Qu'est-ce qu'une information non classifiée contrôlée (CUI) et le programme CUI ?
La capacité toujours plus grande de partager l'information est une arme à double tranchant. D'une part, il est beaucoup plus facile de communiquer et de travailler plus efficacement, mais cela signifie aussi moins de contrôle sur les informations partagées et plus de personnes qui consultent les données. Cette tendance, ainsi que les marquages, les politiques et les procédures ad hoc et spécifiques aux agences, ont conduit le gouvernement américain à développer un cadre de classification normalisé qui protégerait les informations non classifiées contrôlées (CUI) sans en entraver le partage autorisé. Le programme CUI du gouvernement fédéral, mis en œuvre en 2010, normalise la manière dont toutes les agences gouvernementales et entités militaires américaines traitent les informations non classifiées qui nécessitent une protection. Elle clarifie et limite les types d'informations à protéger, renforce la législation et la réglementation existantes et encourage l'échange autorisé d'informations.
Avant d'entrer dans les détails du programme CUI et des mesures que les organisations peuvent prendre pour s'assurer que les CUI sont correctement sécurisés, nous devons d'abord comprendre ce que sont les CUI. La National Archives and Records Administration (NARA), qui supervise le programme CUI du gouvernement américain, définit les CUI comme des "informations qui nécessitent des contrôles de sauvegarde ou de diffusion conformément à la loi, aux réglementations et aux politiques gouvernementales applicables"." En termes simples, les CUI sont des données créées ou détenues par le gouvernement fédéral américain ou en son nom, qui ne sont pas classifiées mais qui doivent ou peuvent être protégées en vertu d'une loi, d'un règlement ou d'une politique. Il peut s'agir, entre autres, des éléments suivants :
- Informations personnelles identifiables (IPI)
- Informations sensibles et personnellement identifiables (SPII)
- Informations commerciales exclusives (PBI), ou actuellement connues aux États-Unis.
- L'Agence pour la protection de l'environnement (EPA) en tant qu'entreprise confidentielle
- Information (CBI)
- Informations techniques non classifiées et contrôlées (UCTI)
- Sensibles mais non classifiés (SBU)
- Réservé à l'usage officiel (FOUO)
- Sensible à l'application de la loi (LES)
Naviguez en toute confiance dans la complexité des CUI
Regardez la démonstration de DCS for CUI
À qui s'adresse le programme CUI ?
Les marquages CUI doivent être mis en œuvre non seulement par les agences fédérales, mais aussi par les contractants et les sous-traitants susceptibles de manipuler des informations gouvernementales. Pour tous les contractants et sous-traitants du ministère américain de la défense, le ministère de la défense (DoD) a publié des mesures normatives visant à garantir le respect des exigences en matière de protection des informations centrales. En vertu du Defense Federal Acquisition Regulation Supplement (DFARS) 252.204-7012 du DoD, la mise en œuvre des contrôles identifiés dans la publication spéciale 800-171 (NIST SP 800-171) du National Institute of Standards and Technology,"Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations", doit être mise en place au 31 décembre 2017.
D'autres agences de l'exécutif peuvent également exiger des entités non fédérales, y compris des contractants, qu'elles respectent la norme NIST SP 800-171 lorsqu'elles partagent des CUI dans le cadre de contrats, de protocoles d'accord ou de règles d'acquisition. La norme NIST SP 800-171 fournit un ensemble normalisé d'exigences pour tous les besoins de sécurité des CUI, adaptées aux systèmes non fédéraux. La principale différence entre le programme CUI et la norme NIST SP 800-171 est que le programme CUI a établi un cadre CUI standardisé pour les militaires et le gouvernement uniquement, alors que la norme NIST SP 800-171 a été mise en œuvre plus tard et est spécifique aux entrepreneurs et autres entités non fédérales.
Découvrez comment nous pouvons vous aider à répondre aux exigences de conformité du NIST SP 800-71.
CONSULTEZ LA FICHE TECHNIQUE
Marques, catégories et politiques CUI
Le cœur du programme CUI a été exprimé dans l'Executive Order (EO) 13556 appelant à "un programme ouvert et uniforme pour gérer toutes les informations non classifiées..." avec un élément clé qui est que toutes les CUI sont étiquetées avec des marques visuelles appropriées qui indiquent comment les parties en aval doivent traiter les données réglementées. Le cadre utilise des marquages pour alerter les détenteurs de CUI de la présence de CUI et, lorsque des marquages de portions sont utilisés, pour identifier l'information ou la portion exacte qui doit être protégée. En outre, ces marquages alertent également les détenteurs sur les contrôles de diffusion et de sauvegarde des CUI qui doivent être effectués.
Fonctionnement des marquages CUI
Le CUI Marking Handbook, publié par NARA, décrit la manière dont les marquages CUI doivent apparaître visuellement dans les documents et les courriels. Il existe actuellement 125 catégories de CUI, et chacune d'entre elles possède ses propres marques. Outre le nombre de marquages que les organisations doivent comprendre et utiliser, la NARA a publié des lignes directrices détaillées sur la manière dont les marquages doivent être formatés. Les marquages de la bannière doivent inclure des marquages CUI pour chaque catégorie d'information contenue dans le document, ainsi que des marquages qui dictent les protocoles de diffusion et de libération. Les marques doivent également apparaître dans un certain ordre, et certaines comportent des informations correspondantes qui doivent être incluses en bas de page du document, avec un jargon juridique supplémentaire, des informations de contact et d'autres détails. Des règles similaires existent également pour les courriers électroniques.
Catégories et sous-catégories de CUI
Si les marquages indiquent le type d'informations contenues dans le document ou le courrier électronique, ce sont les catégories CUI qui déterminent la manière dont les informations doivent être traitées et qui fournissent des instructions concernant leur diffusion. Il est recommandé d'utiliser trois catégories de CUI, qui doivent être clairement visibles dans l'en-tête et le pied de page des documents pertinents :
CUI de base
CUI spécifié
Diffusion limitée
Conséquences en cas de non-respect
Les organisations qui ne prennent pas de mesures pour se conformer au cadre CUI risquent de perdre des contrats existants ou de rater des opportunités futures. Le fait de ne pas protéger correctement les CUI a également des conséquences : une fuite de données exposant un client ou enfreignant une réglementation peut entraîner une atteinte à la réputation, des amendes, des pénalités supplémentaires, des poursuites judiciaires et une perte d'activité/de revenus. Bien que ces marquages et politiques établissent des contrôles uniformes et standardisés pour la manière dont les CUI sont traités, le processus de mise en œuvre de ces marquages CUI dans les données de l'agence est complexe, prend du temps et manque parfois de clarté.
En outre, avec autant de catégories et de lignes directrices complexes à suivre, l'erreur humaine peut être un problème. Il est facile pour un utilisateur de ne pas voir le contenu sensible d'un document et de ne pas étiqueter correctement ces informations. En ne marquant pas correctement la partie "Diffusion" du document, celui-ci pourrait être accidentellement partagé avec des parties non autorisées.
Comment Data Classification assure la sécurité des CUI
La classification des données préconfigurée, conçue spécifiquement pour traiter les CUI, rationalise le processus pour les courriers électroniques et les documents, ce qui permet aux utilisateurs de mettre en œuvre facilement le cadre CUI de manière précise et cohérente. Lorsqu'un document est enregistré ou qu'un courrier électronique est envoyé, le contenu est analysé à la recherche d'éventuelles données sensibles et les marquages CUI appropriés sont automatiquement appliqués. En plus des marques visuelles requises par le cadre CUI, les étiquettes sont intégrées dans les propriétés du fichier en tant que métadonnées. Ces métadonnées orientent les actions des solutions de sécurité et de gestion des données de l'entreprise en aval, telles que Data Loss Prevention (DLP ) et Secure Collaboration, ce qui permet d'accéder aux CUI ou de les utiliser uniquement conformément aux règles qui correspondent à leur classification. Afin de s'assurer que les CUI sont traités de manière appropriée, les organisations doivent être en mesure de suivre les activités CUI illégales, non autorisées ou inappropriées. L'utilisation d'outils de contrôle et de reporting vous permet de suivre la manière dont les CUI sont accessibles, utilisés et classifiés dans votre entreprise. Cela permet non seulement d'assurer la conformité des CUI, mais aussi de mettre en évidence les possibilités de formation des utilisateurs et d'amélioration de la sensibilisation aux CUI.
Au fur et à mesure que le cadre CUI évolue, l'utilisation d'outils de contrôle et de reporting fournira les informations nécessaires pour faire évoluer l'approche en fonction des changements. En fin de compte, il incombe au détenteur d'une CUI d'honorer les marquages de la CUI et d'assurer une protection adéquate. La mise en œuvre d'une solution logicielle qui applique automatiquement les marquages CUI garantit que les CUI restent dans le domaine approuvé et ne sont consultés que par le public approprié, tout en permettant aux utilisateurs de s'engager et de partager l'information en toute confiance pour une meilleure collaboration et une plus grande productivité. Dans le monde numérique d'aujourd'hui où les informations sont partagées, une solution préconfigurée pour identifier, détecter et répondre aux CUI dans les processus d'affaires, les documents et les courriels quotidiens est essentielle pour toute organisation susceptible d'être confrontée à des CUI dans son secteur.
Pourquoi choisir le DCS de Fortra pour CUI Config ?
Les entreprises peuvent se mettre en conformité en prenant des mesures pour maîtriser les principes de classification des données et mettre en œuvre les processus, les outils et la formation qui permettront un étiquetage cohérent et précis, tel que défini dans leur politique de gouvernance des données et exigé par la norme NIST SP 800-171. Grâce à cette capacité, les organisations peuvent facilement démontrer qu'elles sont en mesure de reconnaître et de gérer les CUI avec les métadonnées et les marquages visuels appropriés, tels que définis dans le registre de la NARA. En adoptant ce cadre, les organisations démontreront non seulement leur capacité à protéger les données réglementées, mais elles amélioreront également leur capacité à être compétitives pour les nouvelles opportunités qui stockent, traitent ou transmettent des CUI. La suite de produits de classification des données de Fortra permet de se conformer aux réglementations du NIST :
Assurer un contrôle approprié des informations confidentielles ou sensibles
Classer ou étiqueter les données à l'aide d'étiquettes visuelles (et de métadonnées) afin de mettre en évidence toute exigence particulière en matière de traitement.
Alerter les utilisateurs lorsque des données personnelles quittent l'organisation afin de les prévenir ou de les empêcher d'envoyer des messages contenant des informations sensibles.
Sensibiliser les utilisateurs à la sensibilité des données tout en garantissant le respect de la politique de l'entreprise.
La configuration de Fortra pour les CUI
Découvrez comment nous facilitons pour votre agence l'application précise et sécurisée des marquages CUI qui sont conformes à toutes les réglementations afin de protéger de manière appropriée les informations gouvernementales sensibles.