La HASC fait pression pour des directives de réciprocité pour le cloud computing dans le projet de langage NDAA – Breaking Defense
Congrès, réseaux et guerre numérique
Les membres du Cyber Command américain travaillent au Integrated Cyber Center, Joint Operations Center à Fort George G. Meade, Maryland, avril. 2, 2021. (Photo de Josef Cole)
WASHINGTON Le sous-comité des services armés de la Chambre des représentants chargé de la cybersécurité, des technologies de l’information et de l’innovation a publié lundi des directives en matière de cybersécurité exigeant la réciprocité sur les systèmes de cloud computing, poussant le Pentagone à rationaliser les procédures d’autorisation d’exploitation, souvent redondantes.
Dans le projet de loi d’autorisation de la défense nationale de 2025, la sous-commission a écrit qu’au plus tard 270 jours après la mise en œuvre de la NDAA, les CIO des départements de l’armée, de la marine et de l’armée de l’air devrait élaborer et mettre en œuvre une politique qui impose la réciprocité pour le cloud computing.Essentiellement, si un bureau du ministère estime officiellement qu’une plate-forme, un service ou une application basé sur le cloud est suffisamment cyber-sécurisé pour être utilisé, alors toutes les parties du DoD peuvent accepter cette autorité d’exploitation (ATO) au lieu de devoir refaire le processus de certification.
L’idée est d’éliminer les processus ATO redondants, qui constituent actuellement un casse-tête majeur pour les responsables de la défense et les sous-traitants informatiques, qui doivent prouver à plusieurs reprises qu’un logiciel ou un matériel particulier est sécurisé à différents ordonnateurs (AO) ayant juridiction sur différentes organisations, qui imposent souvent des normes subtilement différentes.
Ce mandat ne s’applique pas aux systèmes sur site non cloud, qui représentent un pourcentage important du réseau du DoD, bien qu’en constante diminution.
Related: Le Pentagone annonce de nouvelles directives de réciprocité pour rationaliser l’adaptation des logiciels
Le projet de texte publié lundi propose qu’avant Approuvant ou refusant une demande d’autorisation pour exploiter une plate-forme, un service ou une application basé sur le cloud, les AO des départements militaires doivent consulter les propriétaires de mission actuels ou prévus de cette plate-forme, service ou application. Cela signifie que l’AO d’un département ou d’un bureau doit se conformer à ce que les autres AO ont décidé pour déterminer si un système de cloud computing est cybersécurisé.
D’autres orientations du projet proposent que les AO fournissent une documentation accessible et compréhensible pour les parties prenantes concernées. De plus, un système qui compile et partage la documentation des plates-formes, services et applications basés sur le cloud entre les propriétaires de mission et les propriétaires de systèmes devrait être développé.
La proposition de réciprocité du HASC intervient après que le Pentagone a publié la semaine dernière des directives sur la cybersécurité imposant également la réciprocité, qui n’étaient pas spécifiques aux seuls systèmes de cloud computing.
Le plan, selon une page signé par la secrétaire adjointe à la Défense Kathleen Hicks, officiellement intitulé Résoudre les problèmes de cadre de gestion des risques et de réciprocité en matière de cybersécurité, déclare que le ministère met en œuvre le cadre de gestion des risques (RMF), conformément à l’instruction 8510.01 du DoD, pour guider la façon dont nous construisons, mettons en œuvre et entretenons la cybersécurité. capacités sécurisées et de survie.
Le directeur informatique du Pentagone, John Sherman, a déclaré au public de GEOINT que cette décision garantira que les gens n’auront pas à vérifier les devoirs des autres encore et encore, à moins qu’un responsable n’ait de bonnes raisons d’effectuer des revérifications.
Les directives complètes n’ont pas encore été publiées par le Pentagone, mais un représentant du bureau de Sherman a déclaré à Breaking Defense dans un e-mail que les directives complètes seraient publiées dans les semaines à venir.
La HASC prévoit d’annoter la NDAA FY25 le 22 mai.