Une nouvelle règle du Département américain de la Défense (DoD) visant à renforcer la cybersécurité chez les entrepreneurs faisant affaire avec l’agence pourrait engendrer plus de dénonciateurs dans le complexe militaire-industriel.
La règle, qui entre en vigueur le 10 novembre, régit le programme de certification du modèle de maturité de la cybersécurité de l’agence (CMMC), qui vérifie que les entrepreneurs de défense sont conformes aux protections existantes pour les informations sur les contrats fédéraux (FCI) et à contrôler les informations non classifiées (CUI) et à protéger les informations persistantes avancées.
Il s’agit en grande partie d’une réponse à une série de rapports de l’inspecteur général du DoD de 2018 à 2023, qui a constamment constaté que les responsables contractuels du ministère n’avaient pas établi des processus pour vérifier que les entrepreneurs étaient conformes aux exigences fédérales de cybersécurité sélectionnées pour les informations contrôlées non classifiées comme l’exigent l’Institut national des normes et de la technologie (NIST).
Avec la nouvelle règle, le programme CMMC introduit une exigence annuelle d’affirmation, un élément clé pour surveiller et appliquer la responsabilité du statut de cybersécurité d’une entreprise.
«À un niveau très fondamental, la nouvelle règle de la clause CMMC augmente les risques qu’un entrepreneur de défense fera une fausse réclamation au gouvernement, qui est le fondement de la responsabilité de la loi sur les fausses réclamations, en certifiant à tort la conformité aux exigences accrues de la règle», a expliqué Mary Inman, partenaire de Whistleblower Partners, un cabinet d’avocats à San Francisco.
« Avec un risque accru de fausses réclamations, la responsabilité de la loi a également des possibilités accrues pour les dénonciateurs d’alerter le gouvernement à de telles transgressions et de recevoir une récompense financière », a-t-elle déclaré à Technewsworld.
Non-conformité plus difficile à cacher
Dans sa newsletter Daily Cyber Business, Kate Fazzini a noté que les nouvelles exigences du CMMC rendront les conditions explicites de la conformité et de la certification de la cybersécurité dans de nombreux contrats du ministère de la Défense.
«Des fausses déclarations – qu’elles soient intentionnelles ou négligentes – sur les évaluations, les contrôles ou le maintien d’un« statut actuel »seront plus facilement poursuivies en vertu de la loi sur les fausses réclamations et des lois connexes», a-t-elle écrit. «Les entrepreneurs qui autorisent les tours en conformité ou l’entraînement de leur préparation, seront confrontés à une exposition juridique accrue – en particulier si les enquêteurs du gouvernement ou les dénonciateurs mettent ces échecs.»
« Les modifications apportées à CMMC rendront les échecs de conformité plus difficiles à cacher et plus coûteux à ignorer », a-t-elle ajouté. «Les cyber-contrôles ne concerneront plus la défense que la viabilité à long terme sur un marché où les initiés ont à la fois les moyens et la motivation à s’exprimer.»
La règle CMMC crée de nouvelles incitations à la cyber-dénonciation en établissant des normes de conformité concrètes qui rendent les violations plus identifiables et signalables, transformant de vagues attentes de sécurité en exigences spécifiques et mesurables que les employés peuvent clairement reconnaître lorsqu’ils sont violés, ont observé Frank Balonis, Ciso et vice-président senior des opérations chez Kiteworks, un producteur de communication de contenu sécurisé dans San Mateo, Calif.
« Avec des évaluations tierces obligatoires et une responsabilité potentielle des fausses réclamations pour les entrepreneurs qui dénaturent leur posture de cybersécurité sur les contrats fédéraux, les initiés ont désormais des protections juridiques plus fortes et des motivations financières pour signaler la non-conformité – en particulier compte tenu des dénonciateurs pour recevoir jusqu’à 30% des dommages récupérés dans les cas de qui Tam », a-t-il déclaré à Technewsworld.
Les poursuites judiciaires de Qui, autorisées en vertu de la Federal False Claims Act, permettent à une personne privée de poursuivre au nom du gouvernement américain d’exposer une fraude impliquant des programmes ou des contrats fédéraux.
«L’accent mis par la règle sur la surveillance et la documentation continus créent de vastes sentiers papier qui permettent aux employés de justifier plus facilement des pratiques de sécurité inadéquates ou des certifications frauduleuses, tandis que les enjeux élevés de la perte de contrats fédéraux incitent les entreprises à réduire les coins, créant davantage d’opportunités pour les employés observateurs de témoigner et de signaler des violations», a-t-il déclaré.
« Cette combinaison de normes plus claires, de cadres juridiques plus forts et de conséquences financières importantes transforme la conformité à la cybersécurité d’un concept abstrait en une zone concrète mûre pour l’activité des dénonciateurs », a-t-il ajouté.
Obligations de conformité intégrées dans les contrats
Dale Hoak, le CISO de Regscale, une société de logiciels d’automatisation de la conformité à McLean, en Virginie, a fait valoir que si une organisation fait la bonne chose et peut le prouver, la dénonciation n’est pas un risque stratégique.
« Là où il pourrait entrer en jeu, c’est si des préoccupations internes sont soulevées mais ignorées », a-t-il déclaré à Technewsworld. «Dans ce cas, les employés peuvent se sentir obligés de dégénérer à l’extérieur. Le chemin plus sain est de traiter sérieusement les rapports internes, il doit donc rarement sortir de l’organisation.»
Bien que les nouvelles exigences de conformité visent à dissuader les adversaires de cibler les entrepreneurs de défense, ils pourraient les rendre plus attrayants pour les cybercriminels.
«Tout comme les cybercriminels comme Black Cat / AlphV Ransomware Group ont déposé des rapports de SEC lorsque les victimes n’ont pas signalé de cyberattaques, les dénonciateurs cybercriminaux ont une autre façon de menacer les organisations qui ont peut-être pensé aux exigences, mais avec négligence et accidentellement mal à une société actuelle de Karen Walsh, Conn.
« Avec la loi sur les fausses réclamations et les lois connexes incorporées dans cette version des exigences de CMMC, nous voyons à nouveau un fardeau imposé aux petits entrepreneurs », a-t-elle déclaré à Technewsworld.
« CMMC a toujours et placera toujours les plus grands fardeaux sur les petits entrepreneurs de taille moyenne », a-t-elle déclaré.
Par exemple, elle a rappelé les premiers jours du CMMC en 2021, lorsque les documents de formation ont noté que des contrats seraient tenus à la doctrine chrétienne, établie dans GL Christian & Associates c. États-Unis. «Cette doctrine de la loi sur le contrat unique lit les exigences de conformité dans un contrat même lorsqu’elle n’est pas expressément incluse, en tenant l’entrepreneur responsable de la conformité même si le DOD ou l’entrepreneur en amont ne l’inclue pas», a-t-elle expliqué.
Insuffisance de l’attestation de soi
Néanmoins, Brian Kirk, directeur principal de l’assurance de l’information et de la cybersécurité chez Cherry Bekaert, un cabinet de comptabilité et de conseil dont le siège est à Raleigh, en Caroline du Nord, a fait valoir que la nouvelle règle CMMC est nécessaire pour renforcer la posture de cybersécurité de la base industrielle de la défense.
« Les efforts antérieurs, comme nécessiter le respect du NIST SP 800-171, s’appuyaient fortement sur l’attestation de soi, ce qui s’est avéré insuffisant », a-t-il déclaré à Technewsworld. NIST SP 800-171 décrit les exigences de sécurité pour protéger les informations contrôlées non classifiées dans les systèmes et organisations non fédéraux – en particulier ceux qui travaillent avec le gouvernement américain.
«De nombreux entrepreneurs n’ont pas mis en œuvre les contrôles requis, laissant vulnérable les informations non classifiées contrôlées sensibles», a expliqué Kirk. «Le CMMC présente des évaluations tierces et une responsabilité structurée pour garantir que les entrepreneurs gérant CUI répondent en fait aux normes de cybersécurité requises.»
«Avec le Pentagone finalisant la règle CMMC, le programme passe officiellement de la politique aux exigences exécutoires, et cela a des implications majeures pour la chaîne», a ajouté Andy Black, co-fondateur et PDG de Kovr.ai, une entreprise axée sur l’automatisation de la cyber-conformité pour les environnements cloud et hybrides, à Reston, VA.
«Les revendeurs, les prestataires de services gérés et d’autres partenaires soutenant les entrepreneurs de défense doivent désormais s’assurer que leurs solutions répondent aux normes CMMC, car les entrepreneurs sont de plus en plus tenus de passer ces exigences via leurs chaînes d’approvisionnement», a-t-il déclaré à Technewsworld.
John Ackerly, PDG et co-fondateur de Virtru, un fournisseur d’outils de cryptage et de contrôle d’accès, à Washington, DC, a expliqué que CMMC 2.0 a été des années dans la réalisation – rationalisé de cinq niveaux à trois, ajusté pour réduire la charge des petites entreprises et raffiné au cours des périodes de commentaires sans comptes.
« Les organisations qui viennent en tête seront celles qui ont obtenu leur CUI d’abord avec des solutions efficaces et de faible valeur à la valeur, puis augmentée à partir de là », a-t-il déclaré à Technewsworld. «Lorsque les contrats commencent à inclure les exigences de CMMC,« nous y travaillons »ne sera pas suffisant.»
