Sécurisée et Composable: une stratégie de plateforme pour la fabrication dans le domaine de la défense

Dans le secteur de la fabrication aérospatiale et de défense, la croissance dépend de deux capacités qui sont souvent en tension : la sécurité et l'adaptabilité.

Si vous traitez des informations classifiées (CUI), soutenez des programmes du ministère américain de la Défense (DoD) ou envisagez de soumissionner pour ceux-ci, votre environnement numérique fait l'objet d'une surveillance constante. Les exigences CMMC prennent forme. Les principaux contractants renforcent leurs attentes en matière de transfert. Les audits informatiques influencent désormais votre éligibilité à un contrat.

Par ailleurs, l'amélioration des opérations est déjà suffisamment complexe. L'augmentation du débit, la réduction des retouches, le maintien de la traçabilité et la mise à l'échelle entre les programmes sollicitent déjà considérablement les équipes d'ingénierie, de qualité et informatiques. L'ajout d'exigences fédérales en matière de sécurité peut ralentir considérablement le processus de changement.

Le défi ne consiste pas à choisir entre une adaptabilité continue et la conformité, mais plutôt à déterminer si vos systèmes sont conçus pour prendre en charge à la fois la sécurité et le contrôle des changements.

Vous avez probablement déjà observé ce schéma. Une nouvelle solution logicielle nécessite une évaluation de sécurité. L'expansion vers un autre site augmente la complexité. L'ajout d'un outil de qualité spécialisé implique l'évaluation, la documentation et la surveillance d'un autre fournisseur.

Au fil du temps, la pile perd de sa cohésion. Les systèmes se chevauchent. Les contrôles varient selon l'environnement. La documentation est dispersée à de nombreux endroits. Ce qui était au départ une solution pratique à un problème se transforme en une charge administrative supplémentaire.

Par ailleurs, certains systèmes hérités qui ont passé avec succès les contrôles de sécurité il y a plusieurs années sont désormais trop rigides pour répondre aux besoins actuels de production. L'ingénierie recherche l'itération. Les opérations recherchent la flexibilité sur le terrain. La qualité recherche la traçabilité. L'informatique recherche le contrôle.

Lorsque la plateforme ne peut pas prendre en charge les quatre éléments, les équipes finissent par trouver des solutions de contournement. Les feuilles de calcul réapparaissent. Des processus parallèles s'installent. L'exposition aux audits augmente.

L'adaptabilité et l'assurance doivent fonctionner au sein de la même architecture. Cela nécessite une plateforme conçue dès le départ pour gérer les deux aspects.

Tulip obtenu la certification FedRAMP Moderate Equivalency, alignant ainsi notre plateforme sur les normes fédérales utilisées pour les charges de travail réglementées et liées à la défense.

Pour les fabricants, l'impact va au-delà de la désignation.

FedRAMP Moderate correspond à un ensemble défini de contrôles de sécurité concernant la gestion des accès, la protection des données, la journalisation, la réponse aux incidents et la surveillance continue. Lorsque votre système de production se trouve à l'intérieur de cette limite, vous partez d'une position de contrôle documenté et structuré plutôt que de le reconstruire pour chaque programme.

Au lieu d'assembler des solutions ponctuelles qui nécessitent chacune un examen distinct, vous pouvez vous standardiser sur une base sécurisée unique et vous développer à partir de celle-ci. Les instructions de travail, eDHR , les workflows qualité, la gestion des écarts et les processus de traçabilité fonctionnent sous le même niveau de sécurité.

Cela modifie les discussions avec les clients et les auditeurs. Vous n'expliquez plus comment vous comptez gérer les risques. Vous démontrez comment ils sont déjà gérés au niveau de la plateforme.

Les fabricants qui envisagent de se développer dans le secteur de la défense et d'autres secteurs réglementés prennent des décisions structurelles réfléchies.

Chaque système qui traite données de production la portée des audits, les risques liés à l'intégration et les frais généraux liés à la documentation. Au lieu de gérer des outils distincts pour les instructions de travail, les enregistrements qualité, la traçabilité et les écarts, les équipes de direction regroupent ces flux de travail au sein de Tulip. Moins de systèmes signifie moins de frontières à défendre, moins de fournisseurs à réévaluer et moins de revalidations à effectuer à mesure que les programmes se développent.

Alors que Pratt Miller Engineering passait à la production à grande échelle, les exigences des clients continuaient d'évoluer. À l'aide de Tulip, ils ont mis à jour des ensembles d'instructions modulaires tout en conservant le contrôle des révisions et l'alignement des opérateurs. Les modifications ont été mises en œuvre rapidement, mais toujours dans le cadre d'un système réglementé.

Dans le cadre d'appels d'offres réglementés, faire preuve d'une adaptabilité maîtrisée est un signe de maturité. Les clients y voient à la fois de la flexibilité et de la rigueur.

Chez Avon Technologies, les initiatives Lean et Kaizen ont progressé plus rapidement une fois que l'amélioration a été intégrée à la couche numérique. Les équipes ont utilisé des modèles d'application partagés et des structures de données standardisées pour tester et déployer des changements en quelques heures tout en maintenant la gouvernance. Si une nouvelle étape d'inspection ou une nouvelle exigence en matière de données apparaissait, les ingénieurs pouvaient mettre à jour l'application le jour même sans compromettre l'intégrité du système.

La conformité n'était pas en marge des efforts d'amélioration. Elle était intégrée dans la manière dont les changements étaient mis en œuvre.

Les évaluations CMMC examineront la manière dont les systèmes traitant les informations confidentielles non classifiées (CUI) sont configurés, accessibles et surveillés. Avec Tulip sur une infrastructure conforme aux contrôles FedRAMP Moderate, les flux de travail opérationnels et la posture de sécurité sont connectés. L'accès basé sur les rôles, les pistes d'audit et capture des données structurée capture des données intégrés à l'exécution, ce qui réduit le risque de refonte perturbatrice du système ou de modernisation des contrôles lorsque les évaluations formelles commencent.

Dans le secteur manufacturier réglementé, la croissance dépend de l'architecture. Les équipes qui prennent de l'avance développent des systèmes qui prennent en charge à la fois l'évolutivité, le changement contrôlé et la sécurité.

Les exigences en matière de sécurité continueront d'évoluer. Le CMMC gagnera en maturité. Les audits clients deviendront plus détaillés. Les attentes en matière de classification des données seront renforcées.

Si vos systèmes de production ne parviennent pas à suivre le rythme, la croissance ralentit.

L'équivalence FedRAMP Moderate constitue une étape vers une infrastructure capable d'absorber ces changements sans perturbation constante. Chez Tulip, nous nous efforçons d'aider les fabricants à améliorer leur rendement, à réduire les écarts et à maintenir la traçabilité tout en opérant dans le cadre d'un modèle de sécurité conçu pour une croissance réglementée.

Dans les environnements réglementés, les fabricants qui progressent sont ceux qui considèrent la sécurité comme faisant partie intégrante de leur système de production, et non comme une couche ajoutée a posteriori.