Blog > CMMC

10 SEPT 2025 - CMMC : voici les obligations finales des contractants de DoD - 48 CFR CMMC

Le Département américain de la Defense (DOD, renommé recemment Département américain de la Guerre) vient de publier le 10 septembre 2025 le Règlement final visant à clarifier ses règles et exigences d'approvisionnement CMMC (48 CFR CMMC). 

C’est une étape  importante qui indique que dans un délai de 60 jours, soit le 10 novembre 2025, le Département américain de la Defense va commencer à inclure les exigences CMMC dans ses contrats. 

Veuillez considérer que désormais, CMMC est obligatoire pour obtenir des contrats au sein de la chaîne d’approvisionnement de  la Défense américaine.

 

Voici ce qu'il faut retenir :

Le niveau CMMC exigé sera indiqué dans chaque appel d’offres

  • Le Département américain de la Defense indiquera dans ses appels d’offres quel est le niveau CMMC exigé (CMMC Niveau 1, CMMC Niveau 2 avec auto-évaluation, CMMC Niveau 2 avec évaluation par un auditeur externe C3PAO, CMMC Niveau 3).

 

Vous devez avoir la certification CMMC pour que le contrat vous soit donné

  • Le Département américain de la Defense indique qu'avant qu'il vous octroie un contrat, vous devez prouver que vous avez la certification CMMC exigée.

  • Aucun contrat ne sera octroyé à un contractant ou sous-contractant qui n'a pas la certification CMMC exigée.

 

Obligation de maintenir votre niveau de certification CMMC tout au long du contrat

  • Le Département américain de la Defense exige que tout contractant  maintienne le niveau CMMC requis pendant toute la durée d’un contrat qu’il a obtenu.

  • Le contractant doit s’assurer que ses sous contractants respectent la même exigence

 

Certification CMMC discrétionnaire pour les contrats en cours

  • Le Département américain de la Defense ne forcera pas les organisations (détenant un contrat en cours) à se faire certifier au bon niveau CMMC requis.

  • Toutefois, il pourrait exiger que vous obteniez une certification en cours de contrat, s’il estime que le fait que nous ne soyez pas certifié CMMC met ses données à risque. La décision dépend uniquement du Département américain de la Defense.

 

Obligation de détenir la certification CMMC au renouvellement des contrats en cours

  • Désormais, au renouvellement de tout contrat en cours, vous devez détenir la certification CMMC requise.

  • Vous vous mettez donc à risque de perdre un contrat si lors du renouvellement vous n’êtes pas certifié CMMC.

 

Signalement des incidents de cybersécurité

  • Tout incident de cybersécurité impactant les données  du Département américain de la Defense doit lui être rapporté selon les exigences du DFARS 252.204-7012. Les signalements doivent être faits rapidement, dans un délai maximum de 72 heures.

 

Supprimé : Obligation de signaler les défauts et manquements

  • Si lors de l'exécution d’un contrat du Département américain de la Defense,  il s’avère que vos systèmes qui collectent, stockent et traitent les CUI reçus (ou créés) dans le cadre dudit contrat ne sont plus conformes à CMMC, il n’est plus nécessaire de signaler du Département.

  • La suppression de cette ancienne exigence a pour but de rendre le processus de maintien de la certification CMMC moins contraignant.

 

Obligation de vous assurer que vos sous-contractants ont aussi la bonne certification CMMC (flow down)

  • Le Département américain de la Defense indique que vous êtes responsable de vous assurer que vos sous-contractants ont le bon niveau CMMC requis, avant de leur partager des informations (CUI ou FCI) qu’elle partage avec vous dans le cadre d’un contrat que vous avez obtenu.

  • Il suggère une collaboration (base volontaire) avec vos sous-contractants afin d’obtenir la bonne information sur leur niveau de certification CMMC.

 

Comment Streamscan peut vous aider?

StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.

Nous sommes la première entreprise de cybersécurité (MSSP/SOC/MDR) certifiée CMMC Niveau 2 au Canada. Cette étape importante renforce notre engagement à servir nos clients du secteur de la Défense et de l'Aérospatiale aux États-Unis et au Canada avec le plus haut niveau de garantie

Cette reconnaissance n’est pas qu’un jalon administratif : elle reflète concrètement notre engagement envers le secteur de la Défense, l’Aérospatiale et l’ensemble de la chaîne d’approvisionnement de la Défense au Canada et aux États-Unis.

Avec notre certification CMMC Niveau 2 :

  • Nos partenaires de la Défense accélèrent leur propre processus de conformité, grâce à nos technologies et pratiques déjà certifiées.

  • La portée de leur certification est allégée : plusieurs fonctions critiques de cybersécurité étant déjà assurées par un fournisseur conforme, cela réduit les coûts d’audit, les délais de préparation et la complexité interne.

  • Chaque heure gagnée dans la gestion, la préparation ou les audits représente directement une économie monétaire, qui peut être réinvestie dans les opérations stratégiques de l’entreprise.

  • Nos clients démontrent plus rapidement leur conformité aux exigences de cybersécurité imposées par les contrats fédéraux américains, renforçant ainsi leur crédibilité sur des marchés compétitifs.

 

Besoin d’un avis d’expert pour votre situation ?

Nos spécialistes sont là pour vous guider.

Bénéficiez d’un échange gratuit et sans engagement pour faire le point sur vos enjeux, vos priorités et les solutions adaptées à votre entreprise.

Contactez un expert dès maintenant
Un homme pointe a un écran