Comment les sous-traitants du gouvernement et de la Défense peuvent réduire les cyberrisques

Au milieu d'une crise mondiale, l'industrie manufacturière reste un élément essentiel de l'infrastructure américaine, en particulier en matière de défense.

Le programme de défense nationale s'appuie sur les ateliers d'emploi pour fabriquer des pièces essentielles, et les ateliers d'emploi à leur tour dépendent des contrats du gouvernement pour alimenter leurs petites entreprises. À mesure que les chaînes d'approvisionnement deviennent plus vulnérables et incertaines, il sera essentiel que les agences d'emploi trouvent des moyens de devenir plus résilients, fiables et sécurisés.

Les contrats gouvernementaux comportent des enjeux importants pour les magasins d'emploi, en particulier en ce qui concerne la cybersécurité. Bien qu'ils hébergent des données de fabrication hautement sensibles, la plupart des ateliers d'emploi sont aujourd'hui en retard avec leur infrastructure de cybersécurité. Ils utilisent toujours des systèmes sur site, des versions obsolètes de Microsoft Windows et Excel et des serveurs de fichiers volumineux. Dans de nombreux cas, tout le monde sur le réseau peut accéder à n'importe quel fichier via un lecteur partagé, y compris les cybercriminels qui piratent la boutique.

De nombreux petits magasins d'emploi supposent qu'ils ne seront pas une cible pour les cybercriminels, mais en réalité, les pirates informatiques sont plus susceptibles de voler des données sensibles s'ils pensent que les magasins sont moins protégés que les réseaux internes des fournisseurs militaires de pointe. Souvent, les pirates informatiques sont intéressés par le vol d'informations financières ou l'utilisation des réseaux des magasins pour des tactiques de phishing afin d'extraire des informations précieuses. En déployant des e-mails de phishing, les pirates peuvent exploiter une faiblesse du serveur et exécuter des attaques sur des systèmes non protégés.

Alors que ce type de violation serait préjudiciable à n'importe quel atelier d'emploi, en termes de coût, de réputation et de confiance, il peut être encore plus grave avec les contrats de défense. Si un employé d'un magasin d'emploi est victime d'une tactique de phishing et qu'un logiciel malveillant se propage dans les contacts de messagerie d'un magasin pour atteindre les employés du gouvernement, les informations peuvent être compromises dans l'heure. Les agences d'emploi doivent comprendre que les chances que ce type de violation se produise ne sont pas minces ; selon une enquête de Deloitte auprès des dirigeants de l'industrie manufacturière, quatre des dix principales menaces impliquent le comportement des employés.

Pour s'assurer que les clients de la défense sont protégés, en particulier dans le climat actuel, les ateliers d'emploi ont besoin d'une stratégie de cybersécurité moderne. Voici quelques-unes des meilleures pratiques pour garantir la sécurité de l'atelier et le bien-être financier.

Partagez les données client en toute sécurité

Alors que de nombreux ateliers de travail ont des politiques sur la façon dont les données doivent être sécurisées au sein de leurs propres réseaux, ces politiques régissent rarement la façon dont les données sont transférées aux fournisseurs, comme le partage de fichiers de conception assistée par ordinateur (CAO). Cette zone grise met en danger les ateliers d'emploi. Chaque fournisseur, partenaire et distributeur de matériel doit également se conformer aux normes de cybersécurité, ce qui nécessite de mettre à jour la façon dont ils partagent les informations des clients. Toutes les données envoyées par e-mail doivent être cryptées. Sinon, lorsque les auditeurs interviendront, les agences pour l'emploi pourraient se retrouver en rupture de contrat.

Les ateliers de travail peuvent déployer des outils de collaboration pour partager en toute sécurité des fichiers avec des tiers, garantissant que les données sont cryptées à la fois en transit et au repos. L'accès partagé expire, il n'est donc pas disponible pour des tiers indéfiniment, et avec la technologie de visionneuse basée sur le cloud, les utilisateurs n'ont pas à télécharger de fichiers. Cette méthode réduit non seulement les risques, mais constitue également un moyen rentable d'améliorer la cybersécurité.

Adhérer aux directives fédérales

Les ateliers de travail qui effectuent des travaux de défense doivent concentrer leurs efforts de conformité à la fois sur les pièces physiques et les données techniques. Plus précisément, ils doivent se référer à la réglementation sur le trafic international d'armes (ITAR) et aux contrôles à l'exportation, couvrant à la fois les pièces expédiées à l'étranger et les données techniques divulguées aux citoyens non américains. Bien que les normes de cybersécurité spécifiques à la fabrication telles que NIST SP800-171B et ITAR ne soient pas appliquées par la loi, elles sont spécifiées dans les contrats de défense. Lorsque les sous-traitants du gouvernement évaluent les devis, ils peuvent (et devraient) considérer la conformité d'un atelier de travail en matière de cybersécurité comme un facteur. Certains demanderont même de la documentation. Les sous-traitants du gouvernement sont soumis à leurs propres pressions pour s'assurer que leurs chaînes d'approvisionnement sont conformes, de sorte que toutes les chaînes d'approvisionnement doivent se préparer à être auditées. C'est pourquoi, avec la possibilité d'amendes pénales ou civiles, de nombreux fabricants font des investissements importants dans l'informatique. consultants, modernisations du système et financement de l'État pour atteindre la conformité.

La cybersécurité est et continuera d'être un élément essentiel pour remporter et conserver les contrats gouvernementaux. Les cyberattaques, les violations de données et les logiciels malveillants ne font qu'augmenter, tout comme le risque, la vulnérabilité et l'incertitude. Les magasins d'emploi doivent se protéger et protéger leurs clients pour réussir sur le marché et aider à soutenir les industries de fabrication et de défense des États-Unis.

Scott Sawyer est directeur de la technologie et co-fondateur de Paperless Parts.