Comment obtenir une autorisation pour accéder à des données techniques militaires non classifiées dans le cadre de travaux pour le département de la Guerre des É.-U. ?

Qu’est-ce que les données techniques militaires non classifiées?

L’expression « données techniques militaires non classifiées du département de la Guerre des É.-U. et technologies connexes » désigne des informations décrivant la conception, le développement, la production, l’exploitation ou la maintenance de systèmes militaires ou spatiaux, sans être formellement classifiées comme Confidentiel, Secret ou Très secret. Autrement dit, ces données ne font pas partie du système de classification de la sécurité nationale, mais peuvent néanmoins être sensibles. Même lorsqu’elles sont non classifiées, ces informations peuvent révéler des capacités critiques ou des vulnérabilités. C’est pourquoi le département de la Guerre des É.-U. impose souvent des contrôles sur leur diffusion et leur partage. Le cadre général permettant de restreindre et de contrôler ces données est établi dans le règlement 32 C.F.R. Part 250, qui autorise le département de la Guerre des É.-U. à protéger les informations techniques non classifiées ayant des applications militaires ou spatiales. Le contrôle des données techniques militaires non classifiées est également intégré à la réglementation des marchés publics DFARS 252.204-7012, qui exige des entrepreneurs du département de la Guerre des É.-U. qu’ils protègent les « renseignements de défense couverts » (covered defense information) en mettant en place des contrôles de cybersécurité et en signalant les incidents cybernétiques. Une grande partie de ces informations relève du programme de renseignements non classifiés contrôlés (CUI) du gouvernement américain, qui correspond au niveau 2 du CMMC.

Obtenir une certification pour accéder à des données militaires non classifiées

Le mandat du Programme mixte d’agrément Canada–États-Unis (PMA) est de certifier les entreprises canadiennes et américaines qui ont besoin d’accéder à des données techniques militaires non classifiées dont l’accès est contrôlé pour des raisons de sécurité nationale. Le PMA veille à ce que seules les entreprises ayant un besoin légitime et des mesures de sécurité adéquates puissent accéder à ces informations. Le PMA est administré par Services publics et Approvisionnement Canada (SPAC) pour le Canada et par la Defense Logistics Agency (DLA) pour le département de la Défense des É.-U.

• Faire une demande de certification dans le cadre du Programme mixte d’agrément (PMA)
• Demander l’accès à des données techniques et obtenir l’autorisation de visiter des sites de travail dans le cadre du Programme mixte d’agrément (PMA)

Ce que couvre le PMA et ce qu’il ne couvre pas

Ce que couvre le PMA

• Certification pour l’accès : Confirme votre admissibilité à recevoir des données techniques militaires non classifiées dont l’accès est contrôlé en vertu des réglementations américaines et canadiennes.
• Exigences de sécurité de base : Exige la signature du formulaire DD2345 ainsi qu’une autoévaluation de cybersécurité alignée sur la norme NIST SP 800-171.
• Validation du besoin légitime : Confirme que votre organisation a une raison valable d’accéder à des informations techniques contrôlées.

Ce que le PMA ne couvre pas

• Accompagnement complet en matière de conformité : Le PMA ne fournit pas d’instructions détaillées pour la mise en œuvre des contrôles de la norme NIST SP 800-171 ni pour satisfaire aux exigences de cybersécurité du DFARS.
• Surveillance continue : Le PMA n’assure pas le suivi de votre posture de sécurité après la certification.
• Formation sur les contrôles à l’exportation : Les entreprises doivent consulter d’autres ressources pour se conformer aux exigences ITAR/EAR et assurer la gestion adéquate des renseignements non classifiés contrôlés (CUI).

Ressources pour la conformité et le suivi continu

Voici quelques ressources pour vous guider une fois votre certification obtenue dans le cadre du PMA.

Ressources et documentation CMMC du CIO du département de la Guerre des É.-U.

Comprend des guides de définition du périmètre, des guides d’évaluation et des correspondances avec les normes du NIST pour soutenir la conformité au CMMC. Consulter les ressources ici.

Certification du modèle de maturité en cybersécurité (CMMC)

Le programme CMMC vise à vérifier que les entrepreneurs mettent en œuvre et maintiennent des mesures de cybersécurité tout au long de la durée du contrat. Il comprend des évaluations avant l’attribution des contrats ainsi que des vérifications continues de la conformité afin de protéger les renseignements non classifiés contrôlés (CUI). Aperçu du CMMC du département de la Guerre des É.-U. [dodcio.defense.gov]

Lignes directrices du NIST

Les normes NIST SP 800-171 et NIST SP 800-171A définissent les exigences et les méthodes d’évaluation pour protéger les renseignements non classifiés contrôlés (CUI). Les entrepreneurs doivent surveiller en continu leur posture de sécurité et la mettre à jour en fonction de ces normes. Guide du NIST pour les entrepreneurs

Direction des contrôles du commerce de défense (DDTC) — Département d’État des É.-U.

La DDTC administre les exigences ITAR et fournit des ressources de conformité, des matrices de risques et des lignes directrices pour les exportateurs, les fabricants et les courtiers d’articles et de services de défense. Portail de conformité ITAR de la DDTC [pmddtc.state.gov]

Portail de directives sur le CUI

Ce portail propose des instructions détaillées sur la gestion des renseignements non classifiés contrôlés (CUI), y compris les exigences en matière de marquage, les dérogations et les évaluations de sécurité pour les systèmes non fédéraux utilisant la norme NIST SP 800-171. Consulter le portail sur le CUI