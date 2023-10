Les entrepreneurs fédéraux devront surveiller de près un site Web d’acquisition gouvernemental pour détecter les directives interdisant les produits et services pour des raisons de sécurité, similaires à l’interdiction de Huawei, en vertu d’une nouvelle règle publiée ce mois-ci et qui devrait entrer en vigueur début décembre.

Le ministère de la Défense, l’administration des services généraux et la NASA ont publié une règle provisoire la semaine dernière, expliquant comment les entrepreneurs devront se conformer aux ordonnances du Conseil fédéral de sécurité des acquisitions.

Le conseil a été créé dans le cadre de la SECURE Technology Act de 2018. Il a le pouvoir d’émettre des recommandations visant à retirer ou à exclure des produits et services des chaînes d’approvisionnement fédérales.

« Collectivement, les exigences de partage d’informations et la mise en œuvre des ordonnances de la FASCSA permettront de répondre aux risques dans les chaînes d’approvisionnement en réduisant ou en supprimant les menaces et les vulnérabilités susceptibles de conduire au vol de données et de propriété intellectuelle, à des dommages aux infrastructures critiques, aux systèmes d’information fédéraux et à dégrader autrement notre sécurité nationale », stipule la règle provisoire.

« Cette règle contribuera également à rendre les chaînes d’approvisionnement et les systèmes d’information du gouvernement plus résilients et moins sujets aux perturbations qui pourraient avoir un impact sur les opérations gouvernementales », ajoute-t-il.

Chris DeRusha, responsable fédéral de la sécurité de l’information et président du FASC, a déclaré que la règle provisoire définit les procédures clés sur la manière dont le conseil mènera son travail.

« Soyons francs sur ce dont nous parlons : retirer potentiellement aux entreprises la possibilité de soumissionner pour des contrats fédéraux et arracher la technologie des environnements actuels, potentiellement », a déclaré DeRusha dans une interview après avoir pris la parole lors du dernier cyber-sommet d’ACT-IAC. semaine. « C’est pourquoi il s’agit d’une autorité si importante et si importante. Et il y a beaucoup d’informations ici sur la façon dont cela va fonctionner de manière plus détaillée.

Les nouvelles règles d’acquisition entreront en vigueur le 4 décembre.

Les réglementations donnent aux agents fédéraux chargés des contrats la possibilité de mettre en œuvre des ordonnances de suppression ou d’exclusion dans « les contrats fédéraux existants et nouveaux et de partager des informations pertinentes sur les risques potentiels de la chaîne d’approvisionnement », indique la règle provisoire. « Ces procédures réduisent l’exploitation des vulnérabilités, rendant ainsi la chaîne d’approvisionnement plus résiliente. »

Il n’est pas clair si le conseil envisage d’interdire des produits ou des services spécifiques à court terme.

« Je ne peux pas faire beaucoup de commentaires à ce sujet pour le moment », a déclaré DeRusha. « Je peux simplement dire que nous sommes très occupés au sein du FASC et que nous travaillons également à accroître notre capacité et à disposer véritablement des ressources dont nous avons besoin pour pouvoir assumer ce qui pourrait devenir un jour une charge de travail assez importante. Je suis donc vraiment concentré sur la garantie que nous sommes prêts à réussir.

Les responsables fédéraux se sont principalement préoccupés des produits des technologies de l’information et des communications susceptibles de présenter des risques pour la sécurité.

En 2017, le ministère de la Sécurité intérieure a banni Kaspersky des réseaux fédéraux en raison des liens présumés de la société de cybersécurité avec les services de sécurité russes.

Et dans la loi d’autorisation de la défense nationale de 2019, le Congrès a adopté l’article 889 qui interdit à cinq principaux fournisseurs chinois de télécommunications et de technologies, dont Huawei et ZTE, d’accéder aux réseaux d’agences et d’entrepreneurs fédéraux.

Plus récemment, les interdictions de la NDAA de 2023 interdisent aux agences de faire affaire avec des entreprises qui dépendent de certains fabricants chinois de semi-conducteurs.

Le nouveau processus du FASC vise à transférer les décisions concernant les questions de sécurité de la chaîne d’approvisionnement vers le pouvoir exécutif.

« Cela pourrait signifier la fin de l’implication du Congrès dans l’identification des entreprises, à moins que le FASC n’agisse pas assez vite pour elles », a déclaré Eric Crusius, avocat fédéral chargé des contrats chez Holland & Knight, dans une interview.

« Cela permettra certainement au gouvernement de travailler plus rapidement et plus efficacement pour exclure les sources et les produits qui, selon lui, présentent un risque déraisonnable pour la chaîne d’approvisionnement », a-t-il ajouté.

Les délibérations du conseil se dérouleront cependant de manière beaucoup plus privée que les querelles du Congrès sur des questions telles que l’interdiction de l’article 889.

« Nous ne savons pas s’ils vont passer une commande tous les deux ans, ou s’ils vont en passer 10 tous les trois ou quatre mois ? » Tracye Howard, avocate fédérale chargée des contrats chez Wiley Rein, a déclaré dans une interview. « Leur processus est un peu une boîte noire. Nous ne savons donc pas vraiment ce qu’ils pourraient envisager, et ils ne le feront pas, jusqu’à ce qu’un ordre soit rendu.»

En vertu de la règle provisoire, les entreprises qui soumissionnent pour un contrat doivent rechercher l’expression « commande FASCA » sur Sam.gov pour trouver des produits ou services interdits. Pendant ce temps, les entreprises déjà sous contrat devraient effectuer une recherche au moins une fois tous les trois mois, stipule la règle, pour vérifier la présence de produits interdits.

« Tout au long de l’exécution du contrat, les entrepreneurs seront tenus de se présenter au responsable des contrats dès qu’ils se rendront compte qu’un article, un produit ou un service couvert faisant l’objet d’une commande de la FASCSA a été livré au gouvernement ou utilisé dans l’exécution du contrat », indique la règle. .

« La communication de ces informations à l’agent contractant fournira au gouvernement les informations nécessaires pour évaluer le risque et prendre une décision sur la manière de procéder », ajoute-t-il.

Les commandes couvrent également des produits ou des services utilisés « dans l’exécution d’un contrat », un domaine qui peut être difficile à définir, a déclaré Howard.

« Que cela signifie soutenir directement le contrat ou requis par le contrat, ou si cela inclut des fonctions de type back-office, c’est pour moi un domaine qui n’est pas clair dans la règle provisoire telle qu’elle est rédigée », a-t-elle déclaré.

Comme il incombe aux entrepreneurs de surveiller Sam.gov pour détecter de nouvelles ordonnances de suppression ou d’exclusion, Howard a suggéré que les entreprises doivent être « sur le terrain » pour comprendre leurs obligations. Le non-respect des directives pourrait entraîner une rupture de contrat ou d’éventuelles allégations en vertu de la False Claims Act.

« En particulier compte tenu des exigences de surveillance continue, ce n’est pas un domaine dans lequel vous pouvez soumettre votre proposition et penser que vous êtes conforme et passer à autre chose », a-t-elle déclaré. « Vous allez peut-être vraiment disposer d’un personnel dédié à la sécurité de la chaîne d’approvisionnement qui sera responsable de toutes les réglementations qui seront mises en place dans ce domaine. »

Copyright © 2023 Réseau d’information fédéral. Tous droits réservés. Ce site Web n’est pas destiné aux utilisateurs situés dans l’Espace économique européen.