L’UE n’est pas la seule à lier les attentes en matière de cybersécurité à la réglementation. Le cadre CMMC du ministère américain de la Guerre impose des exigences concrètes aux entreprises du monde entier, y compris dans l’UE.
Si l’UE réglemente, le reste du monde suit d’une manière ou d’une autre. Le marché européen est trop important pour être négligé, ce qui explique pourquoi l’impact de réglementations telles que NIS2, DORA et le RGPD se fait sentir dans le monde entier. Cependant, l’Europe n’est pas la seule à pouvoir utiliser des règles internes pour avoir un impact mondial : à partir de novembre de cette année, les entreprises du monde entier devront se conformer aux exigences du programme Cybersecurity Maturity Model Certification (CMMC).
Obligation mondiale
L’obligation s’applique à toutes les organisations de la chaîne d’approvisionnement du ministère américain de la Défense (que le président Trump a rebaptisé ministère de la Guerre, sans l’approbation nécessaire du Congrès américain). « Cela représente 200 000 à 300 000 entreprises dans le monde », estime Chris Dimitriadis, Chief Global Strategy Officer chez ISACA. ISACA est responsable de la formation, de l’examen et de la certification des professionnels dans le monde entier dans le cadre du CMMC.
Dimitriadis précise ce qu’il en est exactement : « NIS2 est une réglementation, tout comme DORA. Les entreprises doivent se conformer aux règles, mais les mécanismes de contrôle concrets font défaut. Aux États-Unis, il existe désormais également une réglementation qui fait référence à un cadre très spécifique : le CMMC. »
Exigences concrètes, également dans l’UE
En d’autres termes, la réglementation américaine est liée à un cadre qui contient des contrôles concrets. « Le cadre CMMC est basé sur les normes NIST aux États-Unis. Il est la propriété du ministère américain de la Guerre», explique Dimitriadis. Le lien entre la réglementation et le cadre permet aux organisations d’avoir une idée très précise de ce qui est attendu d’elles. « Les exigences sont moins vagues que celles des autres réglementations », estime-t-il.
Les obligations liées au CMMC ne font pas de distinction entre les grandes et les petites entreprises. Toute organisation qui est impliquée d’une manière ou d’une autre dans la fourniture de solutions utilisées par la défense américaine doit s’y conformer. « Peu importe où les organisations sont basées », fait remarquer Dimitriadis.
lire aussi
L’ISACA assume la certification mondiale des professionnels CMMC
« Dans l’UE, de nombreuses entreprises seront soumises aux obligations du CMMC », poursuit-il. « En novembre de cette année, il sera obligatoire de se conformer aux niveaux 1 et 2. En novembre 2027, il sera temps de respecter les obligations plus strictes du niveau 3. Fin 2028, toutes les entreprises de la chaîne d’approvisionnement devront être réellement certifiées.
Besoin d’une armée de spécialistes
Cette certification n’est pas une mince affaire. Dimitriadis explique plus en détail : « Le cadre CMMC est la propriété du ministère américain de la Guerre et l’organisation à but non lucratif CyberAB est le gestionnaire de l’ensemble de l’écosystème. CyberAB travaille avec différentes parties : ISACA est la CMMC Assessor and Instructor Certification Organization, ou CAICO en abrégé. Il y a aussi les C3PAO : les organisations qui fournissent des audits pour le secteur auquel la réglementation s’applique, et qui emploient des professionnels certifiés par l’ISACA CAICO. »
ISACA est chargée de constituer le personnel
Chris Dimitriadis, Chief Global Strategy Officer ISACA
« ISACA est chargée de constituer le personnel », déclare Dimitriadis. « Nous contribuerons à créer une disponibilité mondiale d’experts en cybersécurité ayant une compréhension approfondie des contrôles du CMMC, des CCA, des CCP et des CCI. ISACA a été choisie comme CIAICO pour plusieurs raisons. L’organisation compte environ 200 000 membres dans le monde et possède déjà plus de 55 ans d’expérience dans la cybersécurité et la cyber-assurance. La construction d’une base de personnes formées de manière holistique est au cœur de ce que nous faisons. »
Ces professionnels formés et certifiés peuvent ensuite être utilisés de différentes manières. Ils peuvent choisir de travailler pour des C3PAO en tant qu’évaluateurs ou formateurs, ou ils peuvent travailler dans le secteur de la défense pour mettre en œuvre le cadre dans la pratique. Les C3PAO doivent vérifier, pour le compte de CyberAB, si les organisations respectent réellement leurs obligations conformément au CMMC.
Approche holistique
Les entreprises elles-mêmes ont bien sûr aussi besoin de spécialistes du cadre CMMC pour se mettre en conformité. Dimitriadis explique plus en détail comment cela fonctionne idéalement.
« Tout commence par une analyse des risques, au cours de laquelle les organisations vérifient les règles auxquelles elles doivent se conformer. NIS2, par exemple, a des règles, mais pas de contrôles. Il existe des obligations et des sanctions qui y sont liées. Il en va de même pour DORA. La réglementation américaine, CFR 32 part 170, offre des exigences concrètes en faisant référence au cadre CMMC. »
Tout commence par une analyse des risques.
Chris Dimitriadis, Chief Global Strategy Officer ISACA
« Ensuite, elles doivent elles-mêmes élaborer un cadre holistique dans lequel toutes les obligations convergent. Cela peut se faire, par exemple, via le cadre CMMI ou le cadre COBIT d’ISACA. Vous pouvez considérer ce travail comme des blocs Lego que vous emboîtez, en rassemblant le CMMC, l’ISO et d’autres normes. »
« Lorsque les organisations auront fait cela, elles constateront rapidement que les nombreuses exigences se chevauchent. Le CMMC a, par exemple, des contrôles pour la réponse aux incidents, et NIS2 a des exigences à ce sujet. Avec quelques ajustements dans le cadre holistique, vous assurez la conformité pour les deux. »
« Pour intégrer toutes les exigences dans un cadre holistique, vous avez bien sûr besoin de personnes qui ont suivi la bonne formation », réalise Dimitriadis. « Lorsque vos employés ont suivi les bonnes formations, ils peuvent élaborer le chemin correct vers la conformité. Sans les connaissances requises, les organisations risquent de s’enliser dans les coûts et les frais généraux. »
Formation attrayante
ISACA elle-même a déjà souligné à plusieurs reprises que l’offre de professionnels de la cybersécurité ne couvre pas la demande. Dimitriadis espère que les professionnels du CMMC seront plutôt un catalyseur pour améliorer cette situation, plutôt qu’un obstacle.
« Le CMMC concerne le secteur militaire. La sécurité adaptée à la défense est la norme d’or », selon Dimitriadis. « De plus, la réglementation américaine est motivée par des exigences de conformité et des audits obligatoires. Il existe donc des incitations à suivre la formation. La demande d’experts est garantie par la réglementation. Quiconque suit la certification peut envisager une carrière de spécialiste dans l’une des normes de cybersécurité les plus importantes au monde. »
lire aussi
ISACA : « Les cybermenaces basées sur l’IA, principale préoccupation pour 2026 »
ISACA s’attend à ce que cette garantie concrète de pertinence de la certification incite les gens à la poursuivre. De plus, ISACA travaille en étroite collaboration avec les établissements universitaires pour trouver suffisamment de personnes. « Nous croyons fermement que nous pouvons former la main-d’œuvre nécessaire », déclare un Dimitriadis optimiste.
Pour les organisations européennes, grandes et petites, le CMMC signifie qu’elles doivent se conformer à une nouvelle série d’exigences, mais comme l’indique Dimitriadis, cela ne signifie pas qu’elles doivent repartir de zéro. Dimitriadis conclut : « Il s’agit toujours de cybersécurité. Il existe bien sûr des différences dans les exigences des réglementations et des cadres. Il n’est jamais vrai que la conformité à une seule réglementation couvre également toutes les autres réglementations. Mais avec une approche holistique, il est parfaitement possible de rassembler toutes les exigences de cybersécurité. »