comprend : un plan de sécurité du système couvrant tous les actifs concernés, des schémas réseau montrant les flux de données CUI et les limites du système, des listes de contrôle d'accès et des registres d'autorisation, des registres de formation à la sensibilisation à la sécurité avec les dates d'achèvement, la documentation du plan de réponse aux incidents et des exercices, les configurations de référence et les registres de gestion des changements, les résultats des analyses de vulnérabilité et le suivi des remédiations, ainsi que tout élément POA&M ouvert avec les dates jalons. 

Les évaluateurs mèneront également des entretiens structurés avec le personnel et effectueront des tests techniques pratiques, la documentation devant donc refléter la réalité opérationnelle et non l'état souhaité.

Les délais de préparation varient selon vos contrôles existants, la maturité de votre documentation et la quantité de preuves historiques que vous pouvez déjà fournir. Les organisations disposant de programmes de sécurité matures et de SSP établis avancent généralement plus rapidement, tandis que celles qui partent de zéro doivent prévoir un délai plus long. 

Toutes les organisations doivent tenir compte des périodes de collecte de preuves, des revues internes de préparation et des délais de planification du C3PAO, qui peuvent ajouter plusieurs mois à la chronologie globale.

Votre statut CMMC conditionnel peut expirer et vous pourriez devoir subir une nouvelle évaluation complète au lieu de simplement reprendre là où vous vous étiez arrêté. Cela réinitialise votre chronologie et augmente les coûts. 

Cela peut également vous disqualifier des opportunités contractuelles actives nécessitant un statut CMMC à jour. Planifiez soigneusement les efforts de remédiation et allouez les ressources nécessaires pour clôturer les éléments POA&M bien avant la date limite.

Si un fournisseur de services cloud traite, stocke ou transmet du CUI pour votre compte, il doit répondre aux exigences de sécurité définies dans DFARS 252.204-7012(b)(2)(ii)(D). Cela signifie généralement une autorisation FedRAMP Moderate ou équivalente. 

Le fait de ne pas documenter et valider le statut de conformité de votre fournisseur cloud crée des problèmes de périmètre lors de l’évaluation et peut entraîner des constats à l’encontre de votre organisation, et non seulement du fournisseur.

DFARS 252.204-7012 établit les exigences fondamentales de cybersécurité que les sous-traitants de la défense doivent mettre en œuvre, principalement basées sur NIST SP 800-171. CMMC ajoute une couche de vérification en exigeant une évaluation indépendante de ces mises en œuvre. 

Les deux fonctionnent ensemble : DFARS définit ce que vous devez faire, et CMMC confirme que vous l’avez effectivement fait. Avant CMMC, les sous-traitants déclaraient eux-mêmes leur conformité sans validation indépendante.

Les sous-traitants qui stockent, traitent ou génèrent du CUI dans le cadre de l’exécution du contrat doivent disposer du statut CMMC approprié au niveau spécifié dans le flux contractuel. 

Les contractants principaux sont responsables d’inclure les clauses CMMC dans les accords de sous-traitance et de vérifier le statut des sous-traitants. Les sous-traitants qui ne traitent que du FCI ou n’interagissent pas avec le CUI ne doivent pas se voir imposer des exigences CMMC supplémentaires au-delà de ce que le contrat exige.

En savoir plus sur Cybersécurité

Cybersécurité dans le secteur public : risques, bonnes pratiques et cadres de référenceCybersécurité

Cybersécurité dans le secteur public : risques, bonnes pratiques et cadres de référence

Découvrez les risques et menaces auxquels les agences et organismes gouvernementaux sont confrontés dans le domaine de la cybersécurité. Nous abordons également les meilleures pratiques pour sécuriser les systèmes gouvernementaux. Poursuivez votre lecture pour en savoir plus.

En savoir plus
Qu'est-ce qu'une Insecure Direct Object Reference (IDOR) ?Cybersécurité

Qu'est-ce qu'une Insecure Direct Object Reference (IDOR) ?

Une Insecure Direct Object Reference (IDOR) est une faille de contrôle d'accès où l'absence de vérification de propriété permet à des attaquants d'accéder aux données de n'importe quel utilisateur en modifiant un paramètre d'URL. Découvrez comment la détecter et la prévenir.

En savoir plus
Sécurité IT vs OT : Principales différences et meilleures pratiquesCybersécurité

Sécurité IT vs OT : Principales différences et meilleures pratiques

La sécurité IT vs OT couvre deux domaines avec des profils de risque, des exigences de conformité et des priorités opérationnelles distincts. Découvrez les principales différences et les meilleures pratiques.

En savoir plus
Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiquesCybersécurité

Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiques

Les sauvegardes Air Gapped conservent au moins une copie de récupération hors de portée des attaquants. Découvrez leur fonctionnement, les types, des exemples et les meilleures pratiques pour la récupération après ransomware.

En savoir plus
Découvrez la plateforme de cybersécurité la plus avancée

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité la plus intelligente et la plus autonome au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Obtenir une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français