Conscience et rigueur. Industries

CISA, Conformité et Plateforme d'engagement de l'industrie (IEP) 

by Continuum GRC 0 Commentaires
En-tête de la bannière gouvernementale de la CISA

La plateforme d'engagement de l'industrie (IEP) de la CISA marque un tournant significatif dans la nature de cette relation. Bien qu'elle ne constitue pas un système de conformité ou d'approvisionnement, elle représente un outil sans doute plus utile : un mécanisme formalisé et structuré pour un dialogue continu. engagement entre la CISA et le secteur privé.

Pour les organisations opérant dans des environnements réglementés, notamment celles soumises aux programmes FedRAMP, CMMC, StateRAMP, FISMA et aux nouveaux objectifs de performance intersectoriels, le programme IEP est bien plus qu'un simple portail d'information. Il constitue un indicateur précoce de l'évolution future de la conformité des pouvoirs publics en matière de cybersécurité : une approche collaborative et itérative, privilégiant les capacités opérationnelles concrètes plutôt que les listes de contrôle statiques.

 

Pourquoi la CISA a créé la plateforme d'engagement de l'industrie

Historiquement, L'engagement de la CISA auprès de l'industrie a été fragmenté.La communication entre l'agence et les entreprises du secteur privé était souvent ponctuelle, s'appuyant sur des relations existantes ou sur des exigences légales. 

Suite à cela, les PME, en particulier, ont eu du mal à comprendre où et comment s'engager. De ce fait, les technologies innovantes qui n'émanaient pas des grandes entreprises n'avaient pas de moyen fiable d'attirer l'attention des agences.

Le programme IEP a été conçu pour combler cette lacune et établir un canal de communication fiable, ouvert et transparent entre les organisations de toutes tailles et la CISA. Il réduit les frictions entre ces organisations et les PME gouvernementales et ouvre de nouvelles voies pour que les technologies conformes et innovantes se diffusent du secteur privé vers le gouvernement fédéral. 

 

Comment fonctionne le plan d'intervention individualisé (PII) en pratique

En-tête de la bannière gouvernementale de la CISA

Découvrez comment vous pouvez travailler dans le cadre de normes et de cadres de conformité grâce à la plateforme de conformité cloud Continuum GRC.

Le plan d'intervention individualisé (PII) est relativement simple.

  • Les organisations commencent par créer un profil technologiqueCe profil présente les informations essentielles sur les activités de l'organisation, les types de capacités en cybersécurité ou en infrastructure qu'elle propose, ainsi que ses domaines d'intervention. Il ne s'agit pas d'une présentation commerciale, mais d'une description du produit ou du service destinée à aider la CISA à en comprendre le positionnement.  
  • Une fois le profil établi, les organisations peuvent demande d'engagement avec les PME à la CISACes demandes sont acheminées en fonction de leur pertinence pour les domaines de mission de la CISA, tels que la sécurité du cloud, le modèle zéro confiance, les systèmes de contrôle industriels, la sécurité de la chaîne d'approvisionnement logicielle ou la réponse aux incidents. 
  • La plateforme permet également aux organisations de partager les documents justificatifsCes documents, tels que des livres blancs, des aperçus architecturaux et des résultats de recherche, ne sont pas évalués en vue de l'acquisition, mais ils peuvent éclairer la CISA sur les tendances du marché et la faisabilité technique. 

Il vous sera demandé de créer un Connexion.gov créer un compte et suivre les procédures de sécurité requises. 

Le processus d'évaluation intégrée (IEP) ne remplace pas les mécanismes contractuels, n'influence pas les décisions d'acquisition et ne constitue pas un outil d'évaluation préalable à l'attribution. En distinguant clairement l'engagement du processus d'acquisition, la CISA préserve l'équité tout en bénéficiant d'une analyse technique précoce.

 

En quoi cela diffère-t-il des réglementations et de l'engagement de la chaîne d'approvisionnement ?

Avant le programme IEP, les interactions de la CISA avec les entreprises, les innovateurs technologiques et les chercheurs étaient principalement mené par le biais des canaux d'engagement fédéraux traditionnels comme les journées sectorielles, les demandes d'informations, les conférences officielles, les groupes de travail et la coordination au cas par cas avec des experts du domaine. Ces mécanismes ont joué un rôle crucial de liaison entre le gouvernement et l'industrie, mais ils étaient inefficace et fragmenté intentionnellement.

Cette situation n'était pas propre à la CISA. Dans l'ensemble de l'écosystème fédéral de la cybersécurité, les petits fournisseurs et les jeunes pousses spécialisées dans les technologies de pointe se heurtaient régulièrement à deux obstacles majeurs :

  • Incertitude quant aux parcours d'engagement :  La plupart des mécanismes de sensibilisation étaient basé sur les événements: un sommet sur la cybersécurité, une journée de l'industrie, une demande de commentaires liée à une politique spécifique ou un avis du Federal Register.  
  • Points de blocage dans la planification et la priorisation : Même lorsqu'une entreprise sait qui contacter, organiser des discussions de fond avec les experts compétents peut prendre des semaines, voire des mois. Face à l'évolution quotidienne des cybermenaces, ce délai compromet la possibilité d'obtenir rapidement des informations pertinentes. 

Grâce à l'IEP, la CISA bénéficie d'une visibilité plus rapide sur la manière dont les contrôles de sécurité sont mis en œuvre dans les environnements cloud, les plateformes SaaS, les pipelines DevSecOps et les architectures zéro confiance. 

 

Ce que cela signifie pour FedRAMP, CMMC et GovRAMP

Bien que l'IEP ne soit lié à aucun cadre unique, sa pertinence pour FedRAMP, CMMC et StateRAMP est significative.

  • FedRAMPLe secteur du cloud, en particulier, a subi une pression constante pour se moderniser. Les fournisseurs de services cloud mettent régulièrement en œuvre des contrôles de sécurité qui dépassent les exigences minimales, mais peinent à les harmoniser avec les énoncés de contrôle rédigés il y a plusieurs années. Un dialogue structuré via l'IEP permet à la CISA et aux autres parties prenantes d'identifier plus clairement les interprétations de contrôle potentiellement obsolètes ou trop restrictives. 
  • CMMC Cela pose un défi différent, mais connexe. Le ministère de la Défense mettant l'accent sur la protection contre les menaces persistantes avancées et les compromissions de la chaîne d'approvisionnement, l'efficacité des contrôles de sécurité importe plus que leur simple existence. 
  • GovRAMP D'autres programmes étatiques pourraient également en bénéficier. À mesure que les États s'alignent de plus en plus sur les directives fédérales, les enseignements tirés de la participation aux IEP peuvent se diffuser largement, favorisant une plus grande cohérence et réduisant la fragmentation des régimes réglementaires.

 

De la conformité aux cases à cocher à la sécurité axée sur la performance

L'une des critiques les plus fréquentes adressées à la conformité des gouvernements en matière de cybersécurité est qu'elle se concentre sur les listes de contrôle et la mise en œuvre plutôt que sur les risques ou la sécurité continue. Les entreprises peuvent réussir les évaluations, mais elles prennent du retard lorsqu'il s'agit de faire face aux menaces modernes et d'assurer des améliorations continues (notamment lors de l'intégration de nouvelles technologies).

La CISA s'est exprimée de plus en plus ouvertement sur ce sujet, notamment à travers des initiatives telles que les Objectifs de performance intersectoriels en matière de cybersécurité (CPG). Le Plan d'action intégré (IEP) complète cette orientation en ancrant les objectifs de performance dans la réalité technique.

Les fournisseurs et les prestataires qui s'impliquent dès le début seront mieux préparés à l'évolution des exigences de conformité. Le programme d'amélioration de la sécurité intégrée (IEP) devient un forum non pas pour vendre des produits, mais pour façonner une compréhension commune de ce que signifie une « sécurité efficace » dans les environnements modernes.

La responsabilité réside dans la manière dont cet engagement est mené. Le Programme d'influence intégrée (PII) n'est pas un moyen rapide d'exercer une influence. Il valorise la clarté, la rigueur technique et la compréhension des besoins de la mission gouvernementale. Les organisations qui envisagent la plateforme comme un simple canal marketing passeront à côté de sa valeur stratégique.

 

Vous souhaitez innover dans votre infrastructure technologique ? Collaborez avec Continuum GRC.

Pour les RSSI et les DSI, le programme IEP représente une nouvelle voie d'interaction avec le gouvernement fédéral. Cette plateforme jette les bases essentielles d'un écosystème de conformité plus adaptable, crédible et axé sur les risques pour les années à venir.

Nous fournissons un soutien en matière de gestion des risques et de conformité pour chaque cadre réglementaire et de conformité majeur du marché, notamment :

Et bien plus encore. Nous sommes la seule solution de gestion des risques et de conformité autorisée par FedRAMP et StateRAMP au monde.

Continuum GRC est une cybersécurité proactive® et le seul FedRAMP et Autorisé par l'ÉtatRAMP Plateforme mondiale d'audit de cybersécurité. Appelez le 1-888-896-6207 pour discuter des besoins de votre organisation en matière de cybersécurité et découvrir comment nous pouvons vous aider à protéger vos systèmes et à garantir votre conformité.

Téléchargez notre brochure d'entreprise.

Continuum GRC

Site Web :