Lorsque j’ai commencé à m’intéresser aux marchés publics liés à la défense, j’ai rapidement compris qu’accéder aux réseaux militaires américains ne se résumait pas à proposer un bon produit. Pendant des années, le Certificate of Networthiness constituait un véritable filtre d’entrée pour toute entreprise souhaitant déployer une solution informatique sur les infrastructures de l’US Army. Ce certificat, délivré par le NETCOM, évaluait rigoureusement chaque application avant de l’autoriser à intégrer des réseaux aussi sensibles que le LandWarNet. Mais depuis juillet 2018, ce dispositif a été remplacé par une approche plus moderne et standardisée : le Risk Management Framework. Je vous explique ce que représentait réellement ce certificat, pourquoi il a disparu, et ce que cela implique aujourd’hui pour les entreprises visant le secteur militaire.
Ce que le CoN cherchait à garantir avant tout
Le Certificate of Networthiness ne se contentait pas de vérifier qu’un logiciel n’était pas dangereux. Il visait trois objectifs fondamentaux qui structuraient toute l’évaluation. Pour commencer, la sécurité opérationnelle : chaque solution devait prouver qu’elle ne deviendrait pas le maillon faible d’un réseau traitant des informations classifiées. Les tests d’intrusion et les analyses de vulnérabilités étaient systématiques, car une faille exploitée pouvait compromettre des opérations entières.
Deuxièmement, l’interopérabilité technique constituait un critère non négociable. Un environnement militaire combine des systèmes parfois anciens avec des technologies récentes, créant une complexité architecturale importante. Le produit devait s’intégrer sans perturber les échanges ni la stabilité des infrastructures existantes. Enfin, la supportabilité sur le long terme représentait le troisième pilier : l’armée devait pouvoir maintenir, patcher et faire évoluer le système sans dépendre d’un composant fragile ou abandonné par son éditeur.
Dans ma pratique antérieure, j’ai souvent constaté que les organisations sous-estiment cette dimension de fiabilité. Un produit peut être techniquement brillant à l’instant T, mais s’il devient ingérable six mois plus tard, il devient un passif plutôt qu’un actif. Le CoN obligeait les fournisseurs à prouver cette capacité de maintien avec des preuves documentées, des processus formalisés et une traçabilité complète.
Le CoN, un véritable sésame contractuel pour accéder au marché militaire
Obtenir un Certificate of Networthiness représentait bien plus qu’une simple formalité administrative. Ce certificat constituait une condition d’éligibilité absolue pour répondre à certains appels d’offres du Département de la Défense américain. Sans cette validation, impossible de déployer votre solution sur les réseaux concernés, quelle que soit la qualité de votre produit. Cette logique correspond à ce que j’observe régulièrement dans les environnements régulés : la conformité devient un ticket d’entrée obligatoire.
Le processus d’obtention était structuré mais exigeant. Il fallait d’abord trouver un sponsor au sein de l’armée pour soutenir la démarche, puis soumettre une documentation technique complète. Ensuite venaient les phases de tests intensifs menés par des experts du NETCOM, suivies d’un cycle de correction des failles identifiées. Ce cycle pouvait se répéter plusieurs fois avant validation définitive, transformant l’obtention en un parcours de plusieurs mois.
Les étapes principales se déroulaient selon cette séquence :
- Identification et validation d’un sponsor militaire interne
- Préparation et soumission du dossier technique complet
- Tests de sécurité, d’intrusion et de compatibilité
- Correction des vulnérabilités détectées et nouvelle soumission
- Obtention du certificat avec obligation de renouvellement périodique
Ce qui rendait le CoN particulièrement contraignant, c’était sa validité limitée dans le temps, généralement entre un et trois ans. Les menaces évoluent, les dépendances logicielles changent, et un certificat obtenu à un instant donné pouvait devenir obsolète. Cette approche reflétait une réalité que je défends depuis longtemps : la cybersécurité n’est pas un événement ponctuel, c’est un processus continu nécessitant audits réguliers, corrections et gouvernance dans la durée.
Le tournant de 2018 et le passage au Risk Management Framework
En juillet 2018, le Certificate of Networthiness a été officiellement abandonné et remplacé par le Risk Management Framework. Ce changement ne relevait pas d’un simple ajustement administratif mais d’une refonte stratégique majeure. Le CoN était jugé trop lourd, trop coûteux et surtout peu harmonisé entre les différentes agences fédérales américaines. Chaque entité développait ses propres exigences, créant des redondances coûteuses pour les entreprises qui devaient multiplier les démarches similaires.
Le tableau ci-dessous illustre les différences fondamentales entre ces deux approches :
| Critère | Certificate of Networthiness | Risk Management Framework |
|---|---|---|
| Portée | Spécifique à l’US Army | Standardisé pour l’ensemble du DoD |
| Réciprocité | Faible entre agences | Élevée et réutilisable |
| Approche | Validation ponctuelle du produit | Gestion continue du risque système |
| Focus | Centré sur le composant isolé | Évaluation dans le contexte global |
Le RMF adopte une logique « Assess Only » qui change la philosophie même de l’évaluation. On ne valide plus un produit à un instant précis, mais on s’inscrit dans une gestion dynamique du risque tout au long du cycle de vie du système. Cette approche reflète mieux la réalité opérationnelle : les menaces évoluent quotidiennement, et la conformité doit s’adapter en permanence.
Pour les entreprises visant aujourd’hui le marché militaire américain, l’enseignement principal est clair : ne cherchez plus un CoN, mais construisez une posture de sécurité robuste compatible avec les exigences RMF. Cela implique de produire des preuves documentées, d’intégrer la cybersécurité dès la conception (approche « security by design »), et de valider votre capacité à maintenir cette conformité dans la durée. Des intégrateurs spécialisés sont souvent devenus indispensables pour accompagner cette transformation réglementaire complexe, car naviguer dans ce labyrinthe exige une expertise pointue.
Retenir l’essentiel sur cette évolution réglementaire
Le Certificate of Networthiness appartient désormais à l’histoire récente de la cybersécurité militaire américaine, mais son héritage reste profondément actuel. Les principes qu’il incarnait – sécurité, interopérabilité et fiabilité – demeurent au cœur des exigences du DoD. Le nom a changé, le cadre s’est modernisé et standardisé, mais l’objectif fondamental n’a pas bougé : protéger les infrastructures critiques contre des menaces toujours plus sophistiquées.
Cette transition illustre parfaitement une tendance que j’observe dans tous les secteurs régulés : la conformité évolue d’une logique de validation ponctuelle vers une gestion continue du risque. Les organisations ne renoncent jamais à la sécurité, elles la structurent différemment pour gagner en efficacité et en cohérence inter-agences. Pour les entreprises, cela signifie accepter un niveau d’exigence supérieur, mais aussi bénéficier d’une reconnaissance plus large de leurs efforts de conformité grâce au principe de réciprocité du RMF.
![[Entreprendre] Créer son club de fitness en ligne](https://lebusinessmag.fr/wp-content/uploads/2024/04/5bentreprendre5d-creer-son-club-de-fitness-en-ligne-150x150.jpg)
