Proposition de conformité FAR Cyber : Exigences et implications
Interlynk
Décret exécutif 14028 — Décret exécutif sur l'amélioration de la cybersécurité de la nation — a donné le coup d'envoi à une série d'actions ayant pour objectifs :
d'améliorer le partage d'informations entre le gouvernement et le secteur privé,
de moderniser et de renforcer les normes de cybersécurité dans les agences fédérales et
d'améliorer la chaîne d'approvisionnement en logiciels
Le 3 octobre, le Département de la Défense (DoD), l'Administration des Services Généraux (GSA) et la NASA ont proposé un ensemble de modifications au Règlement Fédéral des Acquisitions (FAR) pour mettre en œuvre les exigences découlant du EO14028.
Ces exigences sont ouvertes aux commentaires écrits jusqu'au 4 décembre 2023.
Les modifications proposées créent de nouvelles obligations de conformité pour un grand nombre de contractants fédéraux.
Allons-y !
Quelles sont les exigences ?
Les exigences font partie de deux cas FAR distincts :
FAR Case 2021–017 : Rapport de menaces et d'incidents et partage d'informations
FAR Case 2021–019 : Standardiser les exigences en matière de cybersécurité pour les systèmes d'information fédéraux non classifiés
1. Rapport de menaces et d'incidents et partage d'informations
Cette règle propose des « Exigences de rapport d'incidents et de menaces et de réponse aux incidents » pour les produits et services contenant des « Technologies de l'information et de la communication » (TIC).
Exigences en matière de rapport d'incidents de sécurité
Cette proposition exige que :
Les entrepreneurs (et sous-traitants) doivent immédiatement et complètement enquêter sur tous les indicateurs qu'un incident de sécurité peut avoir eu lieu.
Soumettez les informations à l'Agence de cybersécurité et de sécurité des infrastructures (CISA) dans un délai de huit heures après leur découverte.
Fournir une mise à jour à la CISA toutes les 72 heures jusqu'à ce que l'incident soit résolu.
Collecter et conserver les données relatives à l'incident, à la détection, à la prévention, à la réponse et à l'enquête pendant au moins 12 mois en stockage actif suivi de six mois en stockage actif ou froid et les partager avec le gouvernement si demandé par l'agent contractant.
Un incident de sécurité est défini comme une occurrence réelle ou potentielle des éléments suivants :
Tout événement ou série d'événements qui présente(nt) un danger réel ou imminent, sans autorité légale, à l'intégrité, la confidentialité ou la disponibilité des informations ou d'un système d'information, ou constitue une violation ou une menace imminente de violation de la loi, des politiques de sécurité, des procédures de sécurité ou des politiques d'utilisation acceptable
Tout logiciel malveillant découvert sur un système d'information ou
Le transfert d'informations classifiées ou d'informations non classifiées contrôlées sur un système d'information non accrédité ( c'est-à-dire, autorisé) pour le niveau de sécurité approprié.
Exigences de représentation du rapport d'incidents
Cette proposition exige que toutes les offres et tous les contrats représentent que les soumissionnaires ont soumis tous les rapports d'incidents de sécurité de manière actuelle, précise et complète et ont exigé des sous-traitants qu'ils se conforment à la même chose dans leur sous-contrat.
Exigences SBOM
Les entrepreneurs doivent maintenir — et fournir au gouvernement — un SBOM pour « chaque pièce de logiciel utilisée dans l'exécution du contrat », dans un format standard de l'industrie lisible par machine conforme à NTIA's The Minimum Elements for a Software Bill of Materials.
Le SBOM doit être à jour avec chaque nouvelle version ou version majeure et doit être déposé auprès de l'agent contractant pour chaque changement de ce type. Cela inclut les versions de logiciels informatiques pour intégrer un composant ou une dépendance mise à jour.
Exigences d'accès aux systèmes d'information des entrepreneurs
Ce changement exige qu'en réponse à un incident de sécurité signalé par l'entrepreneur ou identifié par le gouvernement, l'entrepreneur puisse être demandé et doit fournir un accès complet à la CISA, au FBI et à l'agence contractante un accès complet aux informations et aux systèmes d'information des entrepreneurs, ainsi qu'au personnel de l'entrepreneur.
2. Standardiser les exigences en matière de cybersécurité pour les systèmes d'information fédéraux non classifiés
Ce changement propose des politiques, procédures et exigences de cybersécurité standardisées pour les systèmes d'information fédéraux (FIS). Par conséquent, cette proposition s'étend à deux nouvelles clauses FAR pour les FIS utilisant des services cloud et utilisant des services de calcul non cloud.
A. FIS utilisant des services de calcul non cloud
Cela exige que les agences utilisent la norme fédérale de traitement de l'information (FIPS) Publication 199 pour catégoriser le niveau d'impact des informations traitées, stockées et transmises dans le système.
Pour les niveaux d'impact modérés/élevés, les entrepreneurs FIS doivent
effectuer une chasse aux menaces cybernétiques annuelle, une évaluation des vulnérabilités et rechercher des indicateurs de compromission
effectuer une évaluation indépendante de la sécurité de chaque FIS.
mettre en œuvre l'amélioration ou l'atténuation recommandées comme l'exige l'agent contractant
se référer aux contrôles des SP NIST 800–53, 800–213, 800–161 et 800–82
B. FIS utilisant des services de cloud computing
Pour les services basés sur le cloud, l'entrepreneur doit
mettre en œuvre des contrôles et des sauvegardes basés sur FedRAMP
mettre en œuvre une surveillance continue et faire un rapport comme l'exige FedRAMP
mettre en œuvre une élimination appropriée des données gouvernementales et connexes
Qui est touché ?
Les exigences de reporting s'appliquent à tous les entrepreneurs (et sous-traitants) qui incluent les technologies de l'information et de la communication (TIC) ou le système d'information utilisé pour développer ou fournir le produit ou le service proposé au gouvernement.
Le Conseil FAR suppose que 75 % de toutes les entités reçoivent des contrats qui incluent des TIC.
Implications
Les règles proposées sont ouvertes aux commentaires du public et sont susceptibles de clarification et de modifications. Cependant, la proposition souligne l'engagement envers des exigences en matière de cybersécurité plus strictes et l'« harmonisation » des réglementations en matière de cybersécurité à travers les agences fédérales.
Spécifiquement :
Les obligations en matière de cybersécurité ne concernent pas seulement les grands contrats et passeront des entrepreneurs fédéraux aux sous-traitants (‘chaîne d'approvisionnement en logiciels’ lorsque le sous-contrat construit une partie du produit)
La définition et le champ d'application des exigences de signalement des « incidents de sécurité » s'élargissent et devraient créer des questions et des défis d'implémentation en fonction de la taille de l'entrepreneur et de son agence.
Le SBOM deviendra un élément crucial pour vendre le logiciel au gouvernement. Étant donné que l'élément minimum du NTIA est en révision, les exigences du SBOM continueront probablement à évoluer.
Ces règles augmentent le droit du gouvernement sur les données des entrepreneurs et sont susceptibles de rencontrer des préoccupations juridiques concernant la vie privée.
La représentation inexacte des incidents cybernétiques ou des données cybernétiques associées est de plus en plus un risque de responsabilité. Combiné avec un ‘accès total’ à de nouveaux incidents de sécurité, même la mauvaise représentation historique peut rester une préoccupation pour les entrepreneurs.
Interlynk rend la divulgation de la sécurité facile, évidente et automatisée. Nous sommes heureux de répondre à toutes les questions que vous pourriez avoir. N'hésitez pas à nous contacter à hello@interlynk.io ou via interlynk.io