Le Supplément de Réglementation Fédérale d'Acquisition de la Défense (DFARS) est un ensemble de réglementations développées et utilisées par le Département de la Défense des États-Unis (DoD) pour régir l'acquisition de biens et services ; ces réglementations sont conçues pour s'assurer que le DoD acquiert des articles et des services d'une manière qui promeut la sécurité nationale et soutient les objectifs de défense. Ainsi, si votre entreprise, quel que soit le secteur, est impliquée de quelque manière que ce soit dans la fourniture au département, vous devez vous conformer au DFARS.
Il ne devrait pas être surprenant que, dans un monde où la dépendance à la technologie se généralise, les équipes de conception électronique travaillant sur des contrats du DoD doivent particulièrement respecter les règles. Le non-respect peut entraîner de graves conséquences, telles que la résiliation du contrat, des amendes et des dommages à la réputation ; dans cet esprit, il est de la plus haute importance que vos équipes comprennent et mettent en œuvre les exigences du DFARS lors de la conception et du développement de nouvelles cartes pour protéger les informations sensibles, atténuer les risques et maintenir une relation solide avec le DoD.
Dans les deux sections suivantes, vous trouverez deux tableaux qui servent de liste de vérification pour les considérations que vos équipes devraient cocher lors de la préparation de l'électronique pour le DoD.
Il existe plusieurs éléments clés à prendre en compte par les équipes en ce qui concerne le DFARS ; de manière générale, ceux-ci sont définis par les pratiques de conception sécurisée, la cybersécurité, la sécurité de la chaîne d'approvisionnement, les droits sur les données et le contrôle des exportations—les détails desquels vous trouverez dans le tableau suivant :
Considération |
Exemple |
Pratiques de conception sécurisée |
Adhérer aux normes de codage sécurisé comme OWASP Top 10 pour réduire les vulnérabilités dans le firmware et le logiciel. |
Mettre en œuvre des mesures de sécurité matérielles telles que le démarrage sécurisé, le chiffrement basé sur le matériel et la détection de manipulation. |
|
Conduire une modélisation des menaces approfondie pour identifier les vulnérabilités et les risques potentiels dans la conception. |
|
Prioriser toujours les composants avec des fonctionnalités de sécurité renforcées et éviter ceux avec des vulnérabilités connues. |
|
Préparer un plan en tenant compte de la fin de vie de chaque composant pour aborder les implications de sécurité de l'obsolescence des composants. |
|
Cybersécurité |
Identifier et protéger les Informations Non Classifiées Contrôlées (CUI) conformément à la clause DFARS 252.204-7012, qui peut inclure des données techniques, du code source et des documents de conception ; la mise en œuvre de contrôles d'accès, de chiffrement et d'évaluations de sécurité régulières peuvent tous aider dans cette entreprise. |
Respectez les normes de sécurité décrites dans NIST SP 800-171, y compris celles liées aux contrôles d'accès, à la réponse aux incidents et aux évaluations des risques. |
|
Mettez en place des plans de réponse aux incidents fiables afin que les équipes à travers l'organisation puissent détecter, répondre et rapporter promptement les incidents de cybersécurité conformément à la clause DFARS 252.204-7012. |
|
Respectez la clause "Services de Cloud Computing" de DFARS 252.239-7010 et la clause 252.204-7008, connue sous le nom de "Conformité avec les Contrôles de Protection des Informations de Défense Couvertes", et toute autre qui est pertinente pour la protection des données sensibles. |
|
Sécurité de la chaîne d'approvisionnement |
Effectuez une diligence raisonnable suffisante pour évaluer et vérifier l'authenticité et les pratiques de cybersécurité des fournisseurs, ainsi que pour vous assurer qu'ils respectent les normes et réglementations nécessaires. Si les fournisseurs existants ne répondent pas aux normes, vous devriez soit les remplacer, soit les amener à se conformer. |
Mettez en œuvre des mesures pour prévenir l'introduction de composants contrefaits dans la chaîne d'approvisionnement ; vous pouvez y parvenir grâce à des audits de fournisseurs, à la traçabilité des composants et à des outils de détection de pièces contrefaites. |
|
Évaluez et atténuez les risques associés à la chaîne d'approvisionnement ; cela pourrait inclure des facteurs géopolitiques et des perturbations, telles que la guerre, les catastrophes naturelles et les menaces cybernétiques. |
|
Droits sur les données |
Familiarisez-vous ainsi que vos équipes avec les différents types de droits sur les données (droits limités, droits illimités, etc.) et leurs implications. Assurez-vous que tout le monde comprend comment les droits sur les données affectent la propriété, l'utilisation et la distribution des données. |
Marquez correctement et gérez les informations fournies par le gouvernement (GFI) pour en assurer la sécurité et l'utilisation appropriée. Mettez en place des procédures pour contrôler l'accès, le stockage et la transmission. |
|
Contrôles à l'exportation |
Déterminez si vos conceptions ou technologies sont soumises aux contrôles à l'exportation en vertu du Règlement International sur le Trafic d'Armes (ITAR) ou des Règlements sur l'Administration des Exportations (EAR). |
Obtenez les licences et permis nécessaires pour exporter ou transférer la technologie contrôlée et mettez en œuvre des procédures de contrôle à l'exportation, y compris le filtrage des commandes, la classification des articles et l'obtention des autorisations requises. |
Considération |
Exemple |
Sélection du fournisseur de services cloud (CSP) |
Choisissez des CSPs qui ont de solides pratiques de sécurité et peuvent répondre aux exigences DFARS ; prenez en compte des facteurs tels que la certification du Programme Fédéral de Gestion des Risques et d'Autorisation (FedRAMP), les emplacements des centres de données, et les certifications de sécurité. |
Envisagez sérieusement d'utiliser des CSP autorisés par FedRAMP, qui ont subi des évaluations de sécurité parmi les plus rigoureuses et sont considérés comme conformes aux normes de sécurité fédérales. |
|
Sécurité des données dans le cloud |
Chiffrez les données sensibles, tant au repos qu'en transit, et essayez de mettre en œuvre des algorithmes de chiffrement robustes et des pratiques de gestion des clés à travers les équipes. |
Limiter l'accès aux données sensibles uniquement au personnel autorisé, avec des contrôles d'accès basés sur les rôles et des processus d'authentification multi-facteurs. |
|
Effectuez des évaluations de sécurité régulières pour identifier et traiter les vulnérabilités ; pour cela, vous pouvez réaliser des analyses de vulnérabilité, des tests de pénétration et des audits de sécurité. |
|
Résidence et souveraineté des données |
Prenez conscience des exigences de résidence des données et assurez-vous que les données sensibles sont stockées dans des emplacements approuvés. N'oubliez pas de prendre en compte les lois et réglementations sur la souveraineté des données qui peuvent avoir un impact sur le stockage et le transfert des données. |
Respectez les restrictions de transfert de données et obtenez les approbations nécessaires pour les flux de données transfrontaliers, mettez en œuvre des contrôles de transfert de données et surveillez les flux de données pour garantir la conformité avec les réglementations. |
DFARS est une norme complexe et en constante évolution, mais c'est un aspect essentiel du travail avec le DoD, donc c'est quelque chose avec lequel toutes les entreprises dans une telle situation doivent se débattre. Dans cet esprit, nous avons élaboré quelques conseils pratiques pour la conformité que vous pouvez mettre en œuvre au sein de votre propre entreprise pour rendre le processus un peu plus facile.
Trouvez un membre de l'équipe responsable qui peut jouer le rôle d'officier de conformité DFARS ; son travail consistera à superviser les efforts de conformité. En même temps, développez un plan complet qui décrit les procédures pour l'identification, l'évaluation et l'atténuation des risques DFARS. Une fois ces deux étapes établies, assurez-vous que votre équipe effectue des audits périodiques pour vérifier l'adhésion aux exigences et identifier les domaines où vous pourriez vous améliorer.
Vous devrez également sécuriser votre système et votre infrastructure. Assurez-vous que vous avez une adhésion à l'échelle de l'entreprise aux pratiques de codage sécurisé, telles que la validation des entrées, le codage des sorties et la gestion des erreurs ; mettez en œuvre une segmentation du réseau, des pare-feu, des systèmes de détection d'intrusion et d'autres mesures de sécurité pour protéger les données sensibles de conception et de développement ; et développez et testez régulièrement un plan de réponse aux incidents pour répondre rapidement aux incidents.
Le logiciel seul ne peut pas protéger votre entreprise ou vos équipes. Étant donné que la cybersécurité est un concept relativement nouveau, il est important que l'entreprise éduque suffisamment ses employés sur les cybermenaces, les meilleures pratiques, et comment protéger les informations sensibles. Une telle éducation peut être renforcée en formant les employés sur les procédures appropriées de manipulation des données, y compris la classification, l'étiquetage et les contrôles d'accès. Il est tout aussi important, comme mentionné ci-dessus, que les équipes connaissent tout sur les réglementations de contrôle des exportations, ainsi que les exigences de licence et les conséquences potentielles du non-respect.
Les outils fournis par les entreprises de technologie innovantes peuvent faciliter l'ensemble de ce processus. Par exemple, vous pourriez mettre en œuvre des outils de prévention des pertes de données (DLP) pour surveiller et contrôler le mouvement des données, ce qui élimine l'élément humain et empêche les transferts et les fuites non autorisés ; utiliser des outils de gestion des informations de sécurité et de gestion des événements (SIEM) pour collecter, analyser et corréler les journaux d'événements de sécurité, ce qui permet la détection et la réponse en temps opportun aux incidents ; ou employer des outils de gestion de configuration pour automatiser la configuration et le déploiement des systèmes, ce qui assure des paramètres de sécurité cohérents et réduit le risque de mauvaises configurations.
Rappelez-vous que l'adhésion aux réglementations DFARS n'est pas uniquement une question de conformité ; c'est aussi une démarche stratégique qui rend votre entreprise éligible à des contrats plus importants, et pourrait-on dire, meilleurs à travers le DoD. La conformité avec ces réglementations offre à votre entreprise une fantastique opportunité d'améliorer sa réputation en tant que partenaire de confiance — et, pour les futures collaborations, digne de confiance — qui atténue les risques et protège les informations sensibles.
Ce n'est pas le processus le plus simple, mais c'est un processus qui en vaut la peine, et Altium 365 peut aider dans ce processus grâce à la centralisation des données de conception ; l'amélioration de la collaboration entre les équipes internes, les fournisseurs et les partenaires ; des mesures de sécurité robustes, incluant le chiffrement des données et les contrôles d'accès ; et l'intégration de l'automatisation de la vérification de la conformité. Explorez Altium 365 GovCloud aujourd'hui—une région dédiée d'Altium 365 construite sur l'infrastructure AWS GovCloud—pour franchir l'étape suivante vers la conformité DFARS et renforcer la sécurité de votre processus de conception électronique.