Le Pentagone publie de nouvelles directives pour répondre aux plaintes de l’industrie concernant le processus ATO
KISSIMMEE, Floride — En réponse directe aux récentes plaintes de responsables de l’industrie concernant la manière dont le processus d’autorisation d’exploitation (ATO) entrave l’innovation technologique et logicielle rapide, les dirigeants du ministère de la Défense ont publié de nouvelles directives visant à résoudre les défis de réciprocité en matière de gestion des risques et de cybersécurité.
La réciprocité permet essentiellement aux entités fédérales de réutiliser les évaluations d’une autre organisation interne ou externe pour partager des informations — et, en fin de compte, de réduire les coûts associés en termes de temps et d’investissements qui accompagnent l’approbation des systèmes informatiques pour fonctionner sur les réseaux d’information.
Lors de son discours d’ouverture au symposium annuel GEOINT mercredi, le directeur de l’information du Pentagone, John Sherman, a dévoilé un nouveau mémorandum d’une page signé par la secrétaire adjointe à la Défense, Kathleen Hicks, le 2 mai, qui ordonne de « tester la réutilisation et la réciprocité ». [by DOD authorizing officials] sauf lorsque le risque de cybersécurité est trop grand.
« Cela vient du secrétaire adjoint que la réciprocité devrait être une valeur par défaut. Cela devrait être le premier choix plutôt que de devoir refaire toute la diligence raisonnable. Nous essayons de trouver un équilibre pour maintenir notre [risk management framework-driven] cybersécurité, mais pour nous assurer que nous pouvons agir plus rapidement et ne pas avoir à vérifier les devoirs de chacun », a déclaré Sherman à DefenseScoop dans une interview après son discours.
Il a fourni un scénario hypothétique pour aider à dresser un tableau des problèmes clés que son équipe tente de résoudre et du type d’accélération qu’elle cherche à faciliter.
« Si vous avez une entreprise qui possède déjà un produit qui est passé, disons, par le ministère de l’Air Force et qui a obtenu un ATO là-bas, alors disons que la Marine souhaite l’utiliser. Par défaut, ils devraient être prêts à accepter l’ensemble des preuves du responsable autorisant de l’armée de l’air à moins qu’ils ne les examinent et qu’il n’y ait une raison tangible et substantielle pour laquelle ils ne croient pas que l’ATO a été suffisamment bien fait – et alors nous il y a un problème plus important sur lequel nous devons nous pencher. Ces exemples de l’Air Force et de la Navy sont simplement hypothétiques, mais c’est ce que cela fait », a expliqué Sherman.
« Si vous avez votre entreprise, vous ne devriez pas avoir à franchir tous les obstacles ici. Cela devrait être plus universellement accepté », a-t-il ajouté.
Notamment, le mémo de Hicks exige également que les composants du Pentagone soulèvent toute question de politique et de mise en œuvre associée directement à Sherman et à son équipe.
« Les composants du DOD peuvent demander l’assistance du DOD CIO pour résoudre la réciprocité et d’autres problèmes de politique, d’orientation et techniques du RMF en contactant le secrétariat du groupe consultatif technique du RMF, au sein du DOD CIO, à l’adresse osd.pentagon.dod-cio.mbx.rmf-tag-secretariat. @mail.mil », a écrit Hicks dans le guide.
Lors de son discours d’ouverture, Sherman a mis en lumière cette élévation.
« J’ai vu sur LinkedIn, pas plus tard que ce matin, des gens parler de ça. Et je tiens à vous le faire savoir à tous : nous vous avons entendu haut et fort à ce sujet au sein du DOD. Je ne vais pas dire que cela va résoudre tous les problèmes, mais cela va nous aider un peu », a-t-il déclaré au public.
Au cours de l’entretien avec DefenseScoop, il n’a pas révélé exactement quels représentants de l’industrie il désignait dans cet appel.
« Nous avons entendu suffisamment d’anecdotes. Nous avons besoin d’exemples concrets montrant où cela entrave le processus, car les ATO – qui sont nécessaires, vous ne voulez pas ne pas les faire – mais ils ont acquis une mauvaise réputation en tant qu’étouffoir à l’innovation ou à la vitesse. Nous allons donc impliquer un peu plus directement le bureau du CIO du DOD », a déclaré Sherman.
Même si ces premières orientations s’adressent au Pentagone, l’équipe du CIO va également générer et publier des recommandations similaires à l’intention de la communauté du renseignement.
« C’est en quelque sorte notre prochaine colline à gravir plus tard, en raison des différentes classifications et du fait que ces ensembles de preuves sont conservés secrets ou très secrets, par rapport aux bases de données non classifiées, etc. », a déclaré Sherman à DefenseScoop.
Reconnaissant que « la communauté des logiciels est une communauté très passionnée – et que le processus ATO, franchement, a été fastidieux », le plus haut responsable informatique du Pentagone a confirmé qu’il avait choisi de demander de l’aide à Hicks.
«Je vais être très honnête. Nous, en tant qu’assistant principal du personnel, choisissons souvent les domaines dans lesquels nous avons besoin de l’approbation des grands patrons. Et nous y croyions : oui, un DSI peut le faire, mais [we should] demandez au secrétaire adjoint d’envoyer un signal très clair indiquant qu’il ne s’agit pas uniquement de questions de CIO. C’est une priorité du ministère », a déclaré Sherman.