Conformité DFARS
Assurer la cybersécurité et la conformité réglementaire dans les contrats de défense
Supplément aux réglementations fédérales sur les acquisitions en matière de défense (DFARS) est un ensemble de réglementations en cybersécurité applicable à tous les prestataires et sous-traitants travaillant avec le Département de la Défense américain (DoD). Le DFARS est conçu pour protéger les informations non classifiées mais sensibles (CUI) dans les systèmes et réseaux non fédéraux, avec des exigences spécifiques basées sur NIST SP 800-171.
La conformité au DFARS est une obligation contractuelle. Les organisations qui ne respectent pas ces exigences risquent de perdre leur éligibilité aux contrats du DoD, d’être sanctionnées ou exclues des opportunités fédérales futures.
La conformité DFARS est obligatoire pour :
- Contractants principaux et sous-traitants impliqués dans des contrats avec le DoD.
- Organisations traitant des informations non classifiées contrôlées (CUI).
- Fournisseurs et prestataires de services dans la base industrielle de défense (DIB), y compris les secteurs de l’informatique, de l’ingénierie et de la fabrication.
1. Mettre en œuvre les contrôles de sécurité du NIST SP 800-171
Les sous-traitants doivent mettre en œuvre les 110 exigences de sécurité du NIST SP 800-171, comme l’impose le DFARS 252.204-7012(b)(2). Ces contrôles visent à protéger la confidentialité des informations CUI dans les systèmes non fédéraux.
2. Déclaration d’incident cyber (sous 72 heures)
Conformément à DFARS 252.204-7012(c), les sous-traitants doivent signaler les incidents cyber au DoD dans un délai de 72 heures via le portail DIBNet du DoD et conserver toutes les preuves de l’incident à des fins d’analyse médico-légale.
3. Maintenir le plan de sécurité du système (SSP) et le POA&M
Conformément à DFARS 252.204-7012(b)(3), les contractants doivent documenter leur posture de cybersécurité actuelle à l’aide d’un SSP et tenir à jour un Plan d’actions et de jalons (POA&M) pour tout écart de conformité.
4. Soumettre les scores de conformité au SPRS
Comme précisé dans la clause DFARS 252.204-7019, les sous-traitants doivent soumettre leur score d’auto-évaluation NIST SP 800-171 au Supplier Performance Risk System (SPRS).
5. Exigences de transmission aux sous-traitants
La clause DFARS 252.204-7012(m) exige que les contractants principaux s’assurent que leurs sous-traitants traitant des informations CUI respectent également les exigences DFARS et NIST SP 800-171, et que les clauses correspondantes soient correctement incluses dans tous les sous-contrats.
Le non-respect des exigences DFARS peut entraîner des conséquences importantes, notamment :
- Résiliation du contrat: Le DoD peut résilier les contrats en cas de non-respect des obligations.
- Suspension des paiements: Les paiements peuvent être retenus jusqu’à ce que les problèmes de conformité soient résolus.
- Responsabilités juridiques: Le non-respect peut entraîner des poursuites judiciaires, y compris des amendes civiles et des dommages-intérêts au titre du False Claims Act.
- Exclusion: Les organisations peuvent être suspendues ou exclues des futurs contrats gouvernementaux.
- Atteinte à la réputation: Le non-respect peut nuire à la réputation d’une organisation, affectant ses opportunités commerciales futures.
Resecurity propose des solutions personnalisées pour aider les sous-traitants à respecter les exigences DFARS et NIST SP 800-171 grâce à une combinaison d’opérations de sécurité, de gestion des risques et d’automatisation de la conformité.
Évaluation des écarts NIST 800-171
- Identifier les lacunes de contrôle dans les 14 familles
- Élaborer des plans de remédiation concrets
Développement de SSP et POA&M
- Créer une documentation conforme et vérifiable
- Maintenir des plans pour la montée en maturité et les mises à jour continues
Réponse aux incidents et déclaration sous 72 heures
- Mettre en place des processus de réponse
- Permettre une notification rapide et précise des violations au DoD
Préparation et soumission du score SPRS
- Appliquer la méthodologie d’évaluation requise
- Générer des résumés de conformité compatibles SPRS
Surveillance de la conformité des tiers
- Gérer les obligations DFARS des sous-traitants
- Automatiser la validation des clauses en cascade
La conformité DFARS n’est plus facultative pour les fournisseurs de défense. En collaborant avec Resecurity, votre organisation obtient les outils et le soutien nécessaires pour répondre aux attentes du DoD en matière de cybersécurité, protéger les informations CUI et rester compétitive sur le marché des contrats publics.
Contactez Resecurity pour planifier une consultation sur la conformité DFARS ou en savoir plus sur la sécurisation de vos systèmes d’information selon les réglementations du DoD.
Los Angeles, CA 90071 Google Maps
