Le département de la Défense (DoD) continue de renforcer les exigences de qualification de son personnel afin de garantir que les personnes chargées du soutien, de la gestion, de la sécurisation ou de l'exploitation des systèmes d'information du DoD possèdent les connaissances, les compétences et les certifications nécessaires. Qu'il s'agisse d'un sous-traitant de la défense, d'un employé civil ou d'un professionnel de l'informatique/de la cybersécurité, la conformité aux exigences de la directive DoD 8140 et de l'ancienne directive 8570 demeure obligatoire pour les postes désignés dans le domaine de la cybersécurité.
Ce guide offre une vue d'ensemble complète et formelle des exigences de certification du DoD, des catégories de personnel concernées, des normes d'accréditation et des attentes en matière de conformité pour les organisations et les personnes opérant au sein de l'environnement informationnel du DoD.
La directive DoD 8140 (anciennement 8570) établit les normes minimales de qualification et de certification pour le personnel de la cybersécurité du DoD. Ce document définit :
Les certifications requises pour des catégories d’emploi spécifiques
Les compétences attendues du personnel occupant des postes en cybersécurité
Les délais de formation et de qualification du personnel
Les obligations de conformité des composantes du ministère de la Défense et des entreprises de défense
La directive DoD 8140 fait autorité en la matière, tandis que les directives DoD 8140.01, DoD 8140.02 et DoD 8140.03 précisent le cadre, les processus et le Programme de qualification et de gestion du personnel en cybersécurité (CWQMP).
Dans ce cadre, tout le personnel disposant d’un accès privilégié ou de responsabilités en matière de cybersécurité doit obtenir et maintenir une certification approuvée, correspondant à sa catégorie et à son niveau de poste.
Les exigences de certification du ministère de la Défense s’appliquent à l’ensemble de l’écosystème de la défense, notamment :
Les personnes employées par des entreprises du secteur privé qui soutiennent les opérations du ministère de la Défense, fournissent des services informatiques, gèrent des systèmes ou accèdent aux réseaux gouvernementaux doivent satisfaire aux exigences de certification conformément à leurs obligations contractuelles. Ceci s'applique aux :
Maîtres d'œuvre
Sous-traitants
Fournisseurs de services gérés (MSP)
Intégrateurs de systèmes
Fournisseurs de services de cybersécurité assurant le support des systèmes du ministère de la Défense
Les contractants sont soumis aux mêmes délais de certification et aux mêmes normes de conformité que le personnel gouvernemental.
Les employés civils occupant des fonctions liées à la cybersécurité, aux technologies de l'information, à la sécurité de l'information, à l'ingénierie ou à la sécurité doivent obtenir et maintenir la certification de base appropriée à leur fonction.
Ceci inclut le personnel des organismes suivants :
DISA
USCYBERCOM
Bureaux du DSI du ministère de la Défense
Départements militaires
Agences de défense et activités sur le terrain
Tout contractant, civil ou militaire exerçant des fonctions liées à l'administration de systèmes, à la gestion de réseaux, à la surveillance de la cybersécurité, à l'ingénierie ou à la sécurité de l'information doit être certifié.
Ceci s'applique aux personnes disposant des ressources suivantes :
Accès privilégié
Autorité pour modifier les systèmes
Responsabilité des contrôles de cybersécurité
Rôles de soutien aux opérations de défense en profondeur
La directive DoD 8140 établit plusieurs catégories de personnel, chacune assortie d'exigences de certification.
Le personnel IAT fournit un soutien technique en cybersécurité et en informatique. Ses responsabilités comprennent la défense du réseau, la maintenance des systèmes et la configuration de la sécurité.
Niveaux :
IAT Niveau I — Débutant
IAT Niveau II — Intermédiaire
IAT Niveau III — Expert technique
Les certifications approuvées incluent : A+, Network+, CCNA, Security+, CySA+, CASP+, CISSP, etc.
Le personnel IAM assure la supervision, la gouvernance et le pilotage des programmes de cybersécurité.
Niveaux :
IAM Niveau I — Gestion de base
IAM Niveau II — Gestion intermédiaire
IAM Niveau III — Direction supérieure
Certifications approuvées : CAP, CISM, CISSP, GSLC et certifications de gestion associées.
Le personnel IASAE conçoit, développe et architecture des systèmes sécurisés pour les réseaux du ministère de la Défense.
Rôles :
Ingénieur en sécurité des systèmes
Architecte en cybersécurité
Ingénieur spécialisé
Certifications approuvées : CISSP-ISSAP, CISSP-ISSEP, CSSLP.
Le personnel CSSP assure le support en matière de cyberdéfense, d’opérations SOC, de réponse aux incidents et d’analyse des vulnérabilités.
Les rôles CSSP comprennent :
Analyste
Support infrastructure
Intervenant en cas d’incident
Auditeur
Gestionnaire
Les certifications approuvées incluent : CEH, CySA+, GCIH, GCFA, CFR et autres selon la spécialité.
Bien que le cadre de certification soit basé sur les rôles, son impact varie selon les groupes de personnel.
Les sous-traitants doivent :
Détenir une certification approuvée avant d’exercer des fonctions liées à la cybersécurité.
Maintenir leur certification à jour pendant toute la durée de la prestation.
S’assurer que la documentation de conformité est soumise à l’autorité contractante lorsque cela est requis.
Affecter le personnel à la catégorie appropriée (IAT, IAM, IASAE ou CSSP).
Le non-respect de ces exigences peut entraîner :
La disqualification pour l’exécution du contrat
Un constat de non-conformité
Le licenciement
La perte potentielle de l’éligibilité au contrat
Le personnel civil doit :
Obtenir la certification requise dans les délais définis par la politique du ministère de la Défense (généralement dans les 6 mois suivant l’affectation).
Maintenir ses unités de formation continue (UFC) ou sa formation professionnelle continue (FPC).
Participer à la formation continue du personnel, conformément à la directive DoD 8140.03.
Aligner les descriptions de poste avec les codes de rôle du DCWF.
Le personnel civil doit également atteindre les objectifs de compétences et de maintien des acquis liés à son rôle.
Le personnel disposant d’un accès privilégié doit :
Détenir une certification IAT, IAM ou CSSP approuvée avant d’obtenir des privilèges élevés.
Maintenir ses compétences grâce à des formations et des programmes de formation continue approuvés.
Suivre une formation annuelle en cybersécurité conforme aux normes du ministère de la Défense. - Satisfaire aux exigences supplémentaires au niveau de la composante (par exemple, DISA, Navy NMCI, Army Cyber).
Le personnel doit obtenir la certification requise :
Avant d’occuper un poste en cybersécurité (contractuels)
Dans les 6 mois (civils)
Dans les 12 mois pour certains postes (conformément à la politique de la composante)
La plupart des certifications doivent être renouvelées tous les 2 à 3 ans, notamment :
CompTIA (programme de formation continue)
ISC2 (exigences de formation continue)
EC-Council (exigences de formation continue)
GIAC (cycle de renouvellement)
Le défaut de renouvellement entraîne la perte automatique de la conformité au ministère de la Défense.
5.3 Documentation et suivi
Le personnel doit s'assurer que sa certification est enregistrée dans :
les systèmes de gestion des effectifs cybernétiques du DoD
les bases de données de formation au niveau des composantes
les rapports de conformité du personnel des contractants
Les organisations doivent conserver des registres vérifiables attestant du statut de certification.
Le DoD n'accepte que les certifications délivrées par des organismes agréés, notamment :
CompTIA
ISC2
ISACA
EC-Council
GIAC/SANS
Cisco
Oracle
Red Hat
Autres organismes listés dans les tableaux de référence du DoD 8140
Seules les certifications figurant dans la matrice officielle de certification de référence approuvée du DoD 8140/8570 sont admissibles.
La conformité donne accès à :
Des postes au sein du gouvernement
Des rôles de contractuel
Des responsabilités accrues en cybersécurité
Une mobilité professionnelle et des perspectives d’avancement accrues
Le personnel certifié est reconnu pour sa compétence démontrée dans ses fonctions.
Les organisations bénéficient des avantages suivants :
Éligibilité aux contrats
Amélioration de la cybersécurité
Réduction des risques liés au personnel
Préparation aux audits
Conformité aux exigences DFARS, NIST SP 800-171, RMF et Zero Trust
La non-conformité peut entraîner la disqualification des contractuels et limiter leurs capacités opérationnelles.
Les exigences de certification du DoD constituent un pilier des efforts du Département en matière de préparation à la cybersécurité. Les contractuels, les civils et le personnel informatique/sécurité doivent se conformer aux normes de base DoD 8140 afin de garantir que le personnel est formé, qualifié et équipé pour défendre les systèmes du DoD contre l’évolution des menaces.
En affectant le personnel à la catégorie IAT, IAM, IASAE ou CSSP appropriée et en maintenant les certifications approuvées, les organisations contribuent à un environnement d'information sécurisé et résilient au sein du ministère de la Défense. La conformité n'est pas seulement une obligation contractuelle ; c'est une priorité opérationnelle essentielle pour toutes les entités qui soutiennent les missions du ministère de la Défense.
.jpg&w=640&q=75)
Copyright © 2024 - Tous droits réservés.
