home Technologie de fabrication Équipement de fabrication
Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Manufacturing Technology >> Technologie industrielle

Travailler en collaboration pour gagner en conformité :comment 2 hypothèses clés en matière de cybersécurité ont un impact sur les fournisseurs du DoD

On estime qu'il y a environ 300 000 entreprises dans la base industrielle de défense (« DIB ») dans les secteurs manufacturier et non manufacturier. Environ 99 % du DIB est composé de petites et moyennes entreprises, c'est-à-dire de moins de 500 employés.

Depuis décembre 2017, toutes les entreprises du DIB ont inclus dans leurs contrats la clause DFARS (Defense Federal Acquisition Regulation Supplement) (252.204-7012 - Safeguarding Covered Defence Information &Cyber ​​Incident Reporting). Après près de trois ans, il semble y avoir un certain nombre d'hypothèses incorrectes dans le DIB, dont deux méritent une discussion plus approfondie...

La première hypothèse :les auto-attestations Ce n'est pas grave

En acceptant les termes d'un contrat avec le DoD, les fabricants auto-certifient qu'ils utilisent une « cybersécurité adéquate » pour protéger les informations non classifiées contrôlées (« CUI »). Une cybersécurité adéquate est définie par la clause DFARS comme la mise en œuvre complète des 110 exigences de sécurité décrites dans la publication spéciale NIST 800-171.

De nombreux fabricants supposent que leur programme de cybersécurité est suffisant. La plupart des clients CMTC commencent généralement leur engagement en matière de cybersécurité en estimant qu'ils sont conformes à 70 % à 80 %. Cependant, la moyenne courante après une analyse de base des écarts est d'environ 34 % conforme.

Les articles de blog précédents ont couvert les risques juridiques souvent négligés associés au non-respect des exigences de cybersécurité. En fin de compte, si une entreprise souhaite faire affaire avec le ministère de la Défense (DoD), elle doit accepter les termes du contrat et, par conséquent, attester elle-même d'une posture de cybersécurité conforme.

La deuxième hypothèse :seuls les fournisseurs de services informatiques externes sont la réponse

De nombreuses petites entreprises manquent de personnel et de ressources informatiques dédiés. En conséquence, de nombreux fabricants utilisent des fournisseurs de services informatiques tiers. Pour que ces petites entreprises puissent fonctionner, les prestataires de services externes se voient confier un accès administratif considérable aux systèmes d'information de l'entreprise. Souvent, les fabricants supposent que tout se déroule comme prévu. Les fabricants doivent superviser leurs fournisseurs informatiques tiers afin de comprendre quelles mesures sont prises. Le cybervoyage du fabricant avec un fournisseur informatique est en collaboration avec l'entreprise engagée dans les activités et les résultats du travail d'un fournisseur.

De plus, en termes d'exposition, environ la moitié des 110 exigences de sécurité sont directement liées aux opérations techniques et aux solutions technologiques normalement fournies par un fournisseur informatique tiers. Certaines mesures de cybersécurité sont si fondamentales pour les opérations commerciales que le gouvernement a raisonnablement supposé que tous les fournisseurs du DoD géreraient de manière proactive leurs propres risques. Il est indispensable que le fabricant et le fournisseur informatique travaillent ensemble pour obtenir la conformité DoD. Le fournisseur du DoD assumera la responsabilité de la conformité à long terme.

Ensemble, ces deux hypothèses clés incorrectes peuvent créer une énorme dette technique et de conformité.

L'audit de conformité du gouvernement en matière de cybersécurité est en cours, la meilleure voie à suivre est donc de superviser votre fournisseur informatique et de travailler en collaboration pour contribuer à votre conformité globale.

Recommandé Prochaines étapes

1) Concentrez-vous sur vos exigences DFARS existantes.

2) Prenez le temps de bien comprendre les hypothèses sous-jacentes au NIST SP 800-171.

3) Établir un solide processus de gestion des fournisseurs tiers.

4) Prenez le temps de bien comprendre les obligations contractuelles de transfert.

Pour un bref aperçu de l'écosystème réglementaire global et une discussion plus approfondie des sujets décrits dans cet article, vous pouvez visionner le webinaire à la demande du CMTC ici.


Technologie industrielle

  • Processus de fabrication
  • impression en 3D
  • Système de contrôle d'automatisation
  • Technologie industrielle

    1. Comment les solutions de cybersécurité intelligentes sont de plus en plus optimisées par l'IA et le ML
    2. Qu'est-ce qu'une clé de sécurité réseau ? Comment le trouver ?
    3. Comment les entreprises de produits de consommation gaspillent leurs dépenses numériques
    4. Comment la RA et l'IIoT transforment la fabrication
    5. Impact du COVID-19 sur la blockchain et la crypto-monnaie
    6. Comment les responsables de la chaîne d'approvisionnement réévaluent les meilleures pratiques
    7. Comment les chaînes d'approvisionnement peuvent résister à la prochaine vague de pandémie
    8. Comment choisir des fournisseurs soucieux de l'environnement
    9. Comment les micro-enquêtes peuvent améliorer la conformité de la chaîne d'approvisionnement