Le supplément au règlement fédéral sur les acquisitions de la défense (DFARS) régit l’acquisition de biens et de services pour le ministère de la Défense (DoD). Tant les fonctionnaires que les contractants doivent se conformer aux exigences énoncées dans le DFARS. Comme le savent tous ceux qui se sont penchés sur les exigences énoncées dans le DFARS, le DFARS lui-même est un organe réglementaire complexe, vaste et approfondi. Les entrepreneurs et les sous-traitants qui fournissent ou travaillent avec le DoD sont tenus de se conformer au DFARS ou de faire face à des pénalités pour non-conformité, ce qui rend essentiel de comprendre exactement quelles sont vos exigences de conformité au DFARS et comment vous pouvez y répondre.
Un défi que le DFARS présente pour les entrepreneurs et les sous-traitants est une restriction sur les pays auprès desquels vous pouvez vous approvisionner. Compte tenu de la complexité de notre chaîne d’approvisionnement mondiale, les organisations extérieures au processus d’approvisionnement du DoD ne savent souvent pas exactement d’où proviennent leurs biens et services. Cela peut poser des problèmes potentiels de conformité au DFARS, d’où la nécessité de restrictions. La réglementation DFARS elle-même contient une liste de pays conformes aux règles DFARS. Il est essentiel que tous les contractants comprennent et respectent cette liste, ce qui signifie que tous les achats de biens et de services doivent passer par ces pays. Cela s’applique également aux composants constitués de métaux fondus, ce qui est un sujet complexe en soi. Selon les exigences du DFARS, seuls des pays spécifiques sont autorisés à fondre du métal en dehors des États-Unis si le produit final est destiné à des fins de DoD.
Il y a aussi des changements importants qui ont été récemment mis en œuvre dans le DFARS et qui affectent de nombreux contractants et sous-traitants qui interagissent avec le DoD. À savoir, l’ajout d’exigences de cybersécurité pour protéger les informations non classifiées contrôlées (CUI). Cela a un impact sur tous les partenaires du DoD et fait loi depuis fin 2017. Cette exigence supplémentaire pour le DFARS a imposé à toutes les organisations dans le champ d’application de la réglementation d’adopter les efforts de cybersécurité décrits dans le National Institute of Standards and Technology (NIST) SP 800-171 révision 1. Ces exigences visent à protéger les CUI contre tout accès injustifié ou vol. Ce faisant, ces exigences protègent également les entrepreneurs mêmes en s’assurant que leurs efforts en matière de cybersécurité sont capables de correspondre au paysage des menaces d’aujourd’hui.
Naviguer dans les exigences du DFARS peut s’avérer extrêmement difficile. La profondeur des informations couvertes dans les documents réglementaires est considérable, et avec de nombreux documents supplémentaires nécessaires pour obtenir une image complète des services de conseil en matière de conformité et des exigences que les organisations doivent respecter ; la plupart des entrepreneurs de petite et moyenne taille peuvent avoir des difficultés à adhérer aux exigences énoncées dans le DFARS. Cet article cherche à dresser une liste complète des pays conformes au DFARS. Nous examinerons également ce que signifie être un pays conforme, afin de fournir un contexte plus large à la réglementation elle-même.
Voici quelques articles supplémentaires pour vous aider à en savoir plus sur le DFARS :
- Que signifie DFARS ?
- Comment devenir conforme aux DFARS ?
Qu’est-ce que les pays qualifiés ?
À ce stade, vous vous demandez peut-être ce qu’est un pays qualifié. En termes de DFARS, le terme « pays qualifiant » fait référence à un pays avec lequel le gouvernement des États-Unis a conclu un protocole d’accord ou un autre accord international avec le pays désigné. Découlant de ces accords, le DoD détermine qu’il n’est pas dans l’intérêt public que les qualifications des exigences de la loi « Buy American » ou du programme de la balance des paiements s’appliquent à ces pays spécifiques.
Alors, qu’est-ce qui rend exactement spéciale la relation entre les États-Unis et un pays qualifiant ? Eh bien, essentiellement, le gouvernement des États-Unis signe des accords réciproques d’achat de défense avec chaque pays qui figure sur la liste. Ces accords de défense réciproque ont vu le jour dans les années 1970 dans le contexte de la guerre froide, avec l’intention d’accroître l’efficacité des alliances qui existaient à l’époque. L’idée derrière les accords de défense réciproque était que de nombreux pays avaient des obstacles à l’acquisition d’équipements liés à la défense. Ces barrières prenaient souvent la forme de lois ou de normes qui encourageaient les industries de défense à s’approvisionner auprès de sources nationales, que ce soit parce qu’il y avait une incitation financière ou autre.
En raison du fait que les achats de défense représentent une part si importante des achats gouvernementaux en général, la recherche d’accords avec des alliés par lesquels les barrières aux achats transfrontaliers étaient réduites ou éliminées avait du sens. En étant en mesure d’acquérir des équipements de défense à la fois au niveau national et auprès des alliés, les pays ont pu exercer un plus grand degré de choix dans les types d’équipements qu’ils acquièrent. L’élargissement de l’environnement des marchés publics a également permis d’élargir le champ de la concurrence dans le cadre des accords d’acquisition de matériel de défense et de l’approvisionnement. Le recours à des accords réciproques d’acquisition de matériel de défense permet d’améliorer le rapport coût-efficacité de ces acquisitions. Il existe également des considérations stratégiques intégrées dans ces accords, telles que la production d’une plus large gamme d’équipements interopérables.
La facette importante des accords réciproques d’acquisition de défense est la disposition permettant de renoncer aux exigences que de nombreuses nations ont pour que les entités gouvernementales achètent des produits qui sont produits au niveau national. Aux États-Unis, cela prend la forme du Buy American Act, adopté en 1933, qui empêche le gouvernement fédéral d’acheter des fournitures ou des produits finis en dehors des États-Unis sans une dérogation. De nombreux autres pays disposent également de lois « Buy National ». Les accords de réciprocité en matière de marchés publics de défense renoncent à ces lois, ce qui permet aux deux pays d’échanger des équipements de défense entre eux. Ou, à tout le moins, certaines organisations des pays qualifiés peuvent participer au processus d’achat sans craindre des pratiques d’achat discriminatoires. Les biens vendus à partir des pays qualifiés ne seront pas non plus soumis à des droits d’importation, du moins dans la plupart des cas.
Évaluer votre conformité DFARS
Quels sont les pays qualifiés ?
À ce stade, vous voulez probablement une liste des pays considérés comme des pays qualifiés en vertu du DFARS. Comme vous le remarquerez, bon nombre des pays figurant sur la liste sont des alliés fidèles des États-Unis. Au total, il y a actuellement 26 pays qui sont considérés comme des pays conformes au DFARS. Voici la liste des pays conformes au DFARS :
- Australie
- Belgique
- Canada
- République tchèque
- Danemark
- Égypte
- Éstonie
- République fédérale d’Allemagne
- Malte. Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Cette association est logique compte tenu du contexte historique dans lequel les accords d’acquisition de défense ont commencé à apparaître.
Quelles sont certaines autres exigences DFARS importantes
Comme nous l’avons mentionné, le DFARS lui-même est un organisme de réglementation massif qui régit l’acquisition d’équipements de défense. Il existe de nombreuses facettes du DFARS qui s’appliquent à des organisations spécifiques, et il y a trop d’exigences individuelles pour les aborder. Cependant, cela vaut la peine de prendre le temps de connaître un peu plus d’informations sur une exigence récente qui a été ajoutée au DFARS. Cette exigence régit la protection des informations non classifiées contrôlées (CUI). Il existe des sanctions strictes en cas de non-conformité, y compris la perte du contrat gouvernemental qu’une organisation détient, il est donc utile de comprendre comment cette exigence vous affecte.
Si vous faites partie du processus d’approvisionnement du DoD et que vous traitez des CUI, alors vous êtes tenu par la loi de vous conformer aux exigences de cybersécurité décrites dans le document DFARS 204.73 Safeguarding Covered Defense Information and Cyber Incident Reporting. Comme son nom l’indique, cette exigence concerne la protection des données sensibles qui ne sont pas classifiées mais dont la divulgation pourrait néanmoins être préjudiciable. Pour ce faire, les entités qui sont dans le champ d’application de cette exigence doivent adhérer à la norme NIST 800-171 Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations.
La clause régissant la cybersécurité dans le DFARS n’a été ajoutée que récemment et est entrée en vigueur le 31 décembre 2017. Ainsi, bien que cette exigence soit en vigueur depuis plus d’un an à ce stade, il se peut que certaines petites et moyennes entreprises n’aient pas encore atteint la conformité. La mise en conformité avec les exigences de cybersécurité du DFARS peut s’avérer délicate. Les organisations doivent identifier la véritable portée de la façon dont les CUI sont transmis et stockés sur leurs actifs et systèmes de réseau. Ensuite, les organisations doivent mettre en œuvre les mesures de protection décrites dans le document NIST 800-171 pour assurer la protection de ces CUI.
Vous vous demandez peut-être à quoi font référence les « informations non classifiées contrôlées », car cela semble de l’extérieur être un terme large. Essentiellement, les CUI sont des données générées par le gouvernement qui doivent être sauvegardées. Il peut également s’agir d’informations ou de données générées par une entité tierce pour le compte du gouvernement. La définition de CUI elle-même est complexe, avec une définition complète fournie ici par les Archives nationales. Pour les entités concernées par les exigences de sécurité du DFARS, une bonne compréhension de ce qui constitue exactement les CUI est un point de départ fondamental pour identifier où les CUI sont stockés sur vos systèmes, comment ils sont transmis et comment vous les protégez. Parmi les exemples de CUI, on peut citer les courriels, les plans ou les informations sur les sous-traitants, mais il existe de nombreux types d’informations différentes qui peuvent être considérées comme des CUI. L’un des aspects les plus difficiles pour atteindre la conformité à la norme NIST 800-171 consiste à identifier correctement les CUI lorsque vous interagissez avec elles.
Le NIST 800-171 décrit un cadre que les organisations peuvent utiliser pour protéger les CUI sur leur réseau et leurs systèmes. Au total, le NIST 800-171 décrit 14 exigences différentes que les organisations doivent respecter afin d’être considérées comme conformes. Ces exigences peuvent être réparties en contrôles, mesures de sécurité, gestion et surveillance, et pratiques des utilisateurs finaux. Comme d’autres exigences de sécurité fournies par le NIST, les exigences de cybersécurité décrites dans le document NIST 800-171 représentent les meilleures pratiques acceptées par l’industrie. Bien qu’il existe des exigences spécifiques, les organisations peuvent choisir la meilleure façon pour elles de répondre à ces exigences compte tenu de leurs besoins opérationnels, du niveau de risque et des ressources dont elles disposent.
Répondre aux exigences décrites dans le NIST 800-171 peut être difficile, en particulier pour les petits et moyens fabricants ou les fournisseurs du DoD qui n’ont pas les ressources nécessaires pour mener les exigences d’évaluation et de surveillance mandatées par le NIST. Les organisations qui souhaitent se conformer à la norme NIST 800-171 doivent examiner leurs processus opérationnels et l’étendue de leurs CUI, puis analyser les lacunes de leurs contrôles. Une fois cela fait, elles peuvent créer une feuille de route pour aller de l’avant. Les organisations devront ensuite mettre en œuvre des contrôles, ainsi que la segmentation de leur réseau, de leur trafic ou de leurs actifs, si nécessaire, pour réduire l’étendue des CUI. Enfin, les organisations devront créer des processus pour assurer une conformité continue, y compris des audits de sécurité et des validations. Pour faire tout cela, les organisations doivent être capables d’effectuer une évaluation complète de leur infrastructure informatique et avoir accès à l’expertise nécessaire pour effectuer des évaluations de vulnérabilité.
Il est également important de garder à l’esprit que la conformité aux exigences énoncées dans le NIST 800-171 n’est pas un événement singulier, mais plutôt un processus continu. Cela signifie que les organisations doivent procéder régulièrement à des évaluations de vulnérabilité, ainsi qu’à des tests de pénétration continus pour s’assurer que toutes les vulnérabilités de votre réseau, de vos systèmes ou de vos applications Web sont rapidement identifiées et corrigées avant qu’un événement nuisible ne se produise. Découvrez les 5 meilleurs outils de tests de pénétration pour les applications web dans notre article connexe.
Conclusion
Maintenir la conformité aux exigences DFARS peut prendre une quantité stupéfiante de temps et de coordination. Comprendre exactement quelles sont vos exigences de conformité est essentiel pour maintenir votre contrat gouvernemental sur une base continue. Il ne suffit pas de savoir simplement si un pays avec lequel vous travaillez est considéré comme qualifiant ou non. Si vous êtes une organisation qui est un sous-traitant ou un contractant principal fournissant le DoD, vous devrez vous assurer que votre organisation protège les CUI et est conforme à la norme NIST 800-171. Si vous ne le faites pas, vous risquez de ne pas être conforme et de voir votre contrat avec le gouvernement révoqué, sans compter les préjudices financiers et de réputation qui peuvent accompagner une violation de données. Pour éviter la non-conformité avec le DFARS, en particulier, il faut travailler avec d’autres organisations qui ont une compréhension approfondie des exigences du DFARS et du NIST 800-171. Étant donné que ces deux éléments vont de pair, les organisations du champ d’application doivent s’assurer qu’elles restent en permanence conformes aux deux. Si vous êtes curieux d’en savoir plus sur la conformité aux exigences DFARS et NIST 800-171 ou sur les solutions de cybersécurité, veuillez contacter RSI Security dès aujourd’hui.