Le Pentagone annonce la « suspension immédiate » des mandats CMMC Phase II
WASHINGTON — Le Pentagone suspend une partie de ses exigences en matière de cybersécurité pour l’industrie, spécifiquement liées aux évaluations par des tiers, invoquant des charges onéreuses pour les entreprises de défense particulièrement petites.
« En soutien à la directive du secrétaire à la Guerre Hegseth visant à accroître de manière agressive la préparation des combattants, j’annonce la suspension immédiate des exigences de la phase II de la certification du modèle de maturité de la cybersécurité, ou CMMC, qui devaient initialement entrer en vigueur le 10 novembre 2026 », a déclaré Kirsten Davies, directrice de l’information, aux journalistes du Pentagone aujourd’hui, en utilisant le nom secondaire du secrétaire à la Défense. « Je tiens à être clair au sein du ministère de la Guerre et de notre base industrielle de défense : investir et maintenir de manière dynamique une cybersécurité robuste reste une priorité essentielle non négociable. Cette action n’élimine pas l’obligation légale pour nos partenaires industriels de protéger les données fédérales. «
Davies a ajouté plus tard : « Nous ne réduisons pas la cybersécurité grâce à cette mesure. Nous réduisons les formalités administratives. »
Une note du 10 juillet publiée aujourd’hui par le Pentagone note que la version actuelle de la CMMC impose « des charges importantes et souvent prohibitives à la base industrielle de défense (DIB), en particulier aux petites entreprises non traditionnelles qui sont le moteur de l’innovation américaine. Bien que la cybersécurité soit essentielle, la conformité administrative ne peut se faire au détriment de la capacité de guerre et de la croissance de la base industrielle ».
L’administration actuelle a fait de l’assouplissement des restrictions et des obstacles bureaucratiques une priorité absolue afin d’accélérer la fourniture de systèmes et de capacités tout en cherchant simultanément à développer la base industrielle.
Le CMMC est en préparation depuis au moins 2019, sous la première administration Trump. À l’époque, on craignait que les ennemis de l’Amérique soient capables d’infiltrer les entrepreneurs et les fournisseurs pour voler des informations et les regrouper afin d’obtenir un avantage significatif. Le programme visait à renforcer la sécurité de l’ensemble de la base industrielle afin que le maillon le plus faible ne soit pas une cible pour les adversaires.
Tel qu’il était initialement conçu, il s’agissait d’un cadre de cybersécurité à plusieurs niveaux qui notait les entreprises sur une échelle de un à cinq en fonction de la classification et de la sécurité nécessaires au travail qu’elles effectuaient. En 2021, l’administration Biden a retravaillé le programme en réduisant les niveaux de cinq à trois dans le cadre de ce qui a été surnommé CMMC 2.0. La phase II, cible de la note, exigeait à la fois une auto-évaluation et des évaluations d’un tiers tous les trois ans.
« Qu’est-ce qui change ? Permettez-moi d’être direct. Nous mettons fin aux audits complexes. Nous mettons fin à l’exigence de recours à des évaluateurs et à des audits tiers », a déclaré aux journalistes Michael Duffey, sous-secrétaire à la Défense pour l’acquisition et le maintien en puissance. « Nous nettoyons immédiatement les sollicitations actives. Si une sollicitation ou un contrat de défense en cours contient les exigences suspendues de la phase deux, j’ai demandé à nos gestionnaires de programme et agents de négociation des contrats de les amender ou de les modifier dès que possible. »
Ces audits s’appliquent aux évaluations de tiers dans le cadre des phases CMMC, ou niveaux II et III, selon les documents fournis par le Pentagone.
Il était toujours difficile de recruter suffisamment d’organisations qualifiées pour mener les évaluations, ce qui aurait créé un retard considérable pour les entreprises espérant recevoir des audits et être en conformité.
« Nous constatons qu’il y a encore plus de 100 000 entreprises DIB qui ont encore besoin d’une évaluation par un tiers et quelque part autour de 100, peut-être un peu plus de 100 évaluateurs disponibles pour cela. Donc le calcul ne permet tout simplement pas aux petites et moyennes entreprises de se conformer même avant… l’ancienne date de transition du 10 novembre 2026 », a déclaré Davies.
La note indique que les données et les commentaires de la Small Business Administration ont montré que le programme CMMC actuel est « structurellement incompatible avec notre besoin d’étendre rapidement le DIB ».
Le Pentagone va maintenant lancer un groupe de travail qui mènera un examen complet de la CMMC et servira de plaque tournante pour synthétiser les commentaires de l’industrie à partir des demandes publiques d’informations concernant les défis de conformité. Le groupe de travail publiera un rapport final dans les 60 jours, recommandant des mesures réalistes privilégiant la vitesse à la capacité et réduisant les barrières à l’entrée pour les petites entreprises non traditionnelles.
Au cours de la période d’examen de 60 jours, le Pentagone a déclaré qu’il continuerait à appliquer la conformité de base en matière de cybersécurité via la norme NIST SP 800-171 Rev 2 par le biais d’auto-évaluations qui, selon le département, se concentreront sur une cyberhygiène tangible plutôt que sur les frais administratifs.
Les responsables ont insisté sur le fait que la suspension ne sacrifierait pas la cybersécurité.
« Nous n’assouplissons en aucun cas les normes », a déclaré Duffey. « Nous attendons des entreprises qu’elles adhèrent aux normes définies par le NIST. Ce que nous supprimons, c’est la bureaucratie de l’évaluation par un tiers. »
Cette décision plaira probablement aux entreprises de défense qui soutiennent depuis longtemps que le régime CMMC crée trop d’obstacles au travail de défense, en particulier pour les petites entreprises qui n’ont pas les ressources nécessaires pour répondre aux exigences de conformité et aux tests – au grand dam de ceux qui l’ont développé.
« Aller sur LinkedIn et vous plaindre au monde que la CMMC est trop difficile… vous êtes – et je tiens à dire (avec) le plus de respect que je peux à quiconque – vous êtes stupide dans ce qu’est votre déclaration, parce que votre entreprise a été engagée depuis 2014 pour instituer les 110 exigences du NIST 171. Ce que vous dites, c’est que vous n’êtes pas conforme », a déclaré l’année dernière Katie Arrington, largement considérée comme la créatrice de la CMMC sous la première administration Trump. en tant que fonctionnaire exerçant les fonctions de DoD CIO. Depuis, elle a quitté le gouvernement.
