Catégories
Conseils e-commerce

Le nouveau règlement du DoD sur la sécurité a des ramifications pour les entrepreneurs informatiques | Sécurité d'entreprise

Par John K. Higgins

7 juil.2020 04:00 PT


Décodez votre avenir avec un diplôme d'informatique en ligne de Drexel
Université Drexel en ligneLes programmes informatiques en ligne de l'Université Drexel sont conçus pour vous préparer à travailler à la fine pointe de la technologie. Le programme est conçu pour les étudiants ayant n'importe quel niveau d'expérience ou de connaissances antérieures. Choisissez le programme qui vous convient. Apprendre encore plus.

Avec des milliards de dollars de contrats fédéraux en jeu, les fournisseurs de technologies de l'information sont submergés par la nouvelle exigence de sécurité de l'information du ministère américain de la Défense qui deviendra obligatoire pour les fournisseurs informatiques et les autres entreprises faisant affaire avec le DoD.

Alors que les sociétés informatiques intègrent déjà des éléments de protection des données dans les produits et services qu’elles fournissent au DoD, le département relève la barre sur la manière dont les fournisseurs doivent gérer la sécurité des informations. Le DoD est préoccupé par la protection des "informations non classifiées contrôlées" (CUI) qui couvrent un large éventail de sujets, notamment les questions d'armes et de défense, les questions nucléaires, les informations exclusives, les renseignements et les infrastructures critiques.

La principale différence entre les mesures DoD existantes et le nouveau programme est une exigence de validation indépendante par un tiers des capacités de sécurité des fournisseurs, par rapport au processus d'auto-certification actuel. Le ministère de la Défense vise à inclure l'exigence de certification de maturité du modèle de cybersécurité (CMMC) dans un nombre limité de nouveaux contrats pilotes de fournisseurs d'ici la fin de l'année, puis à augmenter considérablement au cours des prochaines années, car le programme aura un impact sur près de 300 000 fournisseurs dans le secteur "défense". base industrielle "(DIB).

Même avec les mesures de sécurité des données récemment adoptées, y compris les réglementations du DoD et les protocoles du National Institute of Standards, le département a estimé que les garanties de sécurité fournies par les entrepreneurs eux-mêmes étaient insuffisantes. "Malheureusement, l'auto-vérification était inadéquate et ne fournissait pas un niveau de sécurité qui pourrait protéger de manière cohérente les informations sensibles. Alors que certains entrepreneurs se sont conformés à l'exigence, d'autres n'ont pas respecté les normes", selon une analyse de Peerless Tech Solutions, un fournisseur de services de cybersécurité.

Préparation du processus de certification

Le DoD gérera la validation de la sécurité via le processus CMMC, qu'il espère lancer sur une base limitée plus tard cette année – moins d'un an après l'annonce de l'initiative en janvier dernier. Le Ministère prend actuellement des mesures pour incorporer la CMMC dans les règlements d'acquisition de défense appelés DFARS.

"Une fois ce processus terminé, le CMMC pourra être inclus comme exigence dans les demandes de soumissions", a déclaré Katie Arrington, chef de la sécurité de l'information pour l'acquisition et le maintien en puissance de la défense. "Le département prévoit de publier des demandes de renseignements cet été pour soutenir les premiers pilotes CMMC avec nos services et certaines de nos agences de défense", a-t-elle déclaré au E-Commerce Times.

Bien que les entreprises informatiques ne représentent qu'une des nombreuses industries affectées par le programme, le statut de CMMC restera un défi majeur, même pour les entreprises familiarisées avec les problèmes de sécurité de l'information. L'industrie informatique "sera naturellement l'un des secteurs les plus touchés", a déclaré Deniece Peterson, directeur, analyse du marché fédéral, chez Deltek. "De par sa nature, l'informatique exige que les fournisseurs collectent et gèrent de grandes quantités de CUI du département", a-t-elle déclaré au E-Commerce Times.

Ces défis comprennent l'ambitieux calendrier du DoD pour le lancement du programme, ainsi que les défauts inhérents à la conception du programme, selon une lettre envoyée au DoD par plusieurs associations de l'industrie informatique, notamment la Computing Technology Industry Association et la Business Software Alliance.

«Nous craignons que les plans actuels de mise en œuvre de la CMMC manquent de clarté et de prévisibilité suffisantes dans des domaines clés, et que cela puisse engendrer inutilement de la confusion, des retards et des coûts associés. Ces défis pourraient conduire à un DIB encore moins sûr, s'il n'est pas traité», les groupes ont déclaré dans une lettre conjointe au DoD. Les groupes se sont engagés à travailler avec le DoD pour résoudre les problèmes.

La sécurité comprend plusieurs couches de protection

Le programme CMMC s'appuie sur les protections de sécurité actuelles mais ajoute un élément supplémentaire par le biais d'une approche à plusieurs niveaux pour protéger «les informations que le gouvernement crée ou possède, ou qu'une entité crée ou possède pour ou au nom du gouvernement», ce qui implique «la sauvegarde ou la diffusion contrôles."

Les fournisseurs du DoD doivent obtenir une certification CMMC pour au moins l'un des sept niveaux de sécurité liés à l'importance des informations couvertes, recoupées par 17 "domaines" opérationnels, y compris le contrôle d'accès, la réponse aux incidents et l'identification et l'autorisation.

Le DoD mettra en œuvre le programme par le biais d'un "organisme d'accréditation" non gouvernemental et sans but lucratif connu sous le nom de CMMC-AB, qui a été incorporé plus tôt cette année. Le CMMC-AB établira un groupe d'évaluateurs approuvés qui examinera la capacité de sécurité d'un fournisseur du DoD, puis délivrera une certification au niveau approprié. CMMC-AB a demandé aux parties intéressées de fournir des études de marché sur la mise en œuvre du processus d'évaluation de la sécurité d'ici la mi-juin. L'agence prépare actuellement des méthodes d'évaluation basées en partie sur les réponses.

Se préparer à la certification en même temps que le DoD publie des demandes de propositions de contrat ou des demandes d'informations. Cela pourrait être un peu délicat pour les fournisseurs. L'organisme d'accréditation du CMMC devait commencer la formation des évaluateurs à la fin de juin 2020, après quoi il commencera à accréditer les organisations d'évaluateurs tiers du CMMC (C3PAO). Le ministère n'émettra pas les premières acquisitions avec une exigence CMMC avant le deuxième trimestre de l'exercice fédéral 2021, qui commence en janvier 2021.

"Le déploiement initial par le ministère de l'exigence de CMMC sera un petit nombre de demandes de soumissions sélectionnées. Ce délai donnera à ces entreprises six mois pour compléter le niveau approprié de certifications exigé par ces demandes de soumissions sélectionnées", a déclaré Arrington du DoD.

Un autre problème pour les fournisseurs de TI sera le coût de la conformité au programme CMMC. Les fournisseurs de cloud font déjà face à des coûts accrus pour faire affaire avec le DoD en raison des exigences de sécurité du programme fédéral de gestion des risques et des autorisations (FedRAMP), a noté Alex Rossino, analyste principal de recherche chez Deltek. "Parce que le DoD veut rendre la certification FedRAMP et la CMMC réciproques à l'avenir, ces coûts pourraient être quelque peu atténués. Il est tout simplement trop tôt pour le dire d'une manière ou d'une autre. Les fournisseurs non cloud verront certainement une augmentation des coûts liés à la réalisation et à la maintenance de la CMMC. ", at-il déclaré au E-Commerce Times.

Le coût de conformité doit être gérable

Les coûts d'évaluation de la CMMC "dépendront de plusieurs facteurs pour inclure le niveau de la CMMC, la complexité du réseau de la société DIB et d'autres forces du marché", a déclaré le DoD dans un message publié sur le site Web. "Le coût de la certification sera considéré comme un coût admissible et remboursable et ne sera pas prohibitif", a déclaré le DoD.

Bien que les groupes industriels travaillent avec le DoD pour résoudre les problèmes de CMMC, ils conseillent également les membres sur la conformité. "Nous examinons maintenant comment CompTIA peut le mieux soutenir" la communauté informatique, a déclaré le porte-parole Steve Kidera. Les programmes et les capacités de formation de l'organisation sont «des moyens idéaux pour les entreprises de donner à leurs employés une base solide pour la CMMC», a-t-il déclaré au E-Commerce Times. La BSA a organisé un webinaire CMMC pour les membres fin juin.

Le programme pourrait fournir un essor commercial aux fournisseurs de services de sécurité gérés (MSSP) qui offrent des conseils en matière de cybersécurité et des services de données connexes. Lorsque le DoD a commencé les travaux préliminaires sur CMMC, Peerless a restructuré sa stratégie organisationnelle "pour aligner nos offres sur les réglementations décrites par les premières versions des modèles CMMC", a déclaré Brian Seeling, PDG et associé directeur. Les sites Web de ces entreprises, grandes ou petites, font de plus en plus la promotion de leurs capacités CMMC.

"Au début, nous n'avons pas vu beaucoup de concurrents dans notre espace, mais nous avons assisté à une nette augmentation des services de consultation CMMC offerts depuis la publication officielle du protocole CMMC", a déclaré Seeling au E-Commerce Times. "Alors que les exigences de niveau CMMC commencent à être incluses dans les demandes de propositions lancées par le DoD, nous nous attendons à voir de plus en plus de MSSP axés sur CMMC", a-t-il déclaré.


John K. Higgins est journaliste à ECT News Network depuis 2009. Ses principaux domaines d'intérêt sont les questions technologiques du gouvernement américain telles que les contrats informatiques, la cybersécurité, la confidentialité, la technologie cloud, les mégadonnées et la réglementation du commerce électronique. En tant que journaliste indépendant et écrivain de carrière, il a écrit pour de nombreuses publications, notamment
Le rapport du corps et Semaine des affaires.
Envoyez un courriel à John.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *