In BLOG

La réglementation américaine Federal Acquisition Regulation (FAR) en matière de Renseignements contrôlés non classifiés a été amendée le 15 juin 2016 pour intégrer une protection de base pour tous les systèmes d’information des fournisseurs visés, y compris leurs systèmes ERP et comptables.

Il a fallu quatre années pour élaborer cet amendement qui couvre les organismes américains suivants : la General Services Administration (GSA), le Department of Defense (DoD) et la National Aeronautics and Space Administration (NASA).

LISTE DES EXIGENCES ET PROCÉDURES EN MATIÈRE DE PROTECTION DE BASE

Le 15 juin 2016, 15 mesures de contrôle de sécurité sont entrées en vigueur. En vertu de cette règle, le fournisseur doit appliquer les exigences et procédures suivantes en matière de protection de base afin de protéger les systèmes d’information des fournisseurs visés. Les exigences et procédures en matière de protection de base des systèmes d’information des fournisseurs visés doivent comprendre, au minimum, les mesures de contrôle de la sécurité suivantes :

  • limiter l’accès aux systèmes d’information afin que seuls les utilisateurs autorisés et les appareils et processus exécutés par eux puissent y accéder;
  • limiter l’accès aux systèmes d’information afin que soient permises uniquement les transactions et les fonctions que les utilisateurs autorisés ont la permission de faire;
  • vérifier et contrôler les connexions aux systèmes d’information externes;
  • contrôler l’information affichée ou traitée sur des systèmes d’information accessibles au public;
  • vérifier l’identité des utilisateurs, des processus et des appareils avant d’autoriser l’accès aux systèmes d’information;
  • détruire ou désinfecter tout dispositif en lien avec les systèmes d’information contenant des renseignements relatifs à des contrats fédéraux avant leur mise au rebut ou leur désaffectation
  • limiter l’accès physique aux systèmes d’information, à l’équipement et à leurs environnements d’exploitation respectifs afin que seuls les individus autorisés puissent y accéder;
  • accompagner les visiteurs et surveiller leurs activités;
  • surveiller, contrôler et protéger l’information transmise ou reçue par les systèmes à leurs périphériques internes et externes;
  • mettre en place des sous-réseaux pour les composants de système accessibles au public qui ne font pas partie des réseaux internes;
  • identifier, signaler et corriger sans délai l’information et les failles des systèmes d’information;
  • assurer une protection contre les codes malveillants;
  • effectuer les mises à jour des mécanismes de protection contre les codes malveillants lorsque de telles mises à jour sont disponibles;
  • analyser régulièrement les systèmes d’information et procéder à une analyse ponctuelle des fichiers provenant de l’externe lors de leur téléchargement, leur ouverture ou leur exécution

Information sur la disposition

Cette disposition ne libère pas le fournisseur de toute autre exigence de protection particulière spécifiée par le DCAA en ce qui a trait à l’ensemble des systèmes d’information des fournisseurs visés ou de toute autre exigence en matière de protection des renseignements contrôlés non classifiés (CUI), tel qu’établi par le décret 13556. Il est rassurant de constater qu’en vertu de la disposition, si les mesures de protection sont en place mais que les contrôles échouent à protéger adéquatement l’information, cela ne constitue pas une violation de contrat.

La disposition s’arrête aux systèmes d’information des fournisseurs visés. Les systèmes d’information des fournisseurs « visés » sont ceux sur lesquels de l’information relative à des contrats entre le gouvernement fédéral et un fournisseur ou tout sous-contractant tiers peut être sauvegardée ou transiter. La règle ne s’applique pas aux produits informatiques COTS, autant au niveau premier qu’au niveau du sous-contractant. Il faut toutefois noter qu’il peut y avoir des sous-contrats pour des articles commerciaux (en particulier pour des services, par exemple un consultant) de faible valeur monétaire qui pourraient impliquer les systèmes d’information des fournisseurs visés. Dans de telles circonstances, il demeure important d’utiliser des mesures de protection de base pour ces systèmes d’information des fournisseurs visés.

Pour les petites et moyennes entreprises qui ont des contrats avec le gouvernement, un logiciel comme SAP Business One peut protéger l’entreprise dans la mesure où le produit est activé en conséquence et que les entreprises ont mis en place et respectent des procédures rigoureuses afin d’intégrer les 15 mesures de contrôles de la sécurité. Si l’administrateur peut gérer facilement les utilisateurs, accorder et retirer des autorisations, surveiller les activités et conserver un journal, l’entreprise peut démontrer sa conformité à la règle.

Par MaryAnn B.  Pinto, Esq., MBA, CFCM (Gestionnaire certifiée en contrats fédéraux), CPCM (Gestionnaire certifiée en contrats professionnels), Federal Contract Solutions, LLC, Nashua, NH

Recommended Posts

Commencez à taper et appuyez sur la touche ENTER

Inventory OptimizationDeploying the right ERP