Le ministère de la Défense renforce les règles sur la sécurité du cloud

Publié le: 25 janvier 2024

Une nouvelle note envoyée par le ministère de la Défense (DoD) a révélé qu'ils renforcent les exigences de sécurité pour les fournisseurs de cloud au niveau FedRAMP.

Historiquement, on ne savait pas clairement ce qu’était la certification FedRAMP et ce que cela impliquait. Avant les nouvelles règles, la clause DFARS stipulait qu'un sous-traitant tiers devait s'assurer que ses fournisseurs de services cloud répondent aux exigences FedRAMP.

À l’époque, ces exigences signifiaient simplement que les prestataires de services devaient suivre des règles en matière de conservation des données, de rapports d’incidents et d’exigences d’accès.

Bien qu'il s'agisse toujours d'une étape importante à franchir, elle n'a pas réussi à créer un niveau de base d'exigences de sécurité que les fournisseurs de services cloud devaient respecter. Cependant, après avoir modifié la clause DFARS, cette préoccupation a été résolue.

Désormais, pour être approuvé par FedRAMP, il faut une base minimale de défenses en matière de cybersécurité. FedRAMP fait appel à une société tierce pour évaluer si les fournisseurs répondent aux critères donnés.

« Pour être considérées comme équivalentes à FedRAMP Modéré, les OSC doivent atteindre 100 % avec la dernière base de contrôle de sécurité modérée FedRAMP grâce à une évaluation menée par une organisation d'évaluation tierce reconnue par FedRAMP (3PAO) », lit-on dans la note.

Cela remet pour ainsi dire la balle entre les mains des fournisseurs de services cloud. S’ils veulent continuer à travailler avec le DoD, ils devront mettre leur cybersécurité à niveau. Les entreprises qui prennent des raccourcis dans leurs pratiques de cybersécurité perdront les affaires du DoD.

On ne sait pas exactement ce qui pousse le DoD à renforcer ses règles de sécurité, mais il existe quelques suppositions. Les violations de données et les piratages contre les fournisseurs de services cloud ont fortement augmenté au fil des années, en particulier avec l'essor de l'IA qui rend les choses plus faciles que jamais. Si un pirate informatique peut obtenir des données du fournisseur de services, il peut obtenir les données de chaque sous-traitant avec lequel il travaille.

En réponse, les agences gouvernementales américaines ont travaillé ensemble pour s'assurer que les entreprises respectent les directives minimales de sécurité.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.safetydetectives.com/news/department-of-defense-tightens-rules-on-cloud-security/