Conformité au DFARS pour les contractants du ministère de la défense : Meilleures pratiques

Qu'est-ce que DFARS ?

DFARS signifie Supplément au règlement sur les acquisitions fédérales de défenseIl s'agit d'un ensemble de règlements utilisés par le Département de la Défense des États-Unis (DoD) pour compléter le Règlement sur les acquisitions fédérales (FAR), qui régit le processus d'acquisition des agences fédérales. Le DFARS vise à fournir des orientations et des exigences supplémentaires spécifiques aux acquisitions de défense, notamment les contrats, les achats et la sous-traitance, afin de garantir que le DoD achète des biens et des services de manière à promouvoir la sécurité nationale et à soutenir les objectifs de défense. Le DFARS est régulièrement mis à jour et maintenu par le DoD afin de se conformer aux lois, réglementations et politiques relatives aux acquisitions de défense.

Pourquoi est-ce important ?

Le DFARS est important car il fournit des réglementations et des lignes directrices essentielles au Département de la Défense des États-Unis (DoD) pour acquérir des biens et des services de manière à soutenir les objectifs de défense et à promouvoir la sécurité nationale. Ces réglementations garantissent que le DoD mène ses acquisitions de manière transparente, responsable et conforme. Le DFARS comprend des exigences relatives à l'attribution et à la gestion des contrats, à la cybersécurité, à la propriété intellectuelle, à l'utilisation des petites entreprises et à d'autres domaines critiques.

En adhérant au DFARS, le DoD peut gérer efficacement ses acquisitions, protéger les informations sensibles, promouvoir une concurrence loyale entre les entrepreneurs et préserver l'intégrité et la sécurité de sa chaîne d'approvisionnement. La conformité au DFARS est essentielle pour les entrepreneurs souhaitant collaborer avec le DoD, car elle garantit que le processus d'acquisition est mené conformément aux priorités de défense et protège les intérêts nationaux.

Qui doit s'y conformer ?

Tous les entrepreneurs, fournisseurs et prestataires souhaitant collaborer avec le Département de la Défense des États-Unis (DoD) doivent se conformer au DFARS. Le respect du DFARS est obligatoire pour toute entité souhaitant participer à des acquisitions du DoD, y compris les maîtres d'œuvre, les sous-traitants et les fournisseurs à tous les niveaux de la chaîne d'approvisionnement. Cela inclut les entités nationales et étrangères qui fournissent des biens ou des services au DoD, quelle que soit leur taille ou leur type d'entreprise. Le respect du DFARS est une exigence contractuelle, et son non-respect peut entraîner des pénalités, la résiliation du contrat et la perte d'opportunités commerciales avec le DoD. Il est essentiel que toutes les entités impliquées dans des acquisitions du DoD comprennent et respectent les exigences du DFARS afin de garantir leur éligibilité aux contrats du DoD et de maintenir leur conformité avec la réglementation du DoD en matière d'acquisitions.

Exigences de conformité DFARS

Familiarisez-vous avec les réglementations DFARS : les entrepreneurs, les fournisseurs et les vendeurs doivent bien comprendre les réglementations et les exigences DFARS applicables à leurs contrats et acquisitions spécifiques.

• Maintenir les mesures de cybersécurité : Le DFARS comprend des exigences spécifiques en matière de cybersécurité, telles que la protection des informations non classifiées contrôlées (CUI) et le signalement des incidents de cybersécurité au DoD.
• Protéger la propriété intellectuelle (PI) : Les entrepreneurs doivent identifier, protéger et signaler correctement toute propriété intellectuelle associée à l’exécution des contrats du DoD, y compris les droits sur les données, les brevets, les marques déposées et les droits d’auteur.
• Conformez-vous aux exigences d’utilisation des petites entreprises : Le DFARS comprend des dispositions relatives à la sous-traitance avec les petites entreprises, y compris les plans de sous-traitance des petites entreprises et les exigences de déclaration.
• Mettre en œuvre des mesures de sécurité de la chaîne d’approvisionnement : Les entrepreneurs doivent garantir l’intégrité et la sécurité de leur chaîne d’approvisionnement, notamment en contrôlant et en surveillant les fournisseurs et en empêchant l’utilisation de pièces ou de matériaux contrefaits.
• Suivre les processus d’attribution et d’administration des contrats : Les entrepreneurs doivent se conformer aux exigences du DFARS relatives à l’attribution, à l’administration et à la production de rapports sur les contrats, y compris la soumission de données de coûts ou de prix précises et complètes.
• Tenir des registres et des rapports : Les entrepreneurs doivent tenir des registres et fournir des rapports comme l’exige le DFARS, y compris la documentation de la conformité aux diverses réglementations et exigences.
• Restez informé des changements apportés au DFARS : Le DFARS est régulièrement mis à jour et les entrepreneurs doivent rester informés de tout changement pour garantir une conformité continue avec les dernières réglementations.
• Coopérer avec les audits et les enquêtes du DoD : Les entrepreneurs doivent coopérer avec les audits, les enquêtes et les demandes de renseignements du DoD liés à la conformité DFARS, notamment en fournissant l'accès aux dossiers et aux informations demandés.
• Conserver la documentation et les preuves de conformité : Les entrepreneurs doivent conserver la documentation et les preuves de conformité aux exigences du DFARS, y compris les contrats, les rapports, les certifications et autres documents pertinents.

Que signifie la conformité DFARS pour les entrepreneurs du DoD

Conformité aux exigences de cybersécurité : les sous-traitants du DoD doivent se conformer aux exigences de cybersécurité telles que spécifiées dans la clause DFARS 252.204-7012, qui impose la mise en œuvre de contrôles de cybersécurité adéquats pour protéger les informations de défense couvertes (CDI) et signaler tout incident de cybersécurité.

• Protection des informations contrôlées non classifiées (CUI) : Les sous-traitants du DoD doivent se conformer aux exigences de la clause DFARS 252.204-7012, qui comprend des mesures visant à protéger les CUI, telles que le marquage, la manipulation, le stockage et la transmission des CUI conformément aux lois, réglementations et exigences contractuelles applicables.
• Mise en œuvre des contrôles de sécurité : Les sous-traitants du DoD doivent mettre en œuvre les contrôles de sécurité spécifiés dans le Publication spéciale 800-171 de l'Institut national des normes et de la technologie (NIST)« Protection des informations non classifiées contrôlées dans les systèmes et organisations non fédéraux », qui décrit les exigences de sécurité pour la protection des informations non classifiées contrôlées.
• Signalement des incidents de cybersécurité : Les sous-traitants du DoD doivent signaler rapidement au DoD tout incident de cybersécurité, tel qu'une violation de données ou un accès non autorisé, comme spécifié dans la clause DFARS 252.204-7012 et toutes les exigences contractuelles applicables.
• Conformité aux exigences des sous-traitants : Les sous-traitants du DoD doivent transmettre les exigences de la clause DFARS 252.204-7012 à leurs sous-traitants qui peuvent avoir accès au CDI ou au CUI, et s'assurer que les sous-traitants se conforment également aux exigences de cybersécurité applicables.
• Tenue de la documentation et des dossiers : Les sous-traitants du DoD doivent conserver la documentation et les enregistrements relatifs à leur conformité aux exigences de cybersécurité du DFARS, tels que les plans de sécurité du système, les rapports d'évaluation de la sécurité et les rapports d'incident, comme l'exige la clause 252.204-7012 du DFARS.
• Conformité aux clauses DFARS supplémentaires : Les sous-traitants du DoD doivent se conformer aux autres clauses du DFARS relatives à la protection des données, telles que Clause DFARS 252.239-7010« Services de Cloud Computing » et la clause DFARS 252.204-7008, « Conformité aux contrôles de protection des informations de défense couvertes », qui peuvent imposer des exigences supplémentaires pour la protection des données sensibles.

Il est important de noter que les exigences du DFARS pour les sous-traitants du DoD peuvent varier en fonction du contrat, du type d'informations traitées et d'autres facteurs. Les sous-traitants doivent consulter des experts juridiques ou de conformité afin de garantir une conformité totale avec le DFARS et les autres réglementations applicables.

Que devez-vous faire en cas de violation de la sécurité DSARS ?

Informer les parties concernées : Les entrepreneurs doivent immédiatement informer les parties concernées, y compris le responsable du contrat, le directeur de l'information du DoD (DSI) et toute autre partie prenante concernée, de la violation de sécuritéCela doit être fait conformément aux exigences du contrat et à tous les protocoles de rapport spécifiques décrits dans le DFARS.

1. Activer le plan de réponse aux incidents : Les prestataires doivent activer leur plan de réponse aux incidents, qui doit inclure des procédures prédéfinies pour répondre aux failles de sécurité. Cela peut impliquer l'isolement des systèmes affectés, la collecte de preuves et la réalisation d'analyses forensiques afin de déterminer l'étendue et l'impact de la faille.
2. Mettre en œuvre des mesures d’atténuation : Les prestataires doivent mettre en œuvre immédiatement des mesures d'atténuation pour contenir la violation et prévenir d'autres dommages. Cela peut impliquer la correction des vulnérabilités, la modification des identifiants d'accès, la désactivation des comptes compromis et la prise d'autres mesures pour empêcher l'accès non autorisé ou l'exfiltration de données.
3. Préserver les preuves : Les entrepreneurs doivent prendre des mesures pour conserver les preuves liées à la faille de sécurité, telles que les journaux, les instantanés du système et autres données pertinentes. Ces preuves peuvent être nécessaires à des fins d'analyses forensiques, de reporting et d'éventuelles poursuites judiciaires.
4. Rapport au DoD et aux parties concernées : Les entrepreneurs doivent signaler la faille de sécurité au DoD et aux parties concernées, conformément aux exigences du DFARS et à leurs obligations contractuelles. Cela peut inclure la fourniture d'informations détaillées sur la nature et l'étendue de la faille, ainsi que sur les mesures prises pour atténuer l'incident.
5. Coopérer aux enquêtes : Les entrepreneurs doivent coopérer pleinement à toute enquête menée par le Département de la Défense ou toute autre autorité compétente. Cela peut impliquer de donner accès aux systèmes et aux données, de participer aux analyses médico-légales et de fournir les informations et la documentation nécessaires.
6. Revoir et mettre à jour les mesures de sécurité : Les sous-traitants doivent revoir et mettre à jour leurs mesures de sécurité afin de prévenir de telles failles à l'avenir. Cela peut impliquer de revoir et de renforcer les contrôles de cybersécurité, de mettre à jour les politiques et procédures, et de mettre en place des programmes de formation et de sensibilisation supplémentaires pour les employés.
7. Communiquer avec les clients et les parties prenantes : Les entrepreneurs doivent maintenir une communication ouverte et transparente avec les clients, les parties prenantes et les autres parties concernées au sujet de la violation de la sécurité, des mesures prises pour atténuer l’incident et de tous les efforts en cours pour améliorer les mesures de sécurité.
8. Revoir et améliorer le plan de réponse aux incidents : Les entrepreneurs doivent revoir et améliorer leur plan de réponse aux incidents en fonction des enseignements tirés de la faille de sécurité. Cela peut impliquer la mise à jour des procédures, la révision des rôles et responsabilités, et l'amélioration des protocoles de communication afin de mieux réagir aux incidents futurs.
9. Solliciter une assistance juridique et technique : Les entrepreneurs doivent demander une assistance juridique et technique si nécessaire pour remédier à la violation de sécurité, se conformer aux exigences du DFARS et gérer les éventuelles implications juridiques ou réglementaires.

Pénalités pour non-conformité au DFARS

1. Conséquences contractuelles : Les entrepreneurs du DoD qui ne se conforment pas aux exigences du DFARS peuvent faire face à des conséquences contractuelles, notamment la résiliation pour défaut, la retenue des paiements et/ou la réduction ou le refus des honoraires ou des bénéfices.
2. Responsabilités légales : Le non-respect des exigences du DFARS peut entraîner des responsabilités légales, notamment des sanctions civiles, des amendes et des dommages-intérêts en cas de rupture de contrat ou de violation des lois ou réglementations applicables.
3. Perte de contrats futurs : Les entrepreneurs du DoD qui ne se conforment pas aux exigences du DFARS peuvent faire face à des répercussions sous la forme de la perte de futurs contrats avec le DoD ou d'autres agences fédérales, car la non-conformité peut avoir un impact négatif sur leur réputation et leur éligibilité à de futures opportunités de contrats.
4. Suspension ou exclusion : Le non-respect des exigences du DFARS peut entraîner la suspension ou l'exclusion des entrepreneurs du DoD, ce qui peut les empêcher de participer à de futurs contrats fédéraux pendant une période déterminée ou indéfiniment, selon la gravité du non-respect.
5. Coûts de remise en état : Les sous-traitants du DoD peuvent encourir des coûts supplémentaires pour remédier à toute déficience ou vulnérabilité identifiée afin de se conformer aux exigences du DFARS, telles que la mise en œuvre de contrôles de cybersécurité, la réalisation d'audits ou l'amélioration des mesures de protection des données.
6. Atteinte à la réputation : Le non-respect des exigences du DFARS peut entraîner des dommages à la réputation des sous-traitants du DoD, ce qui peut avoir des conséquences à long terme sur leurs relations commerciales, la confiance des clients et l’image de marque globale.

DFARS contre ITAR

DFARS (Supplément au règlement sur les acquisitions fédérales de défense) et ITAR (Règlement sur le trafic international d'armes) Il existe deux ensembles distincts de réglementations aux États-Unis qui concernent différents aspects des activités liées à la défense.

Le DFARS est un ensemble de réglementations qui complète le Règlement fédéral sur les acquisitions (FAR) et s'applique aux entrepreneurs et sous-traitants qui font affaire avec le Département de la Défense des États-Unis (DoD). Le DFARS établit des exigences supplémentaires pour la protection des informations sensibles de défense, la cybersécurité et la sécurité de la chaîne d'approvisionnement, entre autres.

L'ITAR, quant à elle, est un ensemble de réglementations administrées par le Département d'État américain qui régit l'exportation, l'importation et le transfert d'articles et de services de défense, ainsi que des données techniques et des services de défense associés. L'ITAR vise à réglementer l'exportation et l'importation d'articles et de services de défense afin de protéger les intérêts de sécurité nationale et d'empêcher l'accès non autorisé aux technologies de défense sensibles.

Bien que les lois DFARS et ITAR concernent toutes deux des activités liées à la défense, leurs champs d'application et leurs exigences diffèrent. La loi DFARS se concentre principalement sur les processus d'approvisionnement du DoD et impose aux entrepreneurs et sous-traitants des exigences en matière de protection des informations de défense sensibles et de maintien de pratiques rigoureuses en matière de cybersécurité. L'ITAR, quant à elle, traite spécifiquement de l'exportation et de l'importation d'articles et de services de défense, y compris les données techniques, et impose des contrôles sur le transfert de ces articles à des personnes ou entités non américaines.

Dans certains cas, les entreprises de défense peuvent être tenues de se conformer à la fois au DFARS et à l'ITAR, selon la nature de leur activité et les contrats spécifiques qu'elles concluent avec le gouvernement américain. Par exemple, une entreprise de défense peut être tenue de se conformer aux exigences de cybersécurité du DFARS tout en respectant la réglementation ITAR lors de l'exportation ou de l'importation d'articles de défense ou de données techniques. Cependant, malgré certains points communs, le DFARS et l'ITAR constituent des réglementations distinctes, chacune avec ses propres exigences et obligations de conformité.

Que peut faire votre organisation pour se conformer au DFARS

1. Examiner et comprendre les exigences du DFARS : Les organisations doivent examiner et comprendre en profondeur les exigences du DFARS, y compris la clause DFARS 252.204-7012 et les directives associées, afin d'acquérir une compréhension claire des contrôles de cybersécurité et des mesures de protection des données qui doivent être mis en œuvre.
2. Effectuer une analyse complète des écarts : Les organisations doivent réaliser une analyse complète des écarts afin d'identifier les lacunes ou les failles de leur dispositif actuel de cybersécurité et de leurs pratiques de protection des données, par rapport aux exigences du DFARS. Cette analyse peut permettre de prioriser les points à améliorer pour assurer la conformité.
3. Mettre en œuvre des contrôles de sécurité appropriés : Les organisations doivent mettre en œuvre les contrôles de sécurité appropriés spécifiés dans la publication spéciale 800-171 du NIST, qui décrit les exigences de sécurité pour la protection des informations contrôlées non classifiées (CUI), conformément aux exigences du DFARS. Cela peut impliquer la mise en œuvre de contrôles techniques, administratifs et physiques pour protéger les CUI et prévenir les accès non autorisés ou les violations de données.
4. Élaborer et mettre en œuvre des politiques et des procédures de cybersécurité : Les organisations doivent élaborer et mettre en œuvre des politiques et procédures de cybersécurité complètes, conformes aux exigences du DFARS. Cela inclut notamment des politiques et procédures de contrôle d'accès, de réponse aux incidents, de sauvegarde et de récupération des données, de gestion des risques et de formation des employés.
5. Assurer la conformité des sous-traitants : Les organisations doivent s'assurer que leurs sous-traitants susceptibles d'avoir accès aux CUI respectent également les exigences du DFARS. Cela peut impliquer de transmettre les clauses DFARS pertinentes aux sous-traitants et de vérifier leur conformité par le biais d'accords contractuels, d'audits et de suivis.
6. Tenir à jour la documentation et les dossiers : Les organisations doivent conserver la documentation et les enregistrements relatifs à leurs efforts de conformité, notamment les plans de sécurité des systèmes, les rapports d'évaluation de la sécurité, les rapports d'incident et toute autre documentation pertinente exigée par le DFARS. Cette documentation sert de preuve de conformité et peut être exigée lors d'audits ou d'évaluations.
7. Surveiller et évaluer la posture de cybersécurité : Les organisations doivent surveiller et évaluer en permanence leur niveau de cybersécurité afin d'identifier et de gérer tout nouveau risque ou vulnérabilité. Cela peut impliquer des audits de cybersécurité réguliers, des évaluations de vulnérabilité et des tests d'intrusion pour garantir la conformité continue aux exigences du DFARS.
8. Restez informé des modifications apportées aux exigences du DFARS : Les organisations doivent se tenir au courant de tout changement ou mise à jour des exigences DFARS et des directives associées, et intégrer rapidement tout changement nécessaire dans leurs pratiques de cybersécurité pour maintenir la conformité.
9. Former et sensibiliser les employés : Les organisations devraient proposer régulièrement des formations et des formations en cybersécurité à leurs employés afin de les sensibiliser aux exigences du DFARS, aux bonnes pratiques en matière de cybersécurité et à l'importance de la protection des données personnelles. Cela permet de garantir que les employés sont informés et responsables du traitement des informations sensibles.
10. Établir des processus de réponse aux incidents et de signalement : Les organisations doivent mettre en place des processus de réponse aux incidents et de signalement afin de détecter, de réagir et de signaler rapidement tout incident ou violation de cybersécurité, conformément aux exigences du DFARS. Cela comprend la définition des rôles et des responsabilités, l'élaboration de plans de réponse aux incidents et la mise en œuvre de mécanismes de signalement des incidents aux autorités compétentes.

L'approche de BigID en matière de conformité DFARS

BigID est une plateforme de découverte de données pour vie privée, sécuritéet gouvernance qui aide les organisations à se conformer aux exigences du supplément au règlement fédéral sur les acquisitions de la défense (DFARS) de plusieurs manières :

1. Découverte de données : BigID peut aider les organisations à identifier et classer les données sensibles relevant du champ d'application du DFARS, telles que les informations non classifiées contrôlées (CUI) ou d'autres informations de défense sensibles. balayage et catalogage données provenant de diverses sources, notamment les données structurées et non structuréesBigID identifie où résident les données sensibles, ce qui constitue une première étape essentielle pour se conformer aux exigences DFARS liées à la protection des données et à la cybersécurité.
2. Classification et étiquetage des données : BigID classe automatiquement les données sensibles selon des classificateurs prédéfinis ou personnalisés, tels que les numéros de carte de crédit, les numéros de sécurité sociale ou d'autres types d'informations sensibles susceptibles d'être soumises à la réglementation DFARS. Les organisations peuvent ainsi étiqueter et étiqueter avec précision les données sensibles, ce qui peut être utilisé à des fins de gestion des données et de conformité, comme la mise en œuvre de contrôles d'accès, de chiffrement ou de politiques de conservation des données.
3. Cartographie et visualisation des données : BigID fournit aux organisations une représentation visuelle de leur environnement de données, incluant les flux, les entrepôts et l'utilisation des données. Cela leur permet de mieux comprendre comment les données sensibles sont collectées, traitées et transmises au sein de leur environnement. Cela permet aux organisations d'identifier les lacunes ou les risques potentiels dans leurs pratiques de traitement des données, ainsi que de démontrer leur conformité aux exigences du DFARS en matière de protection et de gestion des flux de données.
4. Gouvernance des données et gestion du consentement : BigID aide les organisations à établir des politiques et des flux de travail de gouvernance des données afin de garantir que les données sensibles sont gérées et traitées conformément aux exigences du DFARS. Cela inclut des fonctionnalités telles que des politiques de conservation des données, des contrôles d'accès aux données et des fonctionnalités de gestion du consentement, qui peuvent aider les organisations à suivre et à gérer le traitement des données sensibles et à démontrer leur conformité aux exigences du DFARS en matière de gestion des données et de consentement.
5. Sécurité des données et gestion des risques : BigID inclut des fonctionnalités telles que contrôles d'accès aux données, le chiffrement et la détection des violations de données peuvent aider les organisations à protéger leurs données sensibles conformément aux exigences du DFARS en matière de protection des données et de cybersécurité. BigID peut également aider les organisations à identifier et à atténuer les risques associés aux données sensibles, tels que : identifier les risques d'exposition des données, les risques de partage de données ou les pratiques de traitement des données qui peuvent ne pas être conformes aux exigences du DFARS.

Pour accélérer vos initiatives de confidentialité comme la conformité DFARS — planifiez une démonstration gratuite 1:1 avec BigID dès aujourd'hui.

Auteur

Alexis Porter

Responsable du marketing de contenu

Alexis est responsable du marketing de contenu pour BigID, fournisseur de DSPM leader sur le marché. Elle se spécialise dans l'aide aux startups technologiques pour qu'elles créent et affinent leur voix, afin de raconter des histoires plus convaincantes qui trouvent un écho auprès de divers publics. Elle est titulaire d'une licence en rédaction professionnelle et d'une maîtrise en communication marketing de l'Université de Denver. Alexis est basée à Orlando, en Floride.