Publié le : 17 novembre 20209 mins de lecture
Par nature, les données et les communications entourant les produits fabriqués pour être utilisés dans des applications de défense doivent impliquer un certain niveau de sécurité accrue. Mais à quoi cela ressemble-t-il exactement et quelles mesures sont nécessaires? En janvier 2020, le National Institute of Standards and Technology du gouvernement des États-Unis (NIST, Gaithersburg, Md., États-Unis) a présenté la deuxième révision du NIST 800-171, un document décrivant les exigences de cybersécurité pour protéger la confidentialité des informations non classifiées contrôlées (CUI) – informations considérées comme sensibles mais non entièrement classifiées – détenues par des organisations et des entreprises à l’extérieur du gouvernement fédéral. Importantes pour l’industrie des composites, les nouvelles normes concernent les entreprises travaillant sous contrat avec le ministère américain de la Défense (DOD), ainsi que les fournisseurs de ces entreprises.
Le NIST 800-171 Révision 2 , qui remplace le document Révision 1 publié en 2018, a été publié pour une période de commentaires préliminaires entre janvier et mars 2020, partiellement échelonné au printemps et devrait être déployé à grande échelle cet automne. Selon Michael Flavin, directeur des ventes et du marketing informatique de la société de conseil Saalex Information Technology (SaalexIT, Camarillo et Temecula, Californie, États-Unis), il peut y avoir jusqu’à 300000 entreprises, y compris des fabricants ou des fournisseurs de composites, dans le cadre du NIST 800-171 d’ici 2025.
Les objectifs du nouveau protocole, selon Flavin, comprennent:
- Application d’une meilleure «hygiène de cybersécurité» – ou des meilleures pratiques de cybersécurité;
- la protection des données sensibles contre les pirates étrangers; et
- la protection de la propriété intellectuelle considérée comme vitale pour la sécurité nationale.
De plus, le nouveau protocole n’exige pas seulement une cybersurveillance plus stricte, mais aussi une documentation de cette surveillance.
NIST 800-171 classe ses recommandations en 14 familles: contrôle d’accès, sensibilisation et formation, audit et responsabilité, gestion de la configuration, identification et authentification, réponse aux incidents, maintenance, protection des médias, sécurité du personnel, protection physique, évaluation des risques, évaluation de la sécurité, système et la protection des communications et l’intégrité des systèmes et des informations.
Les problèmes de cybersécurité courants incluent des pare-feu inadéquats, une mauvaise utilisation des mots de passe et une formation inadéquate.
Cependant, selon Flavin, toutes les entreprises ne sont pas tenues de se conformer au même niveau de cybersécurité. Les exigences sont divisées en cinq niveaux, classés par ordre décroissant en fonction de la sensibilité des informations impliquées, le niveau 1 indiquant les informations les plus sensibles nécessitant les mesures de cybersécurité les plus strictes, explique Flavin. De plus, le niveau de conformité est basé sur le contrat DOD et affecte toutes les entreprises associées à ce contrat – en d’autres termes, tant l’entreprise avec le contrat direct que tous les fournisseurs concernés pour ce projet sont tenus de se conformer au même niveau de cybersécurité.
Un non-respect, ajoute Flavin, pourrait exclure un fournisseur des contrats futurs, de sorte que le protocole entraînera probablement un «élimination» des fournisseurs ayant de faibles pratiques de cybersécurité.
Problèmes de cybersécurité les plus courants
«La dernière chose que vous voulez, c’est que le FBI apprenne que vous avez été violé. Ce qui est arrivé », dit Flavin.
Selon Flavin, les grandes entreprises ont tendance à avoir des systèmes informatiques sophistiqués qui peuvent répondre aux exigences de NIST 800-171, mais les petites entreprises peuvent ne pas en avoir en place. La vulnérabilité présentée par les petites entreprises ne doit pas être sous-estimée, ajoute-t-il: «Tout le monde pense que les grandes entreprises, comme Bank of America, sont la cible, mais si un intrus peut percer plusieurs petites cibles faibles, il le fera, et il peut être tout aussi destructeur. »
Selon Flavin, les problèmes de cybersécurité courants que rencontrent les entreprises incluent des pare-feu inadéquats, une mauvaise utilisation des mots de passe et une formation inadéquate qui expose les employés à des risques d’escroquerie par hameçonnage ou de rançongiciel. En outre, dit Flavin, de nombreux systèmes informatiques d’entreprise utilisent des systèmes de réseau connectés qui devraient être séparés, pour séparer les données en réseaux segmentés, avec des informations sensibles accessibles uniquement par certains utilisateurs.
Devenir conforme NIST 800-171
Que peut faire une entreprise pour évaluer si elle est conforme à NIST 800-171 et pour effectuer les ajustements nécessaires?
La conformité avec NIST 800-171 exigera une certaine planification pour de nombreuses entreprises, dit Flavin. Par exemple, la conformité pourrait coûter à une entreprise entre 500 et 2 000 dollars par employé et par an, selon le niveau de sécurité requis. De plus, un audit annuel de cybersécurité peut être nécessaire.
La première étape consiste à considérer à la fois le type de travail que votre entreprise effectue actuellement ainsi que le type de travail que vous pourriez faire à l’avenir et qui pourrait avoir des problèmes de sensibilité potentiellement plus importants. «Il vaut mieux élever la barre en matière de cybersécurité de manière proactive et ne pas essayer de rattraper le retard après coup», déclare Flavin.
La prochaine étape, dit-il, consiste à obtenir une évaluation tierce de la sécurité des données d’une entreprise comme SaalexIT. Si vous ne savez pas quel est le niveau d’exigence de sécurité des données, il recommande de cibler la conformité de niveau 3 comme base de référence. Flavin ajoute que se tourner vers des sociétés d’évaluation tierces – dont beaucoup effectuent des évaluations à distance compte tenu des restrictions de voyage actuelles liées à la pandémie – ne doit pas être considéré comme un signe qu’une entreprise ne fait pas confiance aux mesures mises en place par son équipe informatique interne. : «L’objectif n’est pas de dénigrer le personnel informatique actuel, mais de comprendre et corriger les vulnérabilités. Cela nécessite la coopération du service informatique. »
SaalexIT aide les entreprises en effectuant une «évaluation des écarts» pour éclairer les zones à problèmes potentiels et suggérer une ligne d’action vers la certification. «Nous examinons le type de travail effectué et l’accès aux informations classifiées dans le cadre du contrat et le niveau requis. Nous faisons ensuite des recommandations au client sur les faiblesses de ses données et sur ce qui doit être fait pour se mettre en conformité avec le niveau », explique Flavin. Cette évaluation des lacunes examine les politiques et procédures, la formation à la sécurité des données des employés et les procédures d’authentification des données telles que les identifiants et les mots de passe. Par exemple, dit Flavin, les entreprises doivent déterminer si les employés accèdent aux fichiers en dehors de leur domaine de travail ou de responsabilité. A terme, SaalexIT est alors en mesure de présenter un plan de projet avec des jalons pour une meilleure sécurité du site, une feuille de route pour la conformité et les coûts associés.
Enfin, Flavin dit que pour se conformer pleinement à NIST 800-171, les entreprises peuvent être certifiées par un organisme tiers d’évaluation de la certification (C3PAO) nommé par le DOD. Le système en est encore aux étapes de planification et d’organisation, mais la certification respectera la certification du modèle de maturité de cybersécurité (CMMC, voir image ci-dessus) décrite par le DOD.
Avant que les exigences n’entrent pleinement en vigueur, Flavin recommande aux entreprises concernées de commencer dès maintenant et de rechercher des experts en cybersécurité pour une évaluation par un tiers. «L’état d’esprit devrait être quand, pas si, vous serez attaqué», dit-il. «Et vous devez atténuer ce risque.»