Deux référentiels, un seul problème
Les sous-traitants de défense opérant à la fois aux États-Unis et dans l'UE font face à deux obligations majeures de conformité en cybersécurité : CMMC Level 2 (basé sur NIST SP 800-171 Rev 2) et la directive NIS2 (mesures de gestion des risques de l'article 21). Les deux sont contraignants. Les deux entraînent des conséquences réelles en cas de non-conformité. Et les deux sont entrés en vigueur à peu près au même moment.
Le réflexe est de construire deux programmes de conformité distincts — un par référentiel. Ce réflexe est coûteux et inutile. Les exigences de contrôle se recoupent à environ 70-80 %. Une architecture Zero Trust sur site, correctement conçue, peut satisfaire les deux.
Origines des référentiels
CMMC Level 2 s'appuie directement sur les 110 exigences de sécurité du NIST SP 800-171. Il protège les Controlled Unclassified Information (CUI) dans la chaîne d'approvisionnement de la défense. L'évaluation est réalisée par des C3PAOs (CMMC Third-Party Assessment Organizations). L'échec entraîne la perte de contrats DoD — et avec l'échéance d'octobre 2026 qui approche rapidement, le calendrier est serré.
NIS2 Article 21 impose dix catégories de mesures de gestion des risques en cybersécurité aux entités essentielles et importantes. Il protège la résilience opérationnelle des infrastructures critiques à travers l'UE. L'application est désormais active dans la plupart des États membres de l'UE. Le non-respect expose à des amendes pouvant atteindre 10 M EUR ou 2 % du chiffre d'affaires mondial, ainsi qu'à une responsabilité personnelle potentielle pour les dirigeants.
Des origines différentes. Des autorités d'application différentes. Mais à la lecture des exigences de contrôle côte à côte, le recoupement est substantiel.
Le recoupement : cartographie contrôle par contrôle
Le tableau suivant met en correspondance les principaux domaines de contrôle des deux référentiels. Lorsque les deux référentiels exigent la même capacité, une seule mise en œuvre satisfait les deux.
| Domaine de contrôle | CMMC Level 2 (NIST 800-171) | NIS2 Article 21 | Recoupement |
|---|---|---|---|
| Contrôle d'accès | AC 3.1.1–3.1.22 (22 exigences) | Art. 21(2)(i) — politiques de contrôle d'accès | Total — les deux exigent le moindre privilège, MFA, contrôles de session |
| Segmentation réseau | SC 3.13.1–3.13.16 (protection des systèmes et communications) | Art. 21(2)(a) — analyse des risques, sécurité réseau | Total — les deux exigent une protection des périmètres et une segmentation |
| Réponse aux incidents | IR 3.6.1–3.6.3 | Art. 21(2)(b) — gestion des incidents | Total — les deux exigent détection, réponse, notification et revue post-incident |
| Surveillance et audit | AU 3.3.1–3.3.9 | Art. 21(2)(a) — analyse des risques, évaluation de l'efficacité | Total — les deux exigent journalisation, piste d'audit et revue |
| Évaluation des risques | RA 3.11.1–3.11.3 | Art. 21(2)(a) — politiques d'analyse des risques | Total — les deux exigent une évaluation périodique des risques |
| Continuité d'activité | CP 3.8.9 (limité) | Art. 21(2)(c) — continuité d'activité et gestion de crise | Partiel — NIS2 est plus large ; CMMC se concentre sur la disponibilité des CUI |
| Sécurité de la chaîne d'approvisionnement | SR 3.17.1–3.17.3 (NIST 800-171 Rev 3 en ajoute davantage) | Art. 21(2)(d) — sécurité de la chaîne d'approvisionnement | Partiel — NIS2 exige une gestion plus large des risques fournisseurs |
| Chiffrement | SC 3.13.8, 3.13.11 (CUI en transit et au repos) | Art. 21(2)(h) — cryptographie et chiffrement | Total — les deux exigent le chiffrement des données sensibles |
| Sécurité du personnel | PS 3.9.1–3.9.2 | Art. 21(2)(j) — sécurité des ressources humaines | Total — les deux exigent des procédures de vérification et de départ |
| Gestion des vulnérabilités | SI 3.14.1–3.14.7 | Art. 21(2)(e) — traitement et divulgation des vulnérabilités | Total — les deux exigent correctifs, analyses et remédiation |
| Gestion des configurations | CM 3.4.1–3.4.9 | Art. 21(2)(a) — politiques de sécurité des systèmes d'information | Total — les deux exigent des référentiels, un contrôle des changements et un durcissement |
| Sécurité physique | PE 3.10.1–3.10.6 | Art. 21(2)(a) — sécurité de l'environnement physique | Total — les deux exigent des contrôles d'accès physiques |
| Authentification | IA 3.5.1–3.5.11 | Art. 21(2)(i) — authentification multifacteur | Total — les deux exigent MFA et gestion des identités |
| Traitement spécifique des CUI | MP 3.8.1–3.8.9 (protection des supports, marquage) | Non spécifiquement adressé | CMMC uniquement — marquage, traitement et destruction des CUI |
| Responsabilité des dirigeants | Non adressé | Art. 20, Art. 32(5) — responsabilité personnelle des dirigeants | NIS2 uniquement — pas d'équivalent CMMC |
Sur 14 domaines de contrôle, 11 se recoupent totalement, 2 partiellement, et chaque référentiel comporte une exigence unique que l'autre n'aborde pas.
Points de divergence
Spécifique CMMC : traitement des CUI
CMMC Level 2 inclut des exigences qui existent uniquement en raison des Controlled Unclassified Information :
- Protection des supports — les CUI doivent être marqués, tracés et détruits lorsqu'ils ne sont plus nécessaires
- Définition du périmètre CUI — vous devez définir précisément où les CUI résident et circulent (l'enclave CUI)
- Chiffrement validé FIPS 140-2 — pas simplement du « chiffrement », mais des modules spécifiquement validés FIPS
- Méthodologie d'évaluation — CMMC exige une évaluation par un C3PAO selon une méthodologie de notation précise
NIS2 ne connaît pas la notion de CUI. Il n'impose pas de classification des données à ce niveau.
Spécifique NIS2 : chaîne d'approvisionnement et gouvernance
NIS2 va plus loin que CMMC sur deux points :
- Sécurité de la chaîne d'approvisionnement — l'article 21(2)(d) exige d'évaluer la sécurité des fournisseurs directs et prestataires de services, y compris les vulnérabilités propres à chaque fournisseur
- Responsabilité de l'organe de direction — l'article 20 exige l'approbation et la supervision des mesures de cybersécurité par la direction, avec responsabilité personnelle en cas de négligence grave
- Continuité d'activité — l'article 21(2)(c) exige une planification de la continuité plus complète que ce que CMMC impose pour la disponibilité des CUI
L'approche architecture unique
Voici comment un seul déploiement Zero Trust sur site satisfait simultanément les deux référentiels :
1. Segmentation réseau (CMMC SC + NIS2 Art. 21(2)(a))
Déployez un appliance ou une VM Access Gate à la frontière entre IT et OT, et entre les zones réseau. Cela crée :
- Le périmètre de l'enclave CUI requis par CMMC (les CUI ne circulent qu'au sein des segments définis)
- L'architecture de sécurité réseau requise par NIS2 (segmentation proportionnée aux risques)
Un seul déploiement de segmentation. Deux cases de conformité cochées.
2. Contrôle d'accès Zero Trust (CMMC AC/IA + NIS2 Art. 21(2)(i))
Appliquez un accès vérifié par identité avec MFA à chaque frontière de zone, session par session :
- CMMC exige un accès au moindre privilège aux CUI avec authentification multifacteur
- NIS2 exige des politiques de contrôle d'accès et MFA là où c'est approprié
Un seul moteur de politique. Un seul point d'application. Les deux référentiels satisfaits.
3. Journalisation et surveillance (CMMC AU + NIS2 Art. 21(2)(a))
Capturez tous les événements d'accès, enregistrements de sessions et modifications de politique dans des journaux inviolables stockés sur site :
- CMMC exige des journaux d'audit suffisants pour reconstituer les événements pertinents en matière de sécurité
- NIS2 exige des mesures pour évaluer l'efficacité de la gestion des risques en cybersécurité
Un seul flux de journaux. Deux pistes d'audit.
4. Détection et réponse aux incidents (CMMC IR + NIS2 Art. 21(2)(b))
Surveillance du trafic OT avec connaissance des protocoles et alertes sur les schémas d'accès anormaux :
- CMMC exige une capacité de réponse aux incidents avec notification au DoD
- NIS2 exige une gestion des incidents avec notification initiale sous 24 heures et rapport détaillé sous 72 heures
Un seul moteur de détection. Des modèles de notification différents.
5. Chiffrement (CMMC SC + NIS2 Art. 21(2)(h))
Chiffrement validé FIPS 140-2 pour les données en transit et au repos :
- CMMC exige spécifiquement la validation FIPS
- NIS2 exige un chiffrement proportionné au risque
L'utilisation de modules validés FIPS satisfait les deux. Il n'existe aucun scénario où la validation FIPS ne répond pas à la norme « proportionnée » de NIS2.
Ce qui reste à traiter séparément
Même avec une architecture unifiée, chaque référentiel comporte des exigences administratives propres :
| Exigence | Référentiel | Action à mener |
|---|---|---|
| Procédures de marquage et de traitement des CUI | CMMC | Documenter les flux CUI, appliquer les marquages, former le personnel |
| Préparation à l'évaluation C3PAO | CMMC | Préparer le SSP, le POA&M et les dossiers de preuves |
| Formation de l'organe de direction | NIS2 | Former les dirigeants, documenter leur participation |
| Évaluations des risques fournisseurs | NIS2 | Évaluer et documenter la sécurité de la chaîne d'approvisionnement |
| Mise en place des canaux de notification aux autorités nationales | NIS2 | Établir les canaux de notification d'incidents 24h/72h |
Ce sont des éléments de documentation et de processus. Ils ne nécessitent pas d'infrastructure technique distincte.
Construire une fois, certifier deux fois
Le calcul est simple. Construire deux architectures de conformité distinctes double les coûts d'infrastructure, double la charge de maintenance et crée deux ensembles de contrôles qui divergeront inévitablement. Une seule architecture Zero Trust sur site — avec l'enclave CUI définie en son sein et la gouvernance NIS2 superposée — donne une seule infrastructure à maintenir, un seul ensemble de contrôles à auditer, et deux référentiels satisfaits. Commencez par le standard le plus exigeant (la précision de CMMC Level 2) : la conformité NIS2 suit avec un effort supplémentaire minimal.
Pour plus de ressources CMMC, études de cas et guides de mise en œuvre, consultez le hub CMMC Compliance for On-Premise.
Pour plus de ressources NIS2, options de déploiement souverain et guides de conformité, consultez le hub NIS2 Compliance for On-Premise OT.
