Blog > CMMC

Le Département américain de la Défense (DoD) élargit l’accès au programme DIB CS

Le Département américain de la Défense (DoD) a clairement décidé de prendre les mesures nécessaires pour renforcer la cybersécurité de sa chaîne d’approvisionnement. Après la proposition de règlement CMMC publiée le 26 décembre 2024, DoD vient de publier le 12 mars 2024 une nouvelle monture du programme de cybersécurité de la base industrielle de défense (DIB CS). 

Cette nouvelle loi DIB CS prend effet le 11 avril 2024.

Dans le présent article, nous allons présenter le programme DIB CS, ses nouveaux changements et surtout son avantage pour les contractants et sous contractants de DoD

Qu’est ce que le programme DIB CS 

DIB CS  est un programme volontaire de partage d’informations entre DoD et ses fournisseurs. Il vise à aider ses fournisseurs à renforcer leur cybersécurité notamment en leur permettant d’accéder par exemple à de l’information sensible stratégique et d’intelligence sur les cybermenaces.  Ces informations peuvent être non classifiées ou classifiées. 

Par exemple, si DoD a accès à de l’information concernant une attaque en cours qui cible certains de ses fournisseurs, les indicateurs de compromissions (IOC) et les tactiques, techniques et procédures (TTP) de cette attaque pourraient être partagées avec l’ensemble des fournisseurs, afin de leur permettre de renforcer leur sécurité et éviter le risque.

Le partage d’informations se fait dans les deux (2) sens. Ainsi, les fournisseurs de DoD peuvent aussi partager de l’information sur les menaces qu’ils observent ou détiennent (ex: outil malicieux identifié). Ils peuvent aussi partager de l’information  des attaques qu’ils ont vécues s’ils le souhaitent.

C’est donc un partenariat public-privé collaboratif en cybersécurité autour de DoD, afin de réduire les risques de sécurité pouvant impacter la chaîne d’approvisionnement globale.

Pourquoi le programme DIB CS a été révisé?

Au lancement du programme DIB CS en 2012, il était limité uniquement aux fournisseurs de DoD qui avaient l’obligation de signaler les incidents de cybersécurité qui les ciblent et qui détenaient une habilitation à accéder à des informations classifiées (facility clearance ou FCL).

Le processus d'adhésion était très contraignant, d’où le fait que le programme n’a pas été un succès. En effet, en plus de détenir une habilitation, les fournisseurs de DoD intéressés à se joindre au programme devaient utiliser un certificat d'assurance moyenne (medium assurance certificate) pour interagir avec les systèmes de DoD. 

Le processus était un peu trop rigide, ce qui n’est pas efficace au regard de l’évolution actuelle et la complexité des cyberattaques.

Qu’est ce qu’un certificat d’assurance moyenne?

Les certificats d’assurance moyenne sont une catégorie de certificats numériques délivrés uniquement par des fournisseurs autorisés par DoD. Ces certificats permettent de communiquer en toute sécurité avec les systèmes de DoD. Par exemple si votre ordinateur ne dispose pas d’un certificat d’assurance medium, vous ne pourrez pas vous connecter à la plateforme de signalement des incidents de sécurité de DoD https://icf.dib.mil/

Il n’y a actuellement que 2 fournisseurs actuellement autorisés par DoD à délivrer les certificats d’assurance moyenne : WidePoint (anciennement Operational Research Consultants, Inc. (ORC)) et IdenTrust Inc.

La nouvelle loi élargit la portée du programme DIB CS

La nouvelle loi DIB CS élargit l'éligibilité au programme à tous les fournisseurs de DoD qui possèdent ou exploitent des systèmes d'information non classifiés qui traitent, stockent ou transmettent des CDI (Defense Covered Information). 

Le terme DCI fait référence à des CUI appartenant spécifiquement à DoD. 

Pour faire plus simple, dès lors qu’il vous est fait obligation de protéger des CUI en vertu de la clause 252.204-7012 du DFARS, considérez que ces CUI sont des DCI.

Que gagnent les fournisseurs de DoD à s’inscrire au DIB CS?

En vous inscrivant au DIB CS, vous bénéficiez d’informations sensibles (classifiées ou non) qui vous permettent de renforcer votre protection et vous mettent à l’abri de certaines attaques qui ciblent la chaîne d’approvisionnement de DoD. Par exemple:

  • Vous pourrez injecter les IOC reçus de DoD dans votre système de détection d’intrusions (IDS/IPS) afin de surveiller des attaques spécifiques. Vous augmentez donc votre capacité de détection et réponse.

  • Vous pourrez anticiper une attaque ciblée et la contrecarrer

  • Vous réduisez vos risques de piratage

  • Vous réduisez les risques d’accès non autorisés aux DCI et CUI que vous détenez.

Résumé des changements 

  • A partir du 11 avril 2023, l'éligibilité au programme DIB CS s'étendra à tous les fournisseurs de DoD qui possèdent ou exploitent des systèmes d'information non classifiés qui traitent, stockent ou transmettent des CDI.

  • Le critère de disposer d’une habilitation à accéder à des informations classifiées (facility clearance ou FCL) disparaît

  • Il n’est plus nécessaire d’utiliser des certificats d’assurance moyenne pour se joindre à DIB CS.

  • Les fournisseurs concernés devront s'inscrire via Procurement Integrated Enterprise Environment (PIEE).

DoD s’attend à ce qu’il y ait environ 68 000 nouveaux fournisseurs qui se joignent au programme DIB CS avec ces nouveaux changements.