L’ISACA devient responsable à l’échelle mondiale de la certification des professionnels qui, à leur tour, peuvent évaluer les organisations quant à leur conformité aux directives américaines CMMC. Les entreprises qui fournissent le ministère américain de la Défense doivent s’y conformer.
L’ISACA est désormais responsable de la formation, de l’examen et de la certification mondiaux des professionnels qui évaluent les organisations selon le cadre américain de cybersécurité CMMC. Cette certification devient obligatoire pour toutes les entreprises qui souhaitent fournir le ministère américain de la Défense (officiellement pas encore le ministère de la Guerre, même si Trump le souhaiterait), ce qui a des conséquences pour plus de 200 000 organisations dans le monde.
Protection des données sensibles
Le programme Cybersecurity Maturity Model Certification (CMMC) a été développé par le ministère américain de la Défense afin de protéger les informations sensibles, mais non classifiées, au sein de la chaîne d’approvisionnement mondiale du ministère.
La mise en œuvre du cadre s’étend de 2025 à 2028. Les entreprises qui traitent des données telles que les Controlled Unclassified Information ou les Federal Contract Information, ou qui travaillent avec des maîtres d’œuvre dans des projets de défense, auront besoin de la certification CMMC.
lire aussi
ISACA : « Les cybermenaces basées sur l’IA, principale préoccupation pour 2026 »
Au sein de l’écosystème CMMC, l’ISACA devient l’unique Assessor and Instructor Certification Organization (CAICO) CMMC. Dans ce rôle, l’organisation forme et certifie les professionnels, les auditeurs et les instructeurs responsables de l’évaluation de la conformité CMMC au sein des entreprises. L’organisme d’accréditation officiel du programme CMMC reste The Cyber AB.
Pertinence européenne
Pour les organisations européennes, notamment dans des secteurs tels que la défense, l’aéronautique et l’ingénierie, l’émergence du CMMC est un catalyseur supplémentaire pour examiner leur maturité cybernétique. La menace croissante d’attaques cybernétiques complexes – comparables aux techniques issues de contextes militaires – incite de plus en plus les entreprises à miser sur des processus de cybersécurité structurés et vérifiables.
Le rôle de l’ISACA s’inscrit dans des tendances internationales plus larges. En Europe également, les exigences en matière de cybersécurité augmentent, notamment par le biais de réglementations telles que NIS2 et DORA. En proposant des certifications telles que CMMC Certified Professional (CCP), CMMC Certified Assessor (CCA) et CMMC Certified Instructor (CCI), l’ISACA aide les entreprises qui souhaitent maintenir ou renforcer leur position au sein des chaînes d’approvisionnement internationales. À cet égard, le cadre CMMC et le rôle que joue l’ISACA sont complémentaires aux tendances en matière de sécurité qui se manifestent en Europe.
Selon l’ISACA, il existe une pénurie mondiale d’auditeurs de cybersécurité qualifiés. En assumant cette tâche, l’organisation souhaite contribuer à une évaluation fiable et professionnelle de la cyber-résilience au sein des entreprises. Cette étape devrait également permettre d’uniformiser davantage l’évaluation des cyber-risques, ce qui devient de plus en plus important pour les gouvernements et les partenaires.