Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Manufacturing Technology >> Technologie industrielle

5 questions fréquemment posées par les fabricants sur les exigences gouvernementales en matière de cybersécurité

Cet article a été initialement publié sur Industry Today. Article de blog invité par Jennifer Kurtz, directrice du programme cyber chez Manufacturer's Edge, un centre MEP du NIST dans le Colorado et représentante du réseau national MEP TM .

Selon le département américain de la Sécurité intérieure, la fabrication est la deuxième industrie la plus ciblée en fonction du nombre de cyberattaques signalées. De plus, les cybercriminels considèrent les petits et moyens fabricants (SMM) comme cibles principales, car nombre de ces entreprises n'ont pas mis en place de mesures préventives adéquates.

Pour le ministère de la Défense (DoD), les entrepreneurs et les sous-traitants, le statu quo n'est plus. Le gouvernement fédéral, qui dépend de plus en plus de prestataires de services externes pour mener ses activités, a fait monter la barre en ce qui concerne la protection des informations non classifiées contrôlées (CUI) dans les systèmes d'information et les organisations non fédérales. Au 31 décembre 2017, tous les entrepreneurs du gouvernement fédéral étaient tenus de respecter les exigences minimales en matière de cybersécurité du DFARS (Defense Acquisition Regulation Supplement) sous peine de perdre leurs contrats. Malgré cette échéance dépassée, de nombreux SMM manquent de connaissances et de ressources pour mettre à niveau leurs systèmes et ne savent pas comment répondre à ces 110 nouvelles exigences de sécurité. Il est important de noter que le Federal Acquisition Regulation, qui s'applique aux entrepreneurs gouvernementaux travaillant pour le compte de la General Services Administration (GSA) et de la National Aeronautics and Space Administration (NASA), inclura bientôt des exigences similaires en matière de cybersécurité.

Le réseau national MEP, un partenariat public-privé qui fournit des solutions complètes et éprouvées aux fabricants américains, a activement sensibilisé et aidé les fabricants américains à protéger leurs actifs informationnels contre les risques de cyberattaques. L'organisation et ses partenaires servent également de ressource nationale aux fabricants américains cherchant à mettre en œuvre une sécurité adéquate pour protéger les informations contrôlées non classifiées stockées, traitées et transmises.

Voici cinq des questions les plus fréquemment posées par les SMM concernant les directives de sécurité DFARS du gouvernement fédéral.

Q :Qu'est-ce que les informations non classifiées contrôlées (CUI) et comment savoir si je traite ce type d'informations dans le cadre de mon contrat ?

R :Les informations non classifiées contrôlées (CUI) sont des données qui sont la propriété du gouvernement. Ce sont des informations que le gouvernement veut garder en sécurité, mais qui ne sont pas vitales pour la sécurité nationale. La clause DFARS 252.204.7012 peut figurer dans votre contrat, mais elle n'est édictée que si vous traitez, stockez ou transmettez des CUI. Les CUI peuvent inclure :des données de recherche et d'ingénierie, des dessins d'ingénierie, des spécifications, des manuels, des rapports techniques, des études et des analyses, ainsi que le code exécutable et le code source des logiciels informatiques. CUI aura des instructions de marquage et de manipulation spéciales telles que FOUO (pour usage officiel uniquement). Pour plus d'informations sur les marquages ​​CUI, consultez le registre CUI.

Q :La conformité DFARS est-elle requise par la loi ?

R :Tout entrepreneur ou sous-traitant qui a une clause DFARS dans son contrat est légalement tenu de s'y conformer. Si vous prétendez à tort être conforme, vous risquez de perdre votre contrat gouvernemental et tous les revenus associés et serez probablement inéligible pour les futurs contrats gouvernementaux.

Q :Je possède une petite entreprise et mes contrats gouvernementaux sont de petite taille. La conformité DFARS s'applique-t-elle à moi ?

R :Quelle que soit la taille de votre entreprise ou de votre contrat, si vous êtes un entrepreneur ou un sous-traitant du gouvernement fédéral qui traite, stocke ou transmet les CUI, vous devez vous conformer. Les cybercriminels ciblent les petites entreprises car elles ont généralement moins de mesures de sécurité en place. Les entreprises situées à des niveaux inférieurs de la chaîne d'approvisionnement peuvent être plus faciles à pénétrer que d'essayer de pénétrer dans les réseaux de sa cible principale. Une attaque contre la chaîne d'approvisionnement peut être un moyen plus facile d'accéder à des informations gouvernementales non classifiées contrôlées que d'essayer d'accéder directement aux réseaux gouvernementaux.

Q :Comment savoir si mon entreprise est actuellement conforme à la norme DFARS ?

R :Consultez le manuel NIST 162. Ce manuel fournit un guide étape par étape pour évaluer les systèmes d'information d'un fabricant par rapport aux exigences de sécurité DFARS.

Q :Mon organisation ne respecte pas les directives minimales du DFARS, mais je ne sais pas par où commencer le processus de conformité ?

R : La mise en œuvre d'un plan de cybersécurité approuvé par le gouvernement peut être une tâche ardue. Vous pouvez commencer en consultant la publication NIST SP 800-171 qui décrit les exigences DFARS. Vous pouvez également contacter le réseau national MEP pour vous mettre en contact avec votre centre MEP local. Les centres MEP locaux offrent un large éventail de services et d'initiatives gratuits ou abordables pour guider les fabricants tout au long du processus de conformité. Ces services incluent des connexions avec des experts en cybersécurité qui peuvent développer une analyse détaillée des lacunes des protocoles et des procédures et créer un plan d'action qui traite les vulnérabilités et autres problèmes de conformité.

Q :Mon entreprise n'est pas un sous-traitant du gouvernement, mais j'aimerais améliorer nos protocoles de cybersécurité. Puis-je utiliser les directives DFARS ?

R :Absolument. Les fabricants opérant dans les chaînes d'approvisionnement commerciales devraient sérieusement envisager de mettre en œuvre les exigences de sécurité DFARS en tant qu'aspect intégral de la gestion de leurs risques organisationnels.

Alors que le secteur manufacturier se numérise de plus en plus, le besoin de comprendre, d'atténuer et de répondre aux cybermenaces de plus en plus complexes est devenu le coût des affaires.


Technologie industrielle

  1. Foire aux questions sur les machines à routeur CNC 10
  2. Cinq questions à poser sur les fournisseurs tiers et la cybersécurité
  3. 8 Questions fréquemment posées sur la machine de routeur CNC
  4. Foire aux questions sur l'usinage par électroérosion à fil : 2e partie
  5. Foire aux questions sur l'usinage par électroérosion à fil :partie 1
  6. Questions les plus fréquemment posées sur les services de fabrication de moules d'injection plastique
  7. Utilisation du métal :4 questions fréquemment posées
  8. Soudage au bronze d'aluminium :3 questions fréquemment posées
  9. 3 questions fréquemment posées sur la découpe au laser dans l'industrie métallurgique