Guide de certification DoD 8570 : Exigences relatives aux rôles IAT, IAM, IASAE et CSSP

Le département de la Défense (DoD) s'appuie sur une main-d'œuvre cyber hautement qualifiée et compétente pour sécuriser ses réseaux, défendre ses missions critiques et protéger ses intérêts de sécurité nationale. La directive DoD 8570 a établi le cadre initial des exigences en matière de formation, de certification et de gestion des effectifs en matière de sécurité de l'information (SI). Ce cadre continue de guider le personnel cyber au sein du DoD, même si les responsabilités sont transférées vers la directive DoD 8140.

Ce guide offre une vue d'ensemble complète et officielle des exigences de certification de base de la directive DoD 8570 pour les quatre principales catégories de personnel cyber : techniciens en sécurité de l'information (IAT), gestionnaires en sécurité de l'information (IAM), architectes et ingénieurs des systèmes de sécurité de l'information (IASAE) et fournisseurs de services de cybersécurité (CSSP). Il est destiné aux contractuels, aux civils du DoD, aux militaires et aux responsables organisationnels chargés du maintien de la conformité des effectifs.

1. Contexte : Objectif de la directive DoD 8570

La directive DoD 8570.01-M a été introduite afin de garantir que l'ensemble du personnel en sécurité de l'information et en cybersécurité possède les connaissances, les compétences et les certifications reconnues par le secteur nécessaires à la protection des systèmes d'information du DoD. Conformément à la directive 8570, le Département a établi :

• Une matrice de certification de base unifiée

• Des catégories et des niveaux de personnel standardisés

• L'obligation pour le personnel d'obtenir et de maintenir des certifications approuvées

• Une obligation d'alignement et de conformité pour les contractants

• Une structure de qualification commune à toutes les composantes du DoD

Bien que la directive 8570 soit progressivement intégrée à l'écosystème 8140 mis à jour, son système de classification (IAT, IAM, IASAE, CSSP) demeure la base de l'affectation du personnel du DoD et de la validation des certifications.

2. Catégories de personnel selon la directive DoD 8570

La norme 8570 organise le personnel en cybersécurité en quatre catégories principales, chacune étant associée à des fonctions et des responsabilités spécifiques.

Les catégories sont les suivantes :

• Spécialiste technique en assurance de l’information (IAT)

• Spécialiste en gestion de l’assurance de l’information (IAM)

• Spécialiste en architecture et ingénierie des systèmes d’assurance de l’information (IASAE)

• Prestataire de services de cybersécurité (CSSP)

Chaque catégorie est subdivisée en niveaux selon la complexité et les responsabilités.

3. Spécialiste technique en assurance de l’information (IAT)

Le personnel IAT assure des fonctions techniques opérationnelles en matière de cybersécurité et d’assurance de l’information. Ses responsabilités comprennent :

• La mise en œuvre et la maintenance des contrôles de sécurité
• La configuration et la gestion des systèmes d’information du ministère de la Défense
• Le soutien aux opérations de défense du réseau
• La gestion des vulnérabilités des systèmes et du réseau

Le personnel IAT doit démontrer une compétence technique correspondant à son niveau.

Niveau IAT I

Rôles types

• Technicien de support informatique
• Administrateur système junior
• Technicien de support réseau

Principales responsabilités

• Configuration de base des périphériques
• Maintenance système courante
• Mise en place des contrôles de sécurité initiaux

Certifications de base approuvées

• CompTIA A+
• CompTIA Network+
• CCNA (Cisco Certified Network Associate)

Niveau IAT II

Rôles types

• Administrateur système
• Administrateur réseau
• Analyste en cybersécurité de niveau intermédiaire

Principales responsabilités

• Application des politiques de sécurité du ministère de la Défense
• Configuration de la sécurité des systèmes
• Détection et signalement des incidents

Certifications de base approuvées

• CompTIA Security+
• CompTIA CySA+
• GICSP
• CCNA Security

Niveau IAT III

Rôles types

• Administrateur système senior
• Ingénieur en cybersécurité senior
• Ingénieur en sécurité réseau

Principales responsabilités

• Opérations avancées de défense des systèmes
• Mise en œuvre de l'architecture de sécurité
• Intégration de Contrôles de sécurité d'entreprise

Certifications de base approuvées

• CASP+ (CompTIA Advanced Security Practitioner)

• CISSP (Certified Information Systems Security Professional)

• GCED (GIAC Certified Enterprise Defender)

4. Gestion de la sécurité de l'information (IAM)

Le personnel IAM supervise les programmes de cybersécurité, gère les opérations de sécurité de l'information et veille au respect des politiques du ministère de la Défense. Il exerce des responsabilités de gestion, d'administration et de supervision.

Gestion des identités et des accès (IAM) Niveau I

Rôles types

• Responsable de la sécurité (débutant)

• Responsable de la sécurité de l'information

Principales responsabilités

• Gestion du programme de sécurité local
• Supervision des accès utilisateurs
• Application des exigences de conformité de base

Certifications de base approuvées

• CAP (Certified Authorization Professional)

• GSLC (GIAC Security Leadership Certification)

IAM Niveau II

Rôles types

• Responsable de la cybersécurité (niveau intermédiaire)
• Superviseur de programme de cybersécurité
• Responsable des systèmes d'information

Principales responsabilités

• Supervision des opérations de sécurité de l'information de l'organisation
• Gestion des vulnérabilités et des risques
• Mise en œuvre et suivi des politiques

Certifications de base approuvées

• CISM (Certified Information Security Manager)
• CISSP

IAM Niveau III

Rôles types

• Responsable de la cybersécurité (senior)
• Responsable de la sécurité des systèmes d'information (RSSI)
• Responsable de la sécurité d'entreprise

Principales responsabilités

• Supervision de la sécurité de l'information à l'échelle de l'entreprise
• Élaboration de politiques stratégiques Planification des ressources et assurance de la conformité

Certifications de base approuvées

• CISSP
• GSLC

5. Architecture et ingénierie des systèmes d'assurance de l'information (IASAE)

Le personnel IASAE se concentre sur la conception, l'ingénierie et l'architecture des systèmes d'information sécurisés. Il veille à ce que les systèmes du ministère de la Défense répondent aux exigences de cybersécurité tout au long de leur cycle de vie.

Niveaux IASAE I, II et III

(Ces niveaux correspondent à des rôles techniques progressifs, bien que les certifications de base restent similaires.)

Rôles types

• Architecte en cybersécurité
• Ingénieur en sécurité des systèmes
• Architecte d'entreprise

Principales responsabilités

• Conception de l'architecture
• Intégration de la cybersécurité des systèmes
• Héritage et mappage des contrôles RMF

Certifications de base approuvées

• CISSP-ISSAP (Professionnel en architecture de sécurité des systèmes d'information)

• CISSP-ISSEP (Professionnel en ingénierie de la sécurité des systèmes d'information)

• CSSLP (Professionnel certifié en cycle de vie des logiciels sécurisés)

Ces certifications attestent d'une expertise avancée en ingénierie et en architecture.

6. Rôles des fournisseurs de services de cybersécurité (CSSP)

6.1 Aperçu

La catégorie CSSP prend en charge les opérations de cyberdéfense (DCO) et les fonctions de surveillance de la sécurité. Le personnel CSSP intervient généralement au sein des centres d'opérations de sécurité (SOC), des équipes de réponse aux incidents et des unités de cyberdéfense du ministère de la Défense.

Les rôles CSSP comprennent :

• Analyste CSSP

• Support infrastructure CSSP

• Intervenant en cas d'incident CSSP

• Auditeur CSSP

• Responsable CSSP

Chaque rôle comporte des responsabilités et des exigences de certification spécifiques.

6.2 Analyste CSSP

Responsabilités

• Surveillance des réseaux
• Détection des cyberincidents
• Analyse des menaces

Certifications approuvées

• CEH (Certified Ethical Hacker)
• CySA+
• GCIH

6.3 Support infrastructure CSSP

Responsabilités

• Support de la défense réseau
• Surveillance de l'infrastructure
• Configuration des outils

Certifications approuvées

• Security+
• CySA+
• GNFA

6.4 Intervenant en cas d'incident CSSP

Responsabilités

• Identification des cyberincidents
• Confinement et éradication
• Tri forensique

Certifications approuvées

• GCIH
• CEH
• GCFA

6.5 Auditeur CSSP

Responsabilités

• Audits et évaluations de sécurité
• Vérification de la conformité
• Audits des risques et des vulnérabilités

Certifications approuvées

• CISA
• GSNA
• CEH

6.6 Responsable CSSP

Responsabilités

• Supervision des opérations DCO
• Supervision de la performance du SOC
• Gestion de la cyberdéfense de l'entreprise

Certifications approuvées

• CISSP
• CISM

7. Délais et maintien des certifications

Le personnel affecté aux postes 8570 doit :

• Obtenir la certification requise avant ou dans les 6 mois suivant son affectation (selon la politique du service).

• Maintenir sa certification à jour par le biais d'unités de formation continue (UFC), d'unités de formation professionnelle continue (UFPC) ou d'activités de formation continue.

• Téléverser la validation de sa certification dans le système de gestion des effectifs du ministère de la Défense.

Le non-respect ou le non-maintien de ces exigences peut entraîner la suppression du poste ou la perte d'éligibilité au contrat (pour les contractuels).

8. Responsabilités organisationnelles

Les composantes du ministère de la Défense et les contractants doivent s'assurer :

• L'adéquation des effectifs à la catégorie 8570 appropriée

• La mise à jour et la vérification des dossiers de certification

• Le respect des délais de certification par le personnel

• La formation continue et le maintien des compétences

• La pleine conformité au Cadre de compétences cybernétiques du ministère de la Défense (DCWF)

Les contractants doivent s'assurer que leur personnel contractuel satisfait aux exigences de certification avant le début de leurs prestations.

9. Résumé

Le cadre 8570 du ministère de la Défense demeure un pilier du programme de qualification des effectifs du ministère et continue de guider la certification du personnel dans le cadre de la transition vers la norme 8140. En définissant des parcours de certification clairs pour les rôles IAT, IAM, IASAE et CSSP, le ministère de la Défense garantit des effectifs cybernétiques capables de sécuriser et de défendre les systèmes critiques.

Il est essentiel pour :

• Les civils du ministère de la Défense
• Le personnel militaire
• Les entreprises de défense
• Les professionnels de l’informatique et de la cybersécurité qui interviennent sur les réseaux du ministère de la Défense

La conformité garantit la disponibilité opérationnelle, renforce la sécurité opérationnelle et permet aux organisations de satisfaire aux exigences fédérales en matière de personnel cybernétique.