Si vous êtes un client ou une entreprise qui soutient des clients qui servent le département de la défense (DoD) en tant que contractant ou sous-traitant, vous avez probablement entendu parler du supplément à la réglementation fédérale des acquisitions de la défense (DFARS). La protection des informations sensibles de défense nationale partagées avec des organisations privées qui soutiennent les contrats du gouvernement fédéral, et créées et maintenues par ces organisations, est vitale pour notre sécurité nationale. Les contractants du DoD qui traitent, diffusent, stockent ou transmettent des informations non classifiées contrôlées (CUI) sont tenus de respecter les normes de sécurité minimales DFARS, sous peine de perdre les contrats existants du DoD et l’éligibilité à de futurs contrats.
Les exigences de conformité en matière de sécurité DFARS doivent être appliquées à la fois par les contractants et les sous-traitants, en suivant les conseils de la publication spéciale 800-171 du National Institute of Standards and Technology (NIST) intitulée « Protecting Controlled Unclassified Information in Non-Federal Information Systems and Organizations ». Heureusement, les exigences de conformité DFARS constituent un ensemble de contrôles de sécurité standard basés sur les meilleures pratiques déjà utilisées pour la sécurité de l’information, de sorte que la conformité ne constitue pas un défi de taille. La sous-partie 204.73 de la règle de cybersécurité du DFARS (révisée le 28 décembre 2017), « Safeguarding Covered Defense Information and Cyber Incident Reporting » peut être consultée ici : http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm
- Protection des informations de défense couvertes
- Minimum Requirements for Federal Contractors
- Gestion des sous-traitants et de la chaîne d’approvisionnement
- Rapport d’incidents de cybersécurité
- Fournisseurs de services en nuage
- Pour prouver la conformité DFARS
- Soyez prêt – Les audits de conformité arrivent
- Ce que les entrepreneurs peuvent faire pour être préparés
- Offres de RSI Security:
Protection des informations de défense couvertes
Pour atteindre la conformité de cybersécurité DFARS, les systèmes d’information d’un entrepreneur de défense doivent fournir les mêmes protections et répondre aux mêmes exigences de conformité DFARS pour les données fédérales qu’un système d’information fédéral interne. La protection des informations de défense couvertes (CDI) est une exigence fondamentale du DFARS, et les CDI sont un sous-ensemble des informations non classifiées contrôlées (CUI). Le CDI est fourni à un entrepreneur par le DoD, et il devient la responsabilité de l’entrepreneur de protéger la sécurité et l’intégrité de l’information. Les CDI ont quatre sous-catégories, les informations techniques contrôlées (CTI), les informations de sécurité des opérations, les informations contrôlées à l’exportation et les autres informations marquées qui nécessitent une protection.
Évaluer votre conformité DFARS
Les CTI sont des informations techniques liées aux opérations militaires, cependant elles ne sont pas considérées comme des informations générales du DoD. La consultation de CTI ne nécessite pas d’habilitation de sécurité, cependant ce ne sont pas des informations accessibles au public. La CTI est soumise à des contrôles sur son accès, son affichage, son utilisation, sa divulgation, sa reproduction, sa modification, sa performance ou sa diffusion. Le DFARS fournit une définition supplémentaire de la CTI qui comprend :
|
|
. Sets |
|
|
|
|
|
|
|
Minimum Requirements for Federal Contractors
DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. En vertu de la clause DFARS 252.204-7012, « Safeguarding Covered Defense Information and Cyber Incident Reporting », les contractants du DoD doivent se conformer à la publication spéciale 800-171 du NIST qui fournit un cadre d’exigences pour les contractants afin de protéger les informations de défense sensibles sur les systèmes non classifiés et non fédéraux et de signaler les incidents de cybersécurité.
Le cadre réglementaire de la clause 252.204-7012 du DFARS exige que les entrepreneurs de la défense documentent spécifiquement la manière dont les composantes d’exigence suivantes sont satisfaites :
- La première composante consiste à fournir une sécurité adéquate pour tout système d’information non fédéral couvert par l’entrepreneur. Une sécurité adéquate est définie comme des mesures de protection conformes aux dommages qui pourraient survenir en raison d’un accès non autorisé, d’une perte, d’une mauvaise utilisation ou d’une modification des informations en raison d’un incident de sécurité. La conformité aux directives du NIST SP 800-171 fournit effectivement une « sécurité adéquate »
- La deuxième composante concerne le signalement des incidents de cybersécurité. Les éléments minimaux requis pour le rapport d’incident de cybersécurité peuvent être trouvés ici : http://dibnet.dod.mil. Le portail DIBNet est une passerelle permettant aux contractants et sous-traitants du DoD de signaler les cyberincidents et de participer volontairement au programme de cybersécurité du DoD.
Si un logiciel malveillant est déterminé comme faisant partie de l’incident signalé, une description de l’événement doit également être soumise au centre de cybercriminalité du DoD. Les directives relatives aux rapports d’incidents exigent la conservation et la protection des images de tous les systèmes d’information affectés connus et de toutes les données pertinentes de surveillance/capture de paquets pendant au moins 90 jours à compter de la soumission d’un rapport de cyberincident. Si le DoD décide de mener une évaluation formelle des dommages causés par un événement de cybersécurité, un entrepreneur serait tenu de soumettre les médias et autres matériaux qui soutiennent cette évaluation.
Les exigences spécifiques du DFARS sont explorées plus en détail ci-dessous.
Gestion des sous-traitants et de la chaîne d’approvisionnement
La clause 252.204-7012 du DFARS a été modifiée pour limiter la conformité de la descente des flux aux sous-traitants et fournisseurs dont les efforts impliquent le CDI ou sont considérés comme un soutien opérationnel critique. Les contractants principaux du DoD en vertu du DFARS sont tenus d’être proactifs en renforçant l’ensemble de la chaîne d’approvisionnement, en assurant non seulement leur propre conformité au DFARS, mais en veillant à ce que les sous-traitants démontrent également leur conformité. Par conséquent, les sous-traitants sont tenus de signaler toute pratique qui pourrait s’écarter des directives DFARS et NIST 800-171 avant que tout CDI ne soit partagé avec le sous-traitant. Il est important qu’un entrepreneur principal contrôle quelles informations descendent vers les sous-traitants sur la base des données CDI auxquelles un sous-traitant devra accéder pour effectuer le travail qui lui est assigné dans le cadre d’un contrat fédéral.
Rapport d’incidents de cybersécurité
La responsabilité d’un entrepreneur en vertu des normes DFARS en cas d’incident de cybersécurité qui compromet l’intégrité de l’information ou d’un système d’information est le rapport rapide, qui exige de signaler l’incident au DoD dans les 72 heures. Pour déterminer l’étendue d’une compromission potentielle, une évaluation est requise qui doit au minimum inclure une liste des systèmes, des données techniques et des utilisateurs compromis, ainsi qu’une liste de tous les autres systèmes qui pourraient avoir été compromis. L’évaluation doit également fournir un examen approfondi du système et fournir des méthodes pour prévenir tout incident futur.
Les événements de cybersécurité vécus par les sous-traitants doivent être signalés au contractant principal ou au sous-traitant de niveau supérieur, avec des preuves fournies conformément aux exigences du DFARS. Le contractant principal est responsable du rapport d’incident du DoD avec des preuves soumises comme détaillé pour les contractants ci-dessus.
Fournisseurs de services en nuage
Si un contractant utilise un fournisseur de services en nuage pour stocker, traiter ou transmettre des CDI pour un contrat du DoD, il existe trois normes de sécurité qui peuvent être pertinentes pour la conformité DFARS :
- Un contractant qui utilise une solution en nuage pour héberger ou traiter des données pour un contrat du DoD doit s’assurer que le fournisseur de services en nuage répond aux exigences de sécurité établies dans le programme fédéral de gestion des risques et des autorisations (« FedRamp ») de référence modérée et doit se conformer aux exigences DFARS spécifiques, y compris les exigences de déclaration d’incidents.
- Les normes NIST SP 800-171 sont applicables lorsqu’un entrepreneur utilise l’informatique en nuage interne (et non une plateforme tierce) dans un système d’entreprise pour héberger ou traiter des données afin de soutenir un contrat du DoD.
- Un entrepreneur qui utilise l’informatique en nuage pour fournir des services informatiques au DoD doit se conformer aux exigences du « Guide des exigences de sécurité de l’informatique en nuage » (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. Le SRG décrit un modèle de sécurité qui fournit des contrôles des niveaux de service et de sécurité et des exigences pour les entrepreneurs dans la mise en œuvre et le maintien des contrôles de sécurité physiques, administratifs et techniques nécessaires à l’utilisation des services basés sur le cloud.
Pour prouver la conformité DFARS
L’auto-attestation est actuellement considérée comme suffisante pour prouver la conformité DFARS, de sorte qu’un audit tiers n’est pas une exigence. Un SSP bien documenté basé sur NIST 800-171 qui relie les contrôles à leur mise en œuvre, ou un contrôle compensatoire, est suffisant pour résoudre toutes les questions qui devraient se poser. L’évaluation technique d’une proposition de contrat gouvernemental peut utiliser le SSP et peut également demander un plan d’action et des jalons (POA&M) pour documenter la conformité dans le cadre de l’examen d’une attribution de contrat DoD.
Pour les fabricants qui fournissent des produits au sein de chaînes d’approvisionnement pour le DoD, le NIST fournit un manuel d’auto-évaluation, le NIST Handbook 162, « NIST MEP Cybersecurity Self-Assessment Handbook for Assessing NIST SP 800-171 Security Requirements in Response to DFARS Compliance Cybersecurity Requirements. » Ce manuel fournit un guide étape par étape pour évaluer les systèmes d’information d’un petit fabricant par rapport aux exigences de sécurité du NIST SP 800-171.
Soyez prêt – Les audits de conformité arrivent
En janvier 2019, le sous-secrétaire à la Défense a publié un mémo documentant l’intention d’auditer la chaîne d’approvisionnement du DoD pour la conformité DFARS. Le mémo charge l’Agence de gestion des contrats de la défense (DCMA) d’auditer tous les entrepreneurs de niveau 1 pour valider la conformité des entrepreneurs aux exigences de la clause 252.204-7012 du DFARS. Un audit de la DCMA pour une organisation ayant un contrat DoD avec CDI comprendra généralement les éléments suivants :
- Vérifier que le contractant dispose d’un SSP
- Vérifier que le contractant a soumis une notification de 30 jours énumérant tous les contrôles de sécurité non encore mis en œuvre.
- Vérifier que le contractant dispose d’un certificat d’infrastructure à clé publique (ICP) d’assurance moyenne valide requis pour le signalement des cyberincidents (politique de certification de l’ECA https://iase.disa.mil/pki/eca/Pages/index.aspx).
Les exigences d’audit ne requièrent que l’évaluation directe du DCMA des fournisseurs de niveau 1, cependant cela devrait avoir un impact sur l’ensemble de la chaîne d’approvisionnement du DoD pour les partenaires commerciaux des entrepreneurs également. Si une organisation veut concourir pour les contrats du DoD sur le marché de la chaîne d’approvisionnement et être en mesure de démontrer la responsabilité avec un « Oui » facile sur une enquête DFARS sur les fournisseurs, soyez proactif et contactez un fournisseur de services de sécurité gérés (MSSP) tiers spécialisé dans la sécurité. Un MSSP avec une expertise spécialisée dans les exigences de conformité DFARS pour les entrepreneurs du DoD aidera votre organisation à effectuer l’évaluation et l’audit requis, et à mener tout travail de remédiation nécessaire pour atteindre la conformité DFARS.
L’obtention de la conformité DFARS/NIST SP 800-171 n’est pas une solution ponctuelle. Il s’agit d’un processus continu d’évaluation, de surveillance et d’amélioration pour garantir que votre organisation reste conforme aux exigences de sécurité en constante évolution, et donc à l’éligibilité en tant que contractant du DoD. Un MSSP tel que RSI Security, spécialisé dans les services de conformité pour les sous-traitants du DoD tenus de respecter la conformité DFARS et la cybersécurité contrôlée, aidera votre organisation à effectuer l’évaluation et l’audit requis, et à mener tout travail de remédiation nécessaire pour atteindre la conformité DFARS/NIST SP 800-171. Contactez-nous dès aujourd’hui pour obtenir une aide personnelle pour tous vos besoins en matière de services de conseil en conformité.
Un entrepreneur de la défense qui est audité par le DoD et qui s’avère ne pas être en conformité serait probablement confronté à un ordre d’arrêt de travail. Cela signifierait que tout travail effectué pour un contrat du DoD serait suspendu jusqu’à ce que des mesures de sécurité appropriées soient mises en œuvre pour protéger efficacement le CDI. Le DoD pourrait également imposer des sanctions financières pouvant inclure des dommages et intérêts pour rupture de contrat ou fausses déclarations. Dans les cas graves de non-conformité, le DoD pourrait résilier les contrats ou même suspendre un entrepreneur de ne plus jamais travailler avec le DOD.
Ce que les entrepreneurs peuvent faire pour être préparés
Pour être préparés dans le cadre des exigences DFARS actuelles et futures en évolution, les entrepreneurs peuvent être proactifs avec les éléments suivants :
- Revoir les contrôles de sécurité NIST SP 800-171 pour vérifier que les contrôles de sécurité de votre organisation offrent une protection adéquate contre un large éventail de cyberattaques potentielles.
- Faire une évaluation des lacunes pour déterminer si les contrôles de sécurité requis ne sont pas respectés et remédier aux lacunes identifiées en élaborant un SSP et un POA&M
- Si votre organisation travaille avec des sous-traitants et des fournisseurs, élaborez un plan pour évaluer leur conformité et garantir que tous les CDI qui descendent vers les sous-traitants sont protégés par des contrôles de sécurité adéquats.
- Développez un plan de suivi des exigences de flux descendant CDI pour le partage d’informations avec les sous-traitants et les fournisseurs tout au long de la chaîne d’approvisionnement.
La liste de contrôle de la conformité DFARS peut également être un outil utile pour se préparer à la conformité DFARS.
Un MSSP comme RSI Security qui possède une expertise spécialisée dans les services de conformité pour les contractants DoD peut aider votre organisation à évaluer la conformité actuelle et à effectuer tout travail de remédiation nécessaire pour atteindre la conformité DFARS/NIST SP 800-171. Contactez-nous dès aujourd’hui pour obtenir une aide personnelle pour tous vos besoins d’évaluation et de conformité.
Offres de RSI Security:
RSI Security aide tout le monde, des sociétés aux entrepreneurs individuels, à passer la conformité DFARS depuis 10 ans. Nous sommes l’un des leaders de la sécurité numérique et du conseil. Nous connaissons bien tous les aspects de la conformité de la sécurité et nous vous ferons passer à la conformité DFARS en temps voulu. Nous avons également une relation positive avec le DoD qui peut faciliter certains des obstacles qui viennent une entreprise si compliquée.
Nos services de sécurité sont de première classe tout le chemin, en utilisant les meilleurs outils, dispositions et pratiques pour garder votre entreprise à l’abri des violations de données de sécurité perturbatrices. Les évaluations de vulnérabilité, la surveillance comportementale en temps réel, la détection des intrusions, le suivi sophistiqué des modèles numériques et une compréhension inhérente de la façon dont les pirates opèrent ne sont que quelques-unes des raisons pour lesquelles RSI Security est un leader dans les solutions de cybersécurité numérique.
Consultez notre site Web pour plus d’informations et pour connaître les différents services que nous offrons.