Les clauses DFARS CMMC relèvent désormais d’un enjeu d’exécution opérationnelle, et pas seulement d’un enjeu informatique

Points clés

• Les clauses DFARS CMMC sont rédigées comme des exigences contractuelles, mais les preuves résident généralement dans les systèmes d’exécution : identité, accès, maîtrise des changements, qualification par la formation et conservation des enregistrements.
• Le mode de défaillance le plus courant consiste à considérer la couche MES comme relevant uniquement des opérations, tout en y faisant transiter des ordres de fabrication, des plans ou des résultats d’inspection adjacents aux CUI, sans plan de preuves.
• NIST SP 800-171 et la méthode d’évaluation 800-171A imposent une discipline de base : définir les périmètres, définir les types de données et démontrer le fonctionnement des contrôles au moyen d’artefacts reproductibles.
• Les auditeurs ne veulent pas un récit. Ils veulent une cartographie : quel système porte quel contrôle, où l’enregistrement est produit et comment il est protégé contre toute altération.
• Les responsables opérationnels peuvent réduire la difficulté des audits en standardisant le conditionnement des preuves autour des dossiers suiveurs de fabrication, des révisions, de la formation et des flux de travail de non-conformité.

Pourquoi le sujet est passé de la conformité IT à l’infrastructure d’exécution

Les exigences de cybersécurité deviennent opérationnelles dès lors que vos contrats et votre système qualité dépendent de preuves numériques. Les clauses DFARS CMMC ne sont pas rédigées pour l’atelier, mais elles atteignent l’atelier parce que les systèmes d’exécution de la fabrication sont l’endroit où le travail est autorisé, maîtrisé et enregistré.

En pratique, les plannings de production, les dossiers suiveurs de fabrication, les instructions de travail numériques, les résultats d’inspection, le statut d’étalonnage et les enregistrements de non-conformité sont précisément les artefacts qu’un auditeur échantillonnera. Lorsque ces artefacts touchent à des Controlled Unclassified Information, ou sont utilisés pour exécuter un contrat qui exige des niveaux CMMC spécifiques, vous avez désormais une obligation de conformité indissociable de la manière dont le travail est exécuté.

Si votre plan de conformité n’existe que dans un schéma d’enclave IT et non dans la réalité de vos gammes et dossiers suiveurs de fabrication, vous finirez par improviser les preuves pendant une évaluation. C’est à ce moment-là que les audits deviennent perturbateurs.

Les mécanismes des clauses DFARS à comprendre

Le DoD a mis en œuvre les exigences CMMC au moyen de dispositions et de clauses DFARS que les agents de passation des contrats peuvent inclure dans les sollicitations et les contrats. Le point opérationnel essentiel est que ces clauses sont structurées comme des obligations exécutoires liées à un niveau CMMC requis, et non comme des recommandations facultatives.

La clause DFARS relative à la conformité des contractants aux exigences de niveau CMMC est explicite quant à l’utilisation d’un niveau CMMC spécifié et au maintien de la conformité aux exigences de ce niveau. Cette clause est DFARS 252.204-7021. (Acquisition.gov)

La disposition applicable aux sollicitations qui indique le niveau requis pour un achat est DFARS 252.204-7025, qui fournit à l’agent de passation des contrats un champ à compléter pour le niveau 1 en auto-évaluation, le niveau 2 en auto-évaluation, le niveau 2 C3PAO ou le niveau 3 DIBCAC. C’est important sur le plan opérationnel, car l’attente d’une évaluation de niveau 2 par un tiers impose une constitution beaucoup plus formelle du dossier de preuves qu’une simple auto-attestation interne informelle. (Acquisition.gov)

Enfin, la sous-partie DFARS 204.75 décrit l’intention de politique publique et rattache le CMMC au 32 CFR Part 170. Elle constitue l’ossature des achats qui relie le libellé contractuel aux attentes en matière d’évaluation. (Acquisition.gov)

Le problème des preuves : les systèmes d’exécution produisent les enregistrements

La plupart des organisations ne sont pas en échec parce qu’elles manquent d’une politique. Elles échouent parce qu’elles ne peuvent pas prouver de manière cohérente le fonctionnement des contrôles aux points où le travail est exécuté. Cela concerne généralement la couche MES, les systèmes qualité adjacents, la maîtrise documentaire et les systèmes de formation.

Voici le schéma de preuves que les auditeurs tendent à rechercher dans les environnements de fabrication :

• Qui peut accéder aux instructions de travail et aux plans maîtrisés, et comment cet accès est supprimé lorsque les rôles changent.
• Comment les révisions se propagent, et comment vous empêchez l’utilisation d’instructions obsolètes dans l’atelier.
• Comment les dossiers suiveurs de fabrication et les ordres de fabrication prouvent ce qui a été fait, par qui, et sous quelle révision approuvée.
• Comment les exceptions sont maîtrisées : non-conformité, MRB, dérogation et autorisation de reprise.
• Comment la formation et la qualification sont imposées au moment de l’exécution, et pas seulement dans une feuille de calcul.

Chacun de ces points est à la fois une question de contrôle de cybersécurité et une question de preuve qualité. Si la réponse est « nous pouvons l’extraire si vous nous donnez une semaine », vous êtes déjà en difficulté.

Définir d’abord la frontière : MES vs ERP vs enclave CUI

Une frontière système mal définie se traduit par un audit mal cadré. Vous avez besoin d’une déclaration claire des types de données existants, de leurs flux et des endroits où les contrôles sont appliqués.

Au minimum, la plupart des fabricants aérospatiaux ont besoin de trois déclarations de frontière que les auditeurs peuvent comprendre rapidement :

• Frontière ERP : planification, achats, données de base articles et structure contractuelle.
• Frontière MES : autorisation et enregistrement de l’exécution, y compris les dossiers suiveurs de fabrication, les gammes, les inspections et les non-conformités.
• Frontière de l’enclave CUI : où les CUI sont stockées, traitées ou transmises, et quels systèmes entrent dans le périmètre des contrôles NIST SP 800-171.

Une fois ces éléments établis, vous pouvez formuler une affirmation honnête sur le fait que le MES se trouve dans l’enclave, hors de l’enclave, ou partiellement dans le périmètre en raison des intégrations et des échanges de données. Si vous ne pouvez pas l’expliquer simplement, vous perdrez du temps lors d’une évaluation.

Diagramme généré pour une communication des limites prête pour audit

Ce diagramme n’est pas une source. Il s’agit d’un support pédagogique neutre destiné à réduire l’ambiguïté lors des revues de préparation internes et des walkthroughs d’auditeurs.

Comment NIST 800-171 et 800-171A modifient la nature des preuves attendues

NIST SP 800-171 est l’ensemble d’exigences que le DoD utilise pour définir la protection des CUI dans les systèmes non fédéraux. NIST SP 800-171A est le guide d’évaluation qui indique à un évaluateur comment déterminer si ces exigences sont satisfaites. (NIST Computer Security Resource Center)

L’impact opérationnel est simple : il vous faut des artefacts de preuve répétables. Pas une extraction ponctuelle de captures d’écran, ni un unique classeur qu’une seule personne sait constituer. Les évaluations recherchent un fonctionnement cohérent des contrôles dans le temps, entre les utilisateurs et à travers les flux de travail.

En termes de fabrication, cela signifie que vous devez être en mesure de démontrer au minimum ces comportements liés aux contrôles, sans préparation particulière :

• Contrôle d’accès : un utilisateur ne peut pas ouvrir des instructions de travail contrôlées sans appartenir au rôle approprié.
• Journalisation d’audit : l’accès aux documents contrôlés et leurs modifications sont journalisés et consultables.
• Gestion de configuration : l’historique des révisions est conservé, et les versions obsolètes ne sont pas disponibles au point d’utilisation.
• Réponse aux incidents : un accès anormal est détectable et déclenche un chemin de réponse défini.

Aucun de ces éléments ne relève uniquement de l’IT. Il s’agit d’intégrité d’exécution. L’écart le plus fréquent est que les enregistrements MES et qualité sont traités comme des systèmes opérationnels avec une identité faible, une journalisation faible et des pratiques d’administration informelles. Ce n’est pas tenable lorsque les données sont dans le périmètre.

Mode de défaillance courant : le dossier suiveur CUI parallèle et l’export non maîtrisé

Le moyen le plus rapide d’échouer à une évaluation dans un environnement de fabrication consiste à créer des enregistrements connexes au CUI en dehors de l’enclave, puis à les faire circuler par habitude.

Voici un schéma courant :

• Un plan, un extrait de spécification ou une exigence contractuelle est collé dans une note de dossier suiveur, une instruction de travail PDF ou un modèle d’inspection.
• Cet artefact est exporté, imprimé ou envoyé par e-mail pour répondre à une contrainte de planning.
• Le fichier se retrouve dans des lecteurs partagés, des boîtes de réception personnelles ou des partages de fichiers non maîtrisés.
• Personne ne peut prouver qui y a accédé, qui l’a modifié, ni si l’atelier a utilisé la dernière révision.

Si vous ne pouvez pas tracer qui l’a consulté et quelle révision a été utilisée, le problème n’est pas administratif. Le problème relève de la conception du système.

À l’inverse, une bonne pratique est sobre et cohérente :

• Les dossiers suiveurs référencent les documents maîtrisés par identifiant et révision, et non par contenu copié-collé.
• Les documents maîtrisés sont fournis via des systèmes authentifiés avec journalisation des accès.
• Les exports sont restreints, filigranés ou acheminés par des processus de diffusion maîtrisée.
• L’accès au point d’utilisation est fondé sur les rôles et limité dans le temps, avec une procédure claire de retrait des accès.

Il ne s’agit pas de viser la perfection. Il s’agit de réduire les voies non maîtrisées qui créent des preuves invérifiables.

Un exemple concret : structurer les preuves autour du cycle de vie d’un dossier suiveur

Considérez un assemblage géré par lot avec un dossier suiveur numérique et deux opérations d’inspection. Il n’est pas nécessaire d’inventer une entreprise fictive pour rendre cela concret. La plupart des ateliers aérospatiaux exécutent une variante de ce flux.

Un dossier de preuves prêt pour audit concernant ce dossier suiveur devrait inclure :

• Enregistrement de création du dossier suiveur : qui l’a libéré, selon quelle révision de gamme, avec un lien vers l’ensemble approuvé d’instructions de travail.
• Preuve de propagation des révisions : une démonstration que, si l’instruction de travail est révisée, soit le dossier suiveur est de nouveau libéré, soit le système empêche la poursuite de l’exécution sous la révision obsolète.
• Application des qualifications : la preuve que l’opérateur réalisant l’opération 20 était qualifié sur la procédure requise au moment de l’exécution.
• Intégrité des résultats d’inspection : des enregistrements d’inspection liés à la généalogie des lots et des numéros de série, avec des modifications maîtrisées et une piste d’audit.
• Parcours de non-conformité : si une NCR est émise, montrer le lien entre l’étape du dossier suiveur, l’enregistrement NCR, la disposition et l’autorisation de reprise.

Remarquez ce qui manque. Il n’y a pas de récit de politique qualité. Il y a un ensemble d’enregistrements liés, produits par le système, qui démontrent la maîtrise de l’exécution et l’intégrité des enregistrements.

Comment rendre cela viable sous contraintes réelles

La plupart des équipes ne manquent pas d’intention. Elles manquent de temps et opèrent sous pression sur les marges. L’objectif est de réduire la préparation d’audit sur mesure en standardisant la production des preuves.

Des actions pratiques qui tendent à produire rapidement des résultats :

• Définir un système de référence unique pour les identités, et imposer son utilisation par le MES et les outils qualité.
• Standardiser les modèles de dossiers suiveurs afin que les références maîtrisées soient des identifiants, et non du contenu intégré.
• Imposer un comportement maîtrisé des révisions au point d’utilisation. Les instructions obsolètes ne devraient pas rester disponibles tout en étant simplement déconseillées. Elles devraient être indisponibles.
• Rendre les journaux d’audit consultables par les propriétaires de processus, et pas seulement par l’IT. Si les journaux existent mais que personne ne les examine, ce sont des preuves faibles.
• Construire un dossier de preuves répétable pour une famille de produits représentative, puis étendre ce modèle.

C’est une logique d’infrastructure. Vous concevez le système de sorte que les opérations normales génèrent, comme sous-produit, des artefacts au niveau attendu pour la conformité.

Appel à l’action mesuré

Si vous cherchez à aligner les preuves CMMC et NIST 800-171 avec les flux de travail MES et qualité, échangez avec un ingénieur qui comprend à la fois les attentes d’audit et la réalité de l’exécution. Contactez Connect 981 pour examiner les limites de votre système et votre approche de constitution des dossiers de preuves avant que les évaluations ne se transforment en interruptions de production.

Sources

• DFARS 252.204-7021 Conformité des contractants aux exigences de niveau CMMC
• DFARS 252.204-7025 Avis relatif aux exigences de niveau CMMC
• DFARS Sous-partie 204.75 Cybersecurity Maturity Model Certification
• NIST SP 800-171 Rev. 3 Protection des informations contrôlées non classifiées
• NIST SP 800-171A Rev. 3 Méthodologie d’évaluation