Ce guide explique comment les professionnels de la cybersécurité peuvent obtenir une habilitation de sécurité. Les habilitations de sécurité sont une facette importante du travail dans l’industrie de la cybersécurité et ce guide décrira les différents types d’habilitations de sécurité, les types d’emplois nécessitant des habilitations de sécurité et le processus à suivre pour obtenir une habilitation de sécurité.

Bien sûr, il existe d’autres types d’habilitations de sécurité délivrées par d’autres entités gouvernementales et non gouvernementales à travers le monde, mais en pratique, la portée de cette discussion se limitera à celle des habilitations délivrées par des agences du gouvernement fédéral américain.

Aperçu de l’habilitation de sécurité

Toutes les personnes employées par le gouvernement fédéral des États-Unis subissent une enquête de base sur leurs antécédents criminels et leurs antécédents de crédit. Cela garantit que tous les employés fédéraux sont « fiables, dignes de confiance, de bonne conduite et de caractère, et d’une loyauté totale et indéfectible envers les États-Unis. »

De plus, les postes fédéraux qui incluent l’accès à des informations sensibles nécessitent une habilitation de sécurité. Cela comprend les personnes employées par des entreprises privées à titre d’entrepreneur pour le gouvernement fédéral. Cette autorisation doit être obtenue afin de déterminer la fiabilité et la fiabilité du demandeur avant de lui accorder l’accès aux renseignements sur la sécurité nationale.

Les habilitations de sécurité sont structurées de manière hiérarchique, chaque désignation indiquant le niveau maximal d’informations classifiées auxquelles le titulaire de l’habilitation peut accéder. Du moins restrictif au plus restrictif, les niveaux de classification sont les suivants :

• Confidentiel Ce type d’habilitation de sécurité donne accès à des informations qui peuvent nuire à la sécurité nationale si elles sont divulguées sans autorisation. Il doit être réexaminé tous les 15 ans.
  Une autorisation confidentielle nécessite une Vérification de l’Agence Nationale avec une Vérification de l’Agence Locale et une Vérification de Crédit (NACLC).

• Secret Ce type d’habilitation de sécurité donne accès à des informations qui peuvent causer de graves dommages à la sécurité nationale si elles sont divulguées sans autorisation. Il doit être réexaminé tous les 10 ans.
  Une habilitation secrète nécessite une NACLC et une enquête de crédit; elle doit également être réexaminée tous les 10 ans. Les exigences en matière d’enquête pour les autorisations du Département de la Défense (DoD), qui s’appliquent à la plupart des situations d’entrepreneur civil, sont contenues dans la publication du Programme de sécurité du personnel connue sous le nom de Règlement 5200.2-R du DoD, à la partie C3.4.2.

• Très secret (TS) Ce type d’habilitation de sécurité donne accès à des informations qui peuvent causer des dommages exceptionnellement graves à la sécurité nationale si elles sont divulguées sans autorisation. Il doit être réexaminé tous les cinq ans.
  Top Secret est une autorisation plus stricte. Une autorisation TS est souvent donnée à la suite d’une enquête sur les antécédents à portée unique (SSBI). Les autorisations TS, en général, permettent un accès à des données qui affectent la sécurité nationale, le contre-terrorisme / contre-espionnage ou d’autres données hautement sensibles. Il y a beaucoup moins d’individus avec des autorisations TS que des autorisations secrètes. Dans la plupart des cas, une personne ayant une habilitation Très secrète subit une nouvelle enquête tous les cinq ans.

Le fait d’avoir obtenu un certain niveau d’habilitation de sécurité ne signifie pas que le titulaire de l’habilitation a automatiquement accès ou a accès aux informations autorisées pour ce niveau d’habilitation. Afin de traiter légalement les informations classifiées, le titulaire de l’autorisation doit avoir un « besoin de savoir” clair en plus du niveau d’autorisation approprié pour les informations. Le besoin de savoir est généralement déterminé par un agent de divulgation affecté au bureau d’origine pour les informations classifiées.

Il existe également deux catégories d’informations classifiées qui nécessitent des restrictions de manipulation et d’accès supplémentaires :

• Les informations compartimentées sensibles (SCI), qui comprennent les sources, les méthodes et les processus de renseignement.
  Comme pour une autorisation TS, une autorisation SCI n’est attribuée qu’après que le candidat a subi les rigueurs d’un SSBI et d’un processus spécial d’évaluation de l’enquête. L’accès au SCI, cependant, n’est attribué que dans les « compartiments”. Ces compartiments sont nécessairement séparés les uns des autres par rapport à l’organisation de sorte qu’une personne ayant accès à un compartiment n’aura pas nécessairement accès à un autre. Chaque compartiment peut inclure ses propres exigences spéciales supplémentaires et son processus de dédouanement. Une personne peut avoir accès à un compartiment ou y être lue pendant n’importe quelle période de temps.
• Programmes d’accès spécial (SAP), qui sont des projets et des programmes très sensibles.
  Le DoD établit des SAP lorsque la vulnérabilité d’informations spécifiques est considérée comme exceptionnelle et que les règles normales pour déterminer l’éligibilité à l’accès ne sont pas considérées comme suffisantes pour protéger les informations. Les SAP sont généralement utilisés pour renforcer les mesures de sécurité qui appliquent strictement le besoin de savoir. Le nombre de personnes autorisées à accéder à de tels programmes reste généralement faible. Les informations sur les nouvelles technologies militaires, par exemple, nécessitent souvent un tel accès spécial.

Ces catégories spéciales concernent les informations classifiées jugées particulièrement vulnérables, et les normes d’admissibilité et les exigences d’enquête pour l’accès aux autorisations SCI et SAP sont plus élevées que pour les autres autorisations.

Les habilitations de sécurité ne sont actives que pour le moment où une personne occupe l’emploi initial pour lequel l’habilitation a été désignée. Un titulaire d’autorisation peut faire l’objet d’une nouvelle enquête en tout temps, mais un examen officiel est requis après le nombre d’années prescrit.

Une autorisation peut être réactivée dans certains cas sans passer à nouveau par l’ensemble du processus d’enquête. Cependant, la rupture d’emploi du candidat doit être inférieure à deux ans et l’enquête initiale ne peut pas avoir plus de 5, 10 ou 15 ans pour les catégories top secret, secret et confidentiel, respectivement.

Historique des habilitations de sécurité

L’autorité pour classer les informations et accorder des habilitations de sécurité pour accéder à ces informations se trouve dans les décrets exécutifs (EOS) et la loi fédérale américaine. Les origines des habilitations de sécurité remontent à la Loi Pendleton de 1883 qui exigeait que les candidats à un emploi fédéral possèdent le caractère, la réputation, la fiabilité et l’aptitude à l’emploi requis.

En 1941, le décret exécutif 8781 prévoyait que tous les employés fédéraux devaient faire l’objet d’empreintes digitales et d’une enquête par le FBI et, en 1948, le DoD unifiait le programme de sécurité militaire et mettait en œuvre des normes et des procédures similaires à celles mises en vigueur pour les civils en vertu de l’E.O. 9835.

Le décret exécutif 10450 (1953) a remplacé E.O. 9835 et exigeait des enquêtes sur les employés fédéraux pour s’assurer de leur fiabilité, de leur fiabilité, de leur bonne conduite et de leur caractère, ainsi que de leur loyauté envers les États-Unis. Elle exigeait que l’emploi soit  » clairement compatible avec l’intérêt de la sécurité nationale.”

À l’heure actuelle, les renseignements sur la sécurité nationale (INS) sont classés sous l’OT 13526, avec une certaine latitude supplémentaire fournie par la Directive 4 sur les Agents exécutifs de sécurité, Lignes directrices sur les décisions relatives à la sécurité nationale.

Emplois nécessitant une habilitation de sécurité

De nombreuses agences fédérales et sous-traitants fédéraux travaillant avec ces agences exigent nécessairement que leurs employés détiennent des habilitations de sécurité pour faire leur travail.

Quelle que soit la description de poste, l’emploi au sein de certaines agences gouvernementales est plus susceptible de nécessiter une habilitation de sécurité. L’emploi dans un établissement sécurisé par le gouvernement nécessite également une habilitation de sécurité. Voici des exemples d’organismes qui peuvent exiger des niveaux d’autorisation plus élevés ::

• Central Intelligence Agency
• Homeland Security
• Defense Intelligence Agency
• Office of National Security Intelligence
• Drug Enforcement Administration
• Federal Bureau of Investigation
• National Geospatial-Intelligence Agency
• National Reconnaissance Office

Toute personne ayant accès à des données classifiées nécessite une autorisation au niveau ou supérieure au niveau auquel les données qu’elle doit traiter sont classifiées. Pour cette raison, des habilitations de sécurité sont requises pour un large éventail d’emplois, de la haute direction à la conciergerie. Les postes qui peuvent nécessiter une habilitation de sécurité comprennent les secrétaires, les agents de sécurité, les bibliothécaires, les administrateurs de systèmes et le personnel de soutien informatique qui ont accès à des documents ou à des systèmes classifiés.

Le rapport de décembre 2017 du Bureau de la responsabilité du gouvernement des États-Unis (GAO) au Congrès indique: « Au 1er octobre 2015, date la plus récente pour laquelle des données sont disponibles, environ 4,2 millions d’employés du gouvernement et des entrepreneurs, dans près de 80 agences de l’exécutif, étaient éligibles pour détenir une habilitation de sécurité.”

Le processus d’obtention d’une habilitation de sécurité

Avant même que le processus d’obtention d’une habilitation de sécurité puisse commencer, il doit exister un besoin vérifiable pour la personne qui demande l’habilitation d’en détenir une. Bien que les entreprises qui ont des contrats ou des subventions avec le gouvernement fédéral puissent exiger des employés qu’ils aient une habilitation de sécurité, aucune entreprise qui n’a pas de contrat avec le gouvernement fédéral ne peut demander une habilitation de sécurité de manière indépendante.

Une fois que l’agence ou l’entrepreneur a sélectionné un candidat à embaucher, le candidat recevra une offre d’emploi qui peut dépendre de l’obtention d’une habilitation de sécurité. Une enquête approfondie sur les antécédents a lieu une fois l’offre acceptée et les formulaires requis remplis.

La portée de l’enquête sur les antécédents requise dépend des exigences du poste ainsi que du niveau d’habilitation de sécurité requis pour le poste. Ce processus peut prendre plusieurs mois ou jusqu’à un an, selon l’arriéré, le besoin de plus d’informations, la profondeur du processus d’enquête et d’autres facteurs.

Le décret exécutif 10450 stipule en partie: « La portée de l’enquête sera déterminée… en fonction du degré d’effet défavorable que l’occupant du poste à pourvoir pourrait avoir, en raison de la nature du poste, sur la sécurité nationale, mais en aucun cas l’enquête ne comprendra moins d’une vérification de l’agence nationale (y compris une vérification des fichiers d’empreintes digitales du Federal Bureau of Investigation), et des enquêtes écrites auprès des organismes locaux compétents chargés de l’application de la loi, des anciens employeurs et superviseurs, des références et des écoles fréquentées par la personne sous enquête.”

Le temps nécessaire pour obtenir une habilitation de sécurité est de plus en plus long et constitue une préoccupation importante pour les agences fédérales et les entrepreneurs. Certains cas où les individus mettraient plus de temps que la normale à faire l’objet d’une enquête sont de nombreuses résidences passées, ayant des résidences dans des pays étrangers, ayant des parents à l’extérieur des États-Unis ou des liens importants avec des citoyens non américains.

Si un bureau d’embauche demande une habilitation de sécurité provisoire, un candidat peut obtenir une habilitation de sécurité provisoire dans les quelques semaines suivant la présentation d’une trousse de sécurité complète. Selon le Service de sécurité de la Défense (une agence du ministère de la Défense), tous les candidats à une habilitation de sécurité du personnel soumise par un entrepreneur agréé seront systématiquement considérés pour une éligibilité provisoire. L’admissibilité provisoire n’est accordée que lorsque l’accès à des informations classifiées est clairement conforme aux intérêts de sécurité nationale des États-Unis. L’admissibilité provisoire est accordée en même temps que l’ouverture de l’enquête et demeurera généralement en vigueur jusqu’à la fin de l’enquête. À ce moment-là, le demandeur est considéré pour l’admissibilité finale.

Si un candidat estime qu’il est un candidat sérieux pour un poste nécessitant une habilitation de sécurité, il peut accélérer le processus en recueillant des informations pertinentes avant de recevoir une offre d’emploi de l’agence d’embauche ou de l’entrepreneur. L’agence d’embauche ou l’entrepreneur peut diriger le candidat vers les formulaires appropriés pour le niveau d’autorisation requis pour le poste pour lequel ils sont considérés.

L’enquête sur les antécédents de l’habilitation de sécurité

L’élément central du processus d’obtention d’une habilitation de sécurité est l’enquête sur les antécédents. Le processus commence par l’inscription du demandeur et le remplissage des formulaires appropriés sur le site Web de la demande de Questionnaires électroniques pour le traitement des enquêtes (e-QIP) des Bureaux de la gestion du personnel des États-Unis. La prochaine étape du processus implique une enquête menée par le BPO, le DoD et le Bureau du Directeur du Renseignement national ou un autre fournisseur de services d’enquête (FSI), selon le poste.

Il existe cinq niveaux de normes d’enquête qui s’appliquent aux demandes d’habilitations de sécurité. Le niveau d’enquête spécifique qui convient à un candidat donné est déterminé par la classification et le risque associé aux informations que le candidat devra gérer. Le formulaire OPM e-QIP nécessaire pour chaque niveau est décrit dans le tableau ci-dessous.

Tier 1	Low Risk, Non-Sensitive, including HSPD-12 Credentialing	Form SF85
Tier 2	Moderate Risk Public Trust (MRPT)	Form SF85P
Tier 3	Non-Critical Sensitive National Security	Form SF86
Tier 4	High-Risk Public Trust (HRPT)	Form SF85P
Tier 5	Critical Sensitive and Special Sensitive National Security, including Top Secret, and SCI	Form SF86

Le formulaire e-QIP utilisé pour les postes sensibles ou de sécurité nationale est le SF-86 tel qu’indiqué dans les normes d’enquête de niveau 3 et de niveau 5. Les SF85 et SF85P conviennent aux postes d’agences gouvernementales nécessitant la confiance du public plutôt que des préoccupations de sécurité nationale.

En plus et après la vérification des réponses aux questions posées par le formulaire e-QIP de l’OPM, de nombreuses enquêtes incluront une entrevue dans le cadre du processus d’enquête. Le demandeur peut être invité à répondre à des questions liées à son formulaire rempli. Cela aide l’enquêteur à clarifier les réponses incomplètes ou peu claires sur le formulaire. Le refus de l’entrevue peut entraîner l’annulation de l’enquête et de la demande d’habilitation de sécurité connexe.

En plus des questions posées sur ces formulaires, l’enquêteur peut également s’enquérir du respect par le candidat des exigences de sécurité, de son honnêteté et de son intégrité, de sa vulnérabilité éventuelle à l’exploitation ou à la coercition, ou de tout autre comportement susceptible de démontrer que le candidat n’est pas fiable, digne de confiance ou loyal envers le gouvernement américain.

Le Service de sécurité diplomatique (DSS) du Département d’État mène des enquêtes sur les antécédents en matière de sécurité du personnel pour le Département d’État et d’autres agences fédérales. Le SSM décrit le processus d’enquête sur les antécédents comme comprenant les étapes suivantes :

• Un candidat à un emploi reçoit une offre d’emploi conditionnelle et remplit et soumet le formulaire approprié – soit un Questionnaire pour les postes de Sécurité nationale, un Questionnaire pour les postes non sensibles ou un Questionnaire pour les postes de confiance du public – et d’autres formulaires requis au bureau d’embauche approprié.
• Le bureau d’embauche examine et soumet le questionnaire rempli et les autres formulaires requis – connus sous le nom de trousse de sécurité – au MAS.
• Le DSS examine le paquet de sécurité et ouvre officiellement une enquête sur les antécédents.
• Le DSS effectue des vérifications des dossiers et des empreintes digitales dans les bases de données commerciales et gouvernementales.
• DSS vérifie et corrobore les informations et événements clés de l’histoire passée et récente du candidat. Cela peut inclure des entretiens avec des personnes qui connaissent bien le candidat. L’enquêteur peut mener une entrevue en personne avec le candidat dans le cadre du processus.
• Une fois l’enquête terminée, le SSM décide et détermine l’admissibilité du candidat à la sécurité nationale conformément à la Directive sur les agents exécutifs de sécurité (SEAD) 4 : Lignes directrices sur l’arbitrage en matière de sécurité nationale.
• Dans certains cas, les enquêtes sur les antécédents peuvent être transmises à un comité d’adéquation des ressources humaines du Département d’État.
• Après avoir déterminé l’admissibilité du candidat à la sécurité nationale, le MAS contacte l’autorité d’embauche appropriée.

Les États-Unis Le Code criminel (titre 18, article 1001) prévoit que la falsification ou la dissimulation sciemment d’un fait matériel est un crime qui peut entraîner des amendes et / ou jusqu’à cinq (5) ans d’emprisonnement.

En outre, les agences fédérales licencient généralement, n’accordent pas d’habilitation de sécurité ou disqualifient les personnes qui ont falsifié matériellement et délibérément ces formulaires, et cela reste une partie du dossier permanent pour les futurs placements.

Le Service de sécurité de la Défense émet les statuts suivants tout au long de l’enquête pour informer les candidats de ce qui se passe pendant le processus:

• Reçu Le fournisseur de services d’enquête (FSI) a accusé réception de la demande d’enquête et l’examinera pour en vérifier l’acceptabilité.
• Inacceptable Le FSI a déterminé que la demande d’enquête était déficiente. Le demandeur recevra alors un message indiquant la raison pour laquelle la demande a été rejetée. Si l’employé a encore besoin d’une autorisation, une nouvelle demande d’enquête devra être amorcée et soumise avec les renseignements corrigés.
• Prévu Le FSI a jugé la demande d’enquête acceptable et l’enquête est actuellement en cours/ouverte.
• Fermé Le FSI a terminé l’enquête et l’enquête a été envoyée pour jugement.

Pourquoi un demandeur peut se voir refuser une habilitation de sécurité

Diverses raisons expliquent pourquoi un demandeur peut se voir refuser une habilitation de sécurité. Les principales considérations dans une enquête sont l’honnêteté, la franchise et la rigueur de la personne dans la rédaction de ses formulaires d’habilitation de sécurité.

Tout est mis en œuvre pour déterminer si l’octroi ou le maintien de l’admissibilité à une habilitation de sécurité est conforme aux intérêts de la sécurité nationale. Une grande variété de facteurs peuvent être étudiés.

La portée d’une enquête sur les antécédents d’habilitation de sécurité est susceptible d’inclure les caractéristiques personnelles, les penchants et les comportements suivants. Toute indication selon laquelle le demandeur pourrait avoir des problèmes importants dans l’un de ces domaines soulèvera probablement un signal indiquant la nécessité d’une enquête plus approfondie et un éventuel refus de l’autorisation.

• Allégeance aux États-Unis
• Potentiel d’influence étrangère
• Une préférence étrangère
• Comportement sexuel
• Conduite personnelle
• Considérations financières
• Consommation d’alcool
• Implication dans la drogue et abus de substances
• Troubles émotionnels, mentaux et de la personnalité
• Conduite criminelle
• Manipulation d’informations protégées
• Activités extérieures
• L’utilisation abusive des technologies de l’information

Les factures impayées, ainsi que les accusations criminelles, disqualifient souvent un demandeur pour approbation. Cependant, la faillite sera évaluée au cas par cas et n’est pas une disqualification automatique. Les antécédents financiers médiocres sont la cause numéro un du rejet, et les activités étrangères et les casiers judiciaires sont également des causes courantes de disqualification.

Il est à noter que les enquêteurs peuvent tenir compte de l’information accessible au public sur les médias sociaux dans le cadre d’une demande d’habilitation de sécurité. La Directive 5 sur les agents exécutifs en matière de sécurité, Collecte, Utilisation et conservation des renseignements sur les médias sociaux accessibles au public dans le cadre des enquêtes et des décisions sur les antécédents en matière de sécurité du personnel, codifie le pouvoir fédéral d’enquête sur les antécédents afin d’incorporer les renseignements sur les médias sociaux accessibles au public dans le processus d’habilitation de sécurité.facebookInstagram et d’autres sites similaires.

Ces directives indiquent clairement que les agences peuvent cibler les publications sur les réseaux sociaux accessibles au public, si elles le jugent nécessaire, mais ne peuvent pas forcer les gens à remettre leurs mots de passe pour les comptes privés ou fournir des pseudonymes pour tous les profils.

La politique stipule que les données de médias sociaux collectées dans le cadre d’une vérification des antécédents ne seront pas conservées à moins qu’elles ne soient considérées comme « pertinentes” pour la qualité de sécurité de la personne en question.

Ressources pour obtenir une habilitation de sécurité

Lignes directrices et mises à jour relatives aux habilitations de sécurité des États-Unis. Département d’État.

Le portail Web du gouvernement pour l’accès aux formulaires électroniques de questionnaires pour le traitement des enquêtes (e-QIP).

Règlement sur le Programme de sécurité du personnel du Département de la Défense (DoD).

Guide pour le formulaire standard (SF) 86.

Les informations contenues dans cet article ne constituent pas des conseils juridiques et ne se substituent pas à de tels conseils. Les lois d’État et fédérales changent fréquemment, et les informations contenues dans cet article peuvent ne pas refléter les lois de votre propre État ou les modifications les plus récentes de la loi.