📣 Envoyez-nous votre communiqué de presse
Site mis à jour toutes les 15 minutes
Technologie

Pause des exigences CMMC du DoD américain : les obligations demeurent

La pause de la phase 2 du CMMC par le ministère américain de la Défense n'annule pas les obligations de protection des données fédérales. Les exigences clés restent en vigueur.

16 juillet 2026
Pause des exigences CMMC du DoD américain : les obligations demeurent

Les sous-traitants de la défense doivent maintenir leurs efforts en cybersécurité malgré la pause du CMMC

Pittsburgh, PA – 16 juillet 2026 – Magna5 a conseillé aux sous-traitants de la défense que, bien que la récente pause de la phase 2 du CMMC par le ministère de la Défense (DoD) offre un répit temporaire, elle n'annule pas leur obligation stricte de protéger les données fédérales. Les exigences fondamentales, y compris l'alignement sur NIST SP 800-171 et la déclaration SPRS précise, demeurent activement appliquées.

La décision du DoD de suspendre le déploiement prévu de la phase 2 du CMMC en novembre 2026 a créé une confusion au sein de la base industrielle de la défense. La suspension s'applique pendant une période d'examen de 60 jours par un nouveau groupe de travail, le CMMC Reform Task Force, et affecte les évaluations obligatoires par des tiers ainsi que la mise en œuvre de la phase 3. Magna5 exhorte les entreprises du secteur de la défense à utiliser cette période pour renforcer leur préparation, combler les lacunes critiques en matière de conformité et bâtir des programmes de cybersécurité résilients et adaptables.

"Le plus grand défi n'a pas été le coût d'une évaluation, mais la préparation", a déclaré Bill Osborne, vice-président des services du secteur de la défense chez Magna5. "De nombreux sous-traitants ont sous-estimé le temps, la documentation, la maturité des processus et la discipline opérationnelle nécessaires pour satisfaire réellement NIST SP 800-171. L'évaluation elle-même peut coûter des dizaines de milliers de dollars, mais la construction d'un programme de sécurité capable de la réussir coûte plus cher."

Osborne a souligné que si les pénuries d'évaluateurs ont attiré l'attention, le problème plus profond est que de nombreux sous-traitants ne sont pas prêts pour une évaluation. Le niveau 2 du CMMC exige un programme de sécurité mature, comprenant un environnement CUI bien défini, une documentation précise du plan de sécurité du système, des politiques et procédures auditables, et des preuves de mise en œuvre des contrôles. Ces exigences fondamentales ne sont pas modifiées par la pause.

Magna5 a rappelé que les acteurs malveillants ne suspendent pas leurs activités, et par conséquent, les efforts de conformité des sous-traitants de la défense ne devraient pas être non plus interrompus. Les entreprises qui continuent à faire progresser leurs programmes de sécurité seront mieux placées lorsque les exigences du CMMC reprendront, lorsque les entreprises principales imposeront la conformité ou lorsque des mandats de cybersécurité fédéraux plus larges entreront en vigueur.

Source originale: prnewswire.com