La conformité DFARS est au cœur des préoccupations des maîtres d’œuvre ainsi que des fournisseurs du ministère de la Défense depuis quelque temps déjà. Plus de 87 % des contrats du DoD rédigés en 2017 comportaient déjà la clause DFARS 252.204-7012, et les entrepreneurs du DoD, grands et petits, récoltent les avantages en termes d’attribution de la preuve d’une » sécurité adéquate » via la mise en œuvre du NIST SP 800-171, comme nous le constatons avec notre base de clients. À l’autre bout de l’arc-en-ciel de la cyberconformité du DoD, certains font l’expérience du côté obscur du report de la conformité, et se précipitent actuellement pour trouver une solution afin de supprimer l’obstacle à l’obtention de prix. Nous avons vu ce compte de première main en aidant les clients à utiliser CyberStrong pour se mettre rapidement en conformité.
Selon la publication du DoD intitulée Assessing the State of a Contractor’s Internal Information System in a Procurement Action, « les plans d’action, la surveillance continue et le plan de sécurité du système (NIST SP 800-171 Security Requirements 312.2-3.12.4) doivent répondre à toutes les exigences de sécurité ».
Selon le même document, l’un des objectifs de l’évaluation d’un contractant en vue d’une passation de marché consiste à évaluer la mise en œuvre du NIST SP 800-171 / DFARS 252.204-7012 comme un facteur technique distinct en plus de la « sécurité adéquate », par conséquent, l’évaluateur « intégrera le plan de sécurité du système (SSP) et le plan d’action dans le contrat » lui-même. Prenez note : si vous n’avez pas encore de SSP ou de POAM, vous pourriez envisager de les automatiser avec la plateforme CyberStrong.
Un autre objectif important à noter est que l’organisation qui attribue le contrat va « évaluer/suivre la mise en œuvre des exigences de sécurité NIST SP 800-171 après l’attribution du contrat ». Cet objectif a un effet sur les organisations qui se battent avec des feuilles de calcul pour prouver la conformité – elles devraient envisager d’utiliser une plateforme de conformité en direct et en continu pour la conformité DFARS, comme CyberStrong, qui rendra la preuve de la conformité et le suivi des progrès faciles, simples et directs. Non seulement le sous-traitant doit suivre et prouver sa conformité, mais l’entrepreneur principal doit également suivre toutes ses facettes et tous ses fournisseurs. CyberStrong permet aux fournisseurs et aux maîtres d’œuvre de voir facilement l’état de la conformité et de suivre leurs progrès pour montrer la diligence raisonnable et prouver une « sécurité adéquate », si ce n’est mieux.
Avec cela en tête, voici une liste des risques que vous prenez lorsque vous repoussez la conformité DFARS 252.204-7012 ou que vous la gérez d’une manière qui rend l’aspect de la preuve de la conformité difficile, comme les feuilles de calcul. Ces risques proviennent de manière crédible de la National Law Review.
Offres : Les orientations du DoD dont nous avons parlé plus haut sont claires sur le fait que les SSP et POA&Ms jouent un rôle dans la qualification de la « sécurité adéquate », mais nous ne savons pas quel rôle ils joueront dans les contestations d’offres. Le premier projet de document d’orientation dit que le DoD peut exécuter ces actions sur la base de ces documents : il peut faire une détermination acceptable/inacceptable basée sur le statut de mise en œuvre pour attribuer le contrat ou non, ou il peut évaluer la mise en œuvre « comme un facteur d’évaluation technique distinct. » Cela suggère toutefois que davantage d’exigences que le minimum requis dans le NIST SP 800-171 peuvent être requises.
En tant qu’organisation dans le processus d’appel d’offres, vous pourriez être refusé en raison d’incohérences entre votre SSP et POAM et l’état de votre cybersécurité liée au NIST 800-171. Si la mise en œuvre du NIST SP 800-171 par le soumissionnaire est incompatible avec ses documents, le DoD ou le Prime choisira probablement un autre contrat. Quoi qu’il en soit, ils exigeront l’examen de la SSP et de la POAM, car ces documents permettent de conférer un statut de fournisseur pour 2018. Si vous avez reçu un questionnaire dans le passé, sachez que ce document ne vous rend pas conforme et que ces documents de conformité sont primordiaux pour votre succès.
Termination : Pour évaluer la conformité à votre SSP et à votre POAM, les directives indiquent que votre contrat doit inclure des exigences en matière de données contractuelles (CDRL) qui « exigent la livraison du plan de sécurité du système et de tout plan d’action après l’attribution du contrat. » Encore une fois, si vous n’avez pas un moyen direct, transparent et simple de préparer ces documents pour chaque nouveau contrat – automatisez-les ! L’exactitude de votre SSP et de votre POAM, ainsi que le fait de montrer clairement que vous vous rapprochez d’une conformité totale, sont primordiaux. Le SSP et le POAM seront dans votre contrat, donc, le manquement à la conformité pourrait facilement conduire à la résiliation.
Les audits du DCMA : Le DoD a clairement indiqué dans des présentations et en ligne que le DCMA vérifiera que le contractant dispose d’un SSP et d’un POA&M. Si le DCMA n’a pas encore interagi avec votre organisation concernant le NIST 800-171, cela pourrait être dans votre avenir.
False Claims Act : Il est important de prendre note de ce risque. L’utilisation du SSP pour évaluer vos mesures de sécurité et son utilisation en tant que livrable lié à un contrat gouvernemental peut augmenter le risque potentiel d’une violation du False Claims Act pour votre entreprise. Exemple : Un SSP peut déformer le statut réel de cybersécurité d’un entrepreneur, et le DoD peut prendre des mesures basées sur la fraude dans l’incitation. Le DoD peut établir que le statut de cybersécurité d’un contractant a été inclus dans la décision d’attribution, et cela pourrait potentiellement mettre en danger tous les gains dans le cadre du contact.