FedRAMP

FedRAMP est le Programme fédéral de gestion des risques et des autorisations. Il a été créé pour garantir la sécurité des services et solutions cloud utilisés par les agences gouvernementales américaines. Tout fournisseur de services ou de solutions cloud doit obtenir une autorisation et se conformer aux exigences de FedRAMP s’il collecte, conserve, traite, diffuse ou élimine des informations fédérales.

Framework de cybersécurité du gouvernement fédéral, FedRAMP fournit une approche standardisée des évaluations, des autorisations et de la surveillance continue des services et solutions cloud afin de s’assurer qu’ils répondent aux normes de sécurité. Les autres objectifs de FedRAMP sont les suivants :

• Obtenir des autorisations de sécurité fédérales cohérentes basées sur des normes convenues pour les autorisations de services et de solutions cloud.
• Éliminer les efforts de duplication et réduire les coûts de gestion des risques liés à l’acquisition de services et de solutions cloud par les agences fédérales.
• Garantir une application cohérente des pratiques de sécurité du cloud dans tous les services et solutions utilisés par les agences fédérales.
• Accélérer le déploiement de solutions cloud sécurisées dans l’ensemble de l’administration fédérale grâce à des évaluations et des autorisations réutilisables.
• Améliorer la confiance dans la sécurité des solutions cloud et des évaluations de sécurité.
• Accroître l’automatisation et l’utilisation de données en temps quasi réel pour une surveillance continue.

Dans le cadre de ses efforts pour faciliter l’autorisation des fournisseurs de cloud, FedRAMP définit et gère un ensemble de processus de base pour garantir une sécurité efficace et reproductible des services et solutions cloud utilisés par les agences fédérales.

Ces lignes directrices FedRAMP, qui sont régulièrement mises à jour, aident les fournisseurs de services et de solutions cloud à apporter rapidement les modifications nécessaires pour répondre aux exigences actuelles.

FedRAMP a également établi un marketplace pour accroître l’accès aux services cloud autorisés. Le marketplace FedRAMP constitue également un pôle de collaboration entre les agences fédérales. De plus, elle soutient l’échange ouvert des leçons apprises, des cas d’utilisation et des solutions tactiques pour la sécurité du cloud.

Les bases du programme FedRAMP

Les acronymes clés de FedRAMP

Pour comprendre FedRAMP, il est également nécessaire de comprendre la signification des principaux acronymes suivants et leur rôle dans le processus d’autorisation.

• Bureau de gestion du programme (PMO) FedRAMP
  Le Bureau de gestion du programme (PMO) FedRAMP supervise les applications FedRAMP, les autorisations et la surveillance continue. Il est géré par l’Administration des services généraux (GSA).
• Organisme d’évaluation tiers (3PAO) FedRAMP
  Un organisme d’évaluation tiers FedRAMP (3PAO) est un tiers indépendant qui évalue la sécurité des services et des solutions d’un fournisseur de cloud en fonction des risques. Les 3PAO sont accrédités par le biais du programme FedRAMP 3PAO pour l’autorisation provisoire d’exploitation de la Commission mixte d’autorisation (JAB P-ATO).
  Pour obtenir l’accréditation, les 3PAO doivent démontrer leur indépendance et leur compétence technique pour tester et documenter les implémentations de sécurité d’un fournisseur de cloud. Une fois autorisés et accrédités, les 3PAO sont inclus dans le marché FedRAMP.
• JAB (FedRAMP Joint Authorization Board)
  FedRAMP is controlled by a Joint Authorization Board (JAB). It includes the chief information officers and other representatives from:
  • Département de la défense (DoD) 
  • Département de la sécurité intérieure (DHS) 
  • Administration des services généraux (GSA)
  • Autorité d’exploitation (ATO) FedRAMP
    Une autorité d’exploitation (ATO) FedRAMP est une déclaration formelle d’une agence autorisant l’utilisation des services ou solutions d’un fournisseur de cloud. Cette déclaration inclut l’acceptation de tout risque par l’agence. Les fournisseurs de cloud travaillent directement avec le bureau de sécurité de l’agence et un Responsable de l’autorisation (AO) pour obtenir une ATO.
• Autorisation provisoire d’exploitation (P-ATO) FedRAMP
  Pour une autorisation provisoire d’exploitation (ATO) P-ATO de FedRAMP, la JAB fournit un examen des risques du dossier d’autorisation de sécurité du fournisseur de cloud. FedRAMP-ATO est obtenu après évaluation et approbation par la JAB. Il s’agit d’un processus plus rigoureux qui n’est disponible qu’après qu’un fournisseur de cloud ait obtenu plusieurs ATO d’agences individuelles.
  Ensuite, un 3PAO accrédité teste, vérifie et valide de manière indépendante le dossier d’évaluation de la sécurité du fournisseur de cloud. S’il réussit, la JAB peut alors accorder une P-ATO qui comprend des détails sur les niveaux d’impact pour lesquels la posture de risque du fournisseur de cloud est acceptable.
• Plan de sécurité du système (SSP) FedRAMP
  Un plan de sécurité du système FedRAMP (SSP) est un rapport créé par un fournisseur de cloud qui décrit son infrastructure existante et les contrôles de sécurité et mesure les lacunes qu’il doit combler pour atteindre l’ATO souhaité.
• Résumé de mise en œuvre des contrôles (CIS) FedRAMP
  Un résumé de mise en œuvre des contrôles FedRAMP (CIS) est une documentation élaborée par un fournisseur de cloud qui décrit les responsabilités en matière de sécurité qu’il assumerait pour l’agence.
• Plan d’évaluation de la sécurité (SAP)
  Le fournisseur de cloud et un 3PAO préparent un plan d’évaluation de la sécurité (SAP). Basé sur le SSP, le SAP détaille toutes les procédures, méthodologies et tests utilisés dans le cadre de l’audit du 3PAO.
• Rapport d’évaluation de la sécurité (SAR)
  Un 3PAO utilise un rapport d’évaluation de la sécurité (SAR) pour présenter les résultats de son audit. Le SAR détaille ce qui a été testé, ce qui ne l’a pas été, les contrôles qui ont satisfait aux exigences de conformité et ceux qui n’y ont pas satisfait. Les mesures correctives recommandées sont également incluses dans le rapport SAR.
• Plan d’action et d’étapes (POAM)
  Un plan d’action et d’étapes FedRAMP (POAM) décrit les contrôles de sécurité spécifiques requis pour les services et solutions cloud, le calendrier de leur mise en œuvre et les étapes qui seront utilisés pour mesurer les progrès. Il permet de suivre et de rendre compte de l’avancement de la mise en œuvre par un fournisseur de cloud des contrôles de sécurité requis.
  
  Le POAM est également utilisé pour suivre les problèmes qui surviennent au cours du processus de certification et pour documenter la résolution de ces problèmes. La gestion du POAM est essentielle pour tout fournisseur de cloud qui cherche à obtenir la certification FedRAMP.

Quelles sont les principales entités de FedRAMP ?

FedRAMP implique de multiples entités qui jouent des rôles spécifiques dans le processus de sécurisation des services cloud à l’usage du gouvernement fédéral. Chaque entité a des responsabilités distinctes qui soutiennent les processus du programme visant à garantir que les services cloud utilisés par le gouvernement fédéral sont sécurisés et conformes à des normes élevées de cybersécurité, préservant l’intégrité et la confidentialité des données fédérales. Les principales entités impliquées dans FedRAMP sont les suivantes.

Les fournisseurs de services cloud (CSP)
Ils offrent des services cloud aux agences fédérales et sont tenus de prouver que leurs services répondent aux exigences de FedRAMP en matière de sécurité et de conformité. Ils sont responsables de la mise en œuvre des contrôles de sécurité FedRAMP, de l’obtention des autorisations nécessaires et du maintien de la conformité par le biais d’une surveillance continue. Cela inclut la préparation d’un ensemble complet de documents détaillant leur conformité aux contrôles FedRAMP et la soumission à une évaluation approfondie par un tiers.
Les agences fédérales américaines
Dans le contexte de FedRAMP, les agences fédérales sont les consommateurs de services cloud. Il leur incombe de sélectionner les services cloud autorisés qui répondent à leurs besoins spécifiques. Bien qu’ils puissent tirer parti des évaluations de sécurité et des autorisations fournies par FedRAMP, chaque agence a également la responsabilité d’accorder une autorisation d’exploitation (ATO) pour un service cloud dans leur contexte opérationnel spécifique afin de confirmer qu’il s’aligne sur les exigences de sécurité et la posture de risque particulières de leur agence.

Autres acteurs clés dans le processus FedRAMP

Le bureau de gestion du programme (PMO)
Il réside au sein de l’Administration des services généraux (GSA) et supervise les opérations quotidiennes du programme. Le PMO fournit des conseils, un soutien et une formation aux agences et aux CSP, gère l’accréditation des 3PAO et surveille les performances globales et la conformité à FedRAMP.
Les organismes d’évaluation tiers (3PAO)
Les 3PAO sont des organismes indépendants certifiés par le PMO FedRAMP pour effectuer des évaluations initiales et périodiques des services cloud. Ces évaluations comprennent un examen des implémentations et des contrôles de sécurité d’un CSP par rapport aux exigences du FedRAMP. Le rapport produit par les 3PAO est un élément essentiel du processus de prise de décision pour l’octroi d’une autorisation FedRAMP à un CSP.
La Commission mixte d’autorisation (JAB)
La JAB est composée des directeurs de l’information du Département de la sécurité intérieure, de l’Administration des services généraux et du Département de la défense. Elle agit en tant qu’organe principal de gouvernance et de prise de décision pour FedRAMP.

Un fournisseur de services cloud peut-il être parrainé pour l’autorisation FedRAMP ?

Oui, un fournisseur de services cloud (CSP) peut effectivement être parrainé pour l’autorisation FedRAMP. Dans ce modèle de parrainage, une agence fédérale joue le rôle de parrain pour l’offre de services du CSP, en soutenant sa progression à travers le processus d’autorisation FedRAMP. Le parrainage offre une alternative à l’obtention de l’autorisation par le biais d’une P-ATO de la JAB.

Le parrainage est avantageux car il fournit au CSP des conseils et un soutien tout au long de la procédure d’autorisation FedRAMP. Pour les agences fédérales, le parrainage d’un CSP leur permet d’adapter le service cloud à leurs besoins spécifiques et de s’assurer qu’il répond aux normes de sécurité rigoureuses requises par FedRAMP.

Les étapes pour obtenir l’autorisation FedRAMP par le biais du parrainage

Initiation du parrainage
Le processus commence lorsqu’une agence fédérale accepte d’agir en tant que parrain. Cette agence doit utiliser, ou prévoir d’utiliser, le service cloud et est prête à guider le CSP à travers le processus d’autorisation FedRAMP.

Évaluation et autorisation
Une fois l’agence de parrainage en place, le CSP prépare la documentation nécessaire et se soumet à une évaluation de sécurité menée par une 3PAO accréditée par FedRAMP. L’évaluation porte sur la conformité du CSP aux exigences de sécurité de FedRAMP.

Autorisation d’exploitation de l’agence (ATO)
Une fois l’évaluation réussie et la correction de tout problème identifié, l’agence parrain émet une ATO pour le service cloud. Contrairement à une P-ATO, cette ATO est spécifique à l’agence parrain.

Examen par le PMO FedRAMP
Suite à la délivrance d’une ATO par l’agence parrain, le dossier FedRAMP du CSP est soumis à l’examen du PMO. Le PMO évalue le dossier pour s’assurer qu’il répond à toutes les normes et exigences de FedRAMP.

Autorisation FedRAMP
Une fois que le PMO FedRAMP conclut que le CSP a satisfait à toutes les exigences, le service cloud reçoit l’autorisation FedRAMP, ce qui le rend éligible à l’utilisation par d’autres agences fédérales.

Que fait le PMO FedRAMP ?

Contrôle de qualité et de conformité
Le PMO surveille les performances et la conformité des CSP, des 3PAO et des agences fédérales avec les normes FedRAMP. Il assure le contrôle de la qualité tout au long du cycle de vie des déploiements de services cloud et gère la résolution des problèmes qui surviennent.
Contrôle continu
Le FMO FedRAMP gère le programme de contrôle continu, qui exige des CSP qu’ils fournissent des rapports de sécurité réguliers et se soumettent à des réévaluations périodiques pour conserver leur autorisation. Cela permet de s’assurer que les services cloud autorisés restent conformes aux exigences FedRAMP au fil du temps.
Facilitation et coordination
Le PMO joue le rôle de centre de communication entre les CSP, les 3PAO et les agences fédérales. Il facilite le processus d’autorisation en coordonnant les évaluations, en clarifiant les exigences et en veillant à aligner ce que les objectifs de toutes les parties.
Gouvernance et supervision
Le PMO régit l’ensemble du processus FedRAMP, en vérifiant que les CSP respectent des normes de sécurité strictes avant qu’une P-ATO ne leur soit accordée. Il supervise notamment le processus d’évaluation, la surveillance continue et les processus de réautorisation.
Conseils et soutien
Le PMO FedRAMP fournit des conseils, un soutien et des ressources aux CSP, aux 3PAO et aux agences fédérales tout au long du processus d’autorisation. Il s’agit notamment de clarifier les exigences, de proposer des sessions de formation et de développer des modèles et de la documentation pour faciliter et rationaliser le processus.
Gestion du processus d’autorisation
Le PMO supervise le processus d’autorisation des CSP, y compris l’examen des dossiers de sécurité et la coordination des efforts entre les CSP, les 3PAO et la JAB. Il veille à ce que les évaluations de sécurité et les autorisations soient menées de manière efficace et efficiente.
Développement de politiques et de stratégies
Le PMO contribue au développement et à la mise à jour des politiques, procédures et stratégies FedRAMP afin de soutenir son évolution en réponse aux changements technologiques, aux cybermenaces et aux besoins fédéraux.
Promotion et défense des intérêts
Le PMO promeut activement l’adoption de FedRAMP par les agences fédérales et l’engagement des CSP autorisés. Il partage des informations sur les avantages du cloud computing pour les agences gouvernementales, ainsi que sur les mises à jour du programme et les meilleures pratiques en matière de sécurité. Le PMO s’engage également avec les parties prenantes, y compris les décideurs politiques, les leaders de l’industrie et d’autres organismes gouvernementaux, pour recueillir des commentaires, discuter des défis et faire évoluer le programme FedRAMP en réponse aux nouveaux développements technologiques et aux menaces de sécurité.
Normalisation des évaluations de sécurité
Le PMO développe et maintient des processus d’évaluation de sécurité normalisés que les CSP utilisent pour s’assurer que tous les services cloud utilisés par les agences fédérales ont des postures de sécurité cohérentes et fiables.
Développement des normes
Le PMO est responsable du développement, de la maintenance et de la mise à jour des exigences et des normes FedRAMP. Cela comprend les contrôles de sécurité, les politiques et les procédures que les CSP doivent respecter dans le cadre de leur autorisation.
Formation et conseils
Le PMO propose des sessions de formation, des webinaires et des documents d’orientation détaillés pour aider les CSP, les 3PAO et les agences fédérales à comprendre le processus et les exigences de FedRAMP.

Instances de gouvernance de FedRAMP

FedRAMP est gouverné par plusieurs entités de l’exécutif qui travaillent en collaboration pour développer, gérer et opérer le programme. Les instances de gouvernance sont les suivantes :

• CIO Council : Il diffuse les informations relatives à FedRAMP auprès des CIO fédéraux et des représentants d’autres agences par le biais de canaux et d’événements inter-agences.
• Département de la sécurité intérieure (DHS) : Gère la stratégie de contrôle continu pour FedRAMP. Il s’agit notamment de maintenir les critères d’alimentation en données, la structure des rapports, la coordination des notifications de menaces et les plans de réponse aux incidents.
• Bureau de gestion du programme (PMO) FedRAMP : Gère les opérations quotidiennes du programme FedRAMP et son développement continu.
• Commission mixte d’autorisation (JAB) : Le principal organe de gouvernance et de décision du programme FedRAMP.
• Institut national des normes et de la technologie (NIST) : Il conseille le programme FedRAMP en ce qui concerne les exigences de conformité à la Loi fédérale sur la modernisation de la sécurité de l’information (FISMA). Le NIST contribue également à l’élaboration des normes d’accréditation des organismes indépendants d’évaluation par des tiers (3PAO).
• Bureau de la gestion et du budget (OMB) : il a publié la note politique FedRAMP. L’OMB définit les nouvelles exigences et capacités du programme en collaboration avec les autres instances gouvernantes.

Qui sont les membres de la Commission mixte d’autorisation (JAB) ?

La Commission mixte d’autorisation (JAB) est composée des directeurs des systèmes d’information (CIO) ou de leurs représentants désignés de trois agences fédérales américaines clés. Les membres du JAB se concentrent sur le renforcement de la sécurité du cloud dans l’ensemble du gouvernement fédéral grâce à des processus d’examen et d’autorisation rigoureux. Si les personnes qui occupent ces postes peuvent changer, leur rôle au sein de la JAB reste constant. Les trois agences représentées au sein de la JAB et leurs rôles uniques sont les suivants.

Le Département de la sécurité intérieure (DHS)

• Leadership en matière de cybersécurité
  Contribue à l’orientation stratégique de FedRAMP en donnant des conseils sur les meilleures pratiques et politiques de cybersécurité qui s’alignent sur les intérêts de la sécurité nationale.
• Réponse aux incidents et coordination
  Se concentre sur la coordination, la supervision et le soutien direct pour s’assurer que les incidents impliquant des fournisseurs de services cloud sont gérés efficacement et que l’impact sur les données et les systèmes fédéraux est minimisé.
• Évaluation des risques et supervision de la sécurité
  Évalue les menaces potentielles et veille à ce que les fournisseurs de services cloud (CSP) disposent de mesures solides pour atténuer ces risques.

L’Administration des services généraux (GSA)

• Soutien administratif et opérationnel
  Gère l’administration et le fonctionnement quotidien de FedRAMP, y compris la gestion du processus de candidature pour les CSP et la facilitation de leurs interactions avec la JAB.
• Élaboration et mise en œuvre des politiques
  Aide à élaborer et à affiner les politiques du FedRAMP et veille à ce qu’elles soient mises en œuvre de manière efficace dans les agences gouvernementales.
• Promotion et éducation
  Promeut FedRAMP auprès des agences fédérales et fournit des ressources éducatives pour aider les fournisseurs et les agences à comprendre et à se conformer aux exigences de FedRAMP.

Le Département de la défense (DoD)

• Préoccupations de sécurité spécifiques à la défense
  Se concentre sur la façon dont les services cloud peuvent répondre aux exigences de sécurité strictes nécessaires aux applications liées à la défense.
• Autorisations provisoires
  Autorisations provisoires d’exploitation (P-ATO), garantissant que les services utilisés par le secteur de la défense sont sécurisés et conformes aux normes FedRAMP.
• Expertise technique
  Contribue à l’orientation technique sur la sécurisation des environnements cloud contre les cybermenaces sophistiquées.

Quel est le rôle de la JAB au sein de FedRAMP ?

La Commission mixte d’autorisation (JAB) sert d’instance principale de gouvernance et d’autorisation pour FedRAMP. Ses responsabilités sont centrées sur la garantie que les fournisseurs de services cloud (CSP) répondent aux exigences de sécurité rigoureuses nécessaires aux agences fédérales. Les rôles et fonctions clés du JAB sont les suivants :

Contrôle continu

Au delà de l’autorisation initiale, la JAB est impliquée dans la supervision des exigences de contrôle continu des CSP qui ont reçu une P-ATO. Cela permet de s’assurer que les CSP maintiennent la conformité avec les exigences FedRAMP et que tout changement ou mise à jour de leurs services adhère aux normes de sécurité et s’adapte aux menaces et vulnérabilités nouvelles et en évolution.

Renforcement de la sécurité du cloud fédéral

La JAB normalise les approches de la sécurité pour les services cloud et fournit des orientations aux CSP pour démontrer leur conformité. Cela améliore la posture de sécurité globale du cloud computing dans l’ensemble du gouvernement fédéral.

Gouvernance et supervision

La JAB assure la gouvernance et la supervision globales du FedRAMP. Cela comprend la fourniture de conseils d’experts sur les meilleures pratiques et politiques de sécurité du cloud, ainsi que la coordination des efforts entre le bureau de gestion du programme FedRAMP (PMO), les CSP, les organisations d’évaluation tierce partie (3PAO) et les agences fédérales.

Promotion de la cohérence entre les agences

La JAB contribue à assurer la cohérence et la fiabilité de la sécurité des services cloud utilisés dans toutes les agences fédérales grâce à une approche standardisée des évaluations et des autorisations. Cette approche centralisée permet de réduire la redondance, de gagner du temps et de renforcer la confiance dans la sécurité des solutions cloud adoptées par le gouvernement.

Autorisations provisoires

La JAB fournit des autorisations provisoires d’exploitation (P-ATO) pour les CSP. Une P-ATO indique qu’une offre de services cloud a fait l’objet d’une évaluation rigoureuse et qu’elle répond aux exigences de sécurité complètes définies par FedRAMP. Cette autorisation provisoire sert de sceau d’approbation auquel les agences fédérales peuvent se fier lorsqu’elles sélectionnent des services cloud. Cependant, chaque agence est toujours responsable de l’octroi de sa propre ATO en fonction de sa position de risque spécifique.

Évaluations de sécurité

La JAB examine et évalue les paquets de sécurité soumis par les CSP. Ces dossiers contiennent des informations détaillées sur les contrôles de sécurité mis en œuvre par le CSP. Le processus d’évaluation par la JAB est rigoureux et garantit que seuls les services cloud qui répondent à un niveau élevé de sécurité reçoivent un P-ATO.

Définition des normes et des politiques

La JAB définit les normes, les politiques et les processus pour FedRAMP. Il s’agit notamment de décrire les contrôles de sécurité auxquels les CSP doivent se conformer, y compris les exigences en matière d’évaluation de la sécurité, de surveillance continue et de réponse aux incidents.

Trois types d’autorisation FedRAMP

Autorisation d’exploitation (ATO)

Autorisation provisoire d’exploitation (P-ATO)

Autorisation personnalisée

Trois niveaux de sécurité FedRAMP

Élevé

Modéré

Faible

La procédure d’autorisation FedRAMP

Il y a deux façons de démontrer la conformité et d’obtenir une autorisation FedRAMP. La première consiste à obtenir une autorisation d’exploitation FedRAMP directement auprès d’une agence fédérale. La seconde consiste à recevoir une autorisation provisoire d’exploitation (P-ATO) FedRAMP de la Commission mixte d’autorisation (JAB). Le processus d’autorisation comporte toujours quatre étapes principales, quelle que soit la méthode choisie.

1. Documenter

Le processus d’autorisation commence par la documentation par le fournisseur de cloud de la mise en œuvre des contrôles de sécurité et la catégorisation de ses services et solutions cloud selon la norme FIPS 199. Cette catégorisation (par exemple, faible, modérée, élevée ou personnalisée FedRAMP) déterminera les contrôles requis.

Ensuite, le fournisseur de cloud doit remplir un plan de sécurité du système et élaborer un plan d’évaluation de la sécurité par un organisme d’évaluation tiers approuvé par FedRAMP (3PAO). Le plan de sécurité du système (SSP) est alors créé. Il s’agit d’une feuille de route indiquant comment les contrôles requis seront mis en œuvre.

Les documents supplémentaires requis pour le processus d’autorisation FedRAMP comprennent un plan d’urgence, un plan de réponse aux incidents et la gestion de la configuration.

2. Évaluer

La phase d’évaluation peut commencer une fois que le SSP et les autres documents requis ont été complétés, examinés et approuvés. Au cours de cette phase de l’autorisation FedRAMP, un 3PAO élaborera un plan d’évaluation de la sécurité (SAP). Le SAP décrit l’approche de test pour le service ou la solution cloud.

Une fois le SAP approuvé, le 3PAO teste la mise en œuvre des contrôles sur un système prêt à la production et élabore un rapport d’évaluation de la sécurité (SAR). Il est important de noter que l’évaluation de la sécurité doit être effectuée sur un système prêt pour la production. Les évaluations ne peuvent pas être effectuées sur un système de test ou de développement.

Ensuite, le fournisseur de cloud élabore un plan d’action et des jalons (POA&M), qui détaille les mesures correctives qui seront prises pour combler les lacunes et les faiblesses de sécurité.

3. Autoriser

Au cours de cette phase, l’agence fédérale examine la demande d’autorisation. Si les exigences sont remplies, le fournisseur de cloud sera approuvé et l’agence émettra la lettre d’ATO.

Il convient de noter que les agences fédérales exigent parfois des tests supplémentaires avant d’approuver le SAR. Pour une ATO, le bureau de gestion du programme FedRAMP (PMO) décide de l’autorisation FedRAMP sur la base d’un examen de la SAR et de la documentation connexe. Pour une P-ATO, le dossier est examiné par la JAB. Après approbation par le PMO ou la JAB, le fournisseur de cloud est autorisé à travailler avec les agences fédérales.

4. Surveiller

Une fois qu’une ATO initiale de l’agence ou une P-ATO de la JAB a été obtenue, le fournisseur de cloud entame la phase de surveillance continue. Au cours de cette phase, le fournisseur de cloud s’assure que le service requis continue à fonctionner de manière appropriée. En fonction des contrôles, la surveillance est continue, mensuelle ou annuelle. Les rapports basés sur la surveillance des contrôles sont envoyés à l’organisme d’autorisation pour démontrer la conformité continue à FedRAMP.

Pourquoi FedRAMP est-il important ?

Au-delà d’être une exigence pour tout fournisseur de cloud souhaitant travailler avec les agences fédérales, FedRAMP est important car il garantit la cohérence de l’évaluation et du suivi de la sécurité des services et solutions cloud. Les résultats comprennent une amélioration significative des points suivants :

• Réduction des coûts
  FedRAMP élimine le besoin de plusieurs niveaux d’examen de la sécurité pour chaque fournisseur de services cloud.
• Efficacité
  FedRAMP réduit le temps et les efforts nécessaires à la mise en place et à la maintenance des services basés sur le cloud.
• Gestion des risques
  La conformité FedRAMP exige des organismes autorisés qu’ils identifient, évaluent et gèrent les risques de manière proactive.
• Sécurité
  La conformité FedRAMP exige des organisations qu’elles mettent en œuvre les contrôles de sécurité prescrits en fonction de leur niveau d’impact.

Exigences pour la conformité FedRAMP

La conformité FedRAMP exige que les services et solutions cloud respectent les niveaux de sécurité spécifiques en fonction de leur utilisation et des types d’informations qu’ils traitent et stockent. Vous trouverez ci-dessous les exigences minimales pour atteindre la conformité FedRAMP :

• Compléter la documentation FedRAMP, y compris le plan de sécurité du système FedRAMP (SSP)
• Mettre en œuvre des contrôles au niveau d’impact approprié
• Procéder à une évaluation par un organisme d’évaluation tiers FedRAMP (3PAO)
• Remédier à toute lacune constatée lors de l’évaluation par le 3PAO
• Élaborer le rapport sur le plan d’action et des étapes (POA&M)
• Obtenir l’ATO de l’agence ou l’ATO provisoire (P-ATO) de la Commission mixte d’autorisation (JAB)
• Mettre en œuvre un programme de surveillance continue (ConMon) comprenant des analyses mensuelles des vulnérabilités

Types de conformité FedRAMP

Le programme FedRAMP détaille trois catégories de conformité :

Conformité en matière de sécurité
Couvre l’authentification et l’autorisation, le contrôle d’accès, le cryptage et la réponse aux incidents.

Conformité des opérations
Couvre la disponibilité et les performances du système, les correctifs logiciels, la surveillance et les sauvegardes.

Conformité de la documentation
Couvre la documentation des systèmes et des services, les diagrammes de flux de données et les paquets d’autorisation.

La conformité au FedRAMP est basée sur différents types de risques dans trois domaines distincts : la confidentialité, l’intégrité et la disponibilité, communément appelées la triade CIA. Ce modèle standard constitue la base du développement des systèmes de sécurité.

• Confidentialité
  Protection des informations personnelles et exclusives
• Intégrité
  Protection contre la modification ou la destruction des informations
• Disponibilité
  Accès rapide et fiable aux données

Les quatre niveaux d’impact FedRAMP

Niveau d’impact élevé
FedRAMP Élevé comprend environ 425 contrôles de cybersécurité. Les organisations qui remplissent les conditions requises pour bénéficier de FedRAMP Élevé sont principalement des organismes chargés de l’application de la loi, des services d’urgence, des services financiers et des systèmes de santé. Pour ces organisations, la perte de confidentialité, d’intégrité ou de disponibilité pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l’organisation, ses actifs ou les individus.

Niveau d’impact modéré
FedRAMP Modéré est basé sur environ 325 contrôles. Environ 80 % des organisations autorisées par FedRAMP ont un niveau d’impact modéré. Pour ces organisations, la perte de confidentialité, d’intégrité ou de disponibilité pourrait sérieusement affecter les opérations, les actifs ou les individus de l’organisation. Près de 80 % des applications FedRAMP approuvées ont un niveau d’impact modéré.

Niveau d’impact faible
FedRAMP Faible comprend environ 125 contrôles. Pour les organisations qui se qualifient pour le niveau faible de FedRAMP, la perte de confidentialité, d’intégrité ou de disponibilité pourrait avoir un effet négatif limité sur les opérations de l’organisation, les actifs ou les individus.

SaaS à faible impact (FedRAMP personnalisé ou Ll-SaaS)
FedRAMP personnalisé est un sous-ensemble de SaaS à faible impact qui comprend environ 36 contrôles. Ce niveau d’impact concerne les applications SaaS qui ne stockent pas d’informations personnelles identifiables au-delà des informations de connexion de base (par exemple, les noms d’utilisateur et les mots de passe). Les organisations de niveau FedRAMP personnalisé ont des systèmes à faible risque, tels que des outils de collaboration, des applications de gestion de projet et des outils qui aident à développer du code open-source.

FedRAMP vs. Le framework de gestion des risques (RMF)

FedRAMP est le programme qui autorise l’utilisation des services et solutions des fournisseurs de cloud par les organismes publics. Le framework de gestion des risques (RMF) fait partie du NIST SP 800-37, que les agences fédérales doivent suivre pour que leur système informatique soit autorisé à fonctionner.

Le framework d’évaluation de la sécurité (SAF) FedRAMP, qui contribue à normaliser l’évaluation, l’autorisation et la surveillance de la sécurité des produits et services cloud, est basé sur le RMF NIST SP 800-37 et comprend certaines améliorations de contrôle pertinentes pour la sécurité du cloud que le NIST 800-37 n’a pas.

Domaines de processus FedRAMP et domaines de processus NIST SP 800-37 RMF

FedRAMP et les autres programmes de conformité fédéraux

FedRAMP tire ses exigences de plusieurs autres programmes de conformité fédéraux. Vous trouverez ci-dessous des exemples de ce que FedRAMP incorpore dans d’autres programmes de conformité fédéraux.

• Normes fédérales de traitement de l’information (FIPS) 140-2
  FedRAMP tire de FIPS 140-2 les exigences pour les agences fédérales et les contractants lors de l’implémentation de modules cryptographiques et du cryptage de données.
• Normes fédérales de traitement de l’information (FIPS) 199
  De la FIPS 199, FedRAMP utilise les niveaux d’impact sur la sécurité, et les exigences associées, pour la sécurité, la vie privée et la gestion des risques.
• Publication spéciale NIST 800-37
  Le framework de gestion des risques (RMF) du NIST SP 800-37 fournit les règles utilisées par FedRAMP pour orienter la manière dont les organisations mettent en œuvre les contrôles d’évaluation et de gestion des risques.
• Publication spéciale NIST 800-53
  NIST SP 800-53 fournit les contrôles de sécurité que FedRAMP exige des organisations pour sécuriser correctement leurs systèmes.

FAQ FedRAMP

Vous trouverez ci-dessous les réponses à certaines questions fréquemment posées sur FedRAMP.

Quel est l’objectif de FedRAMP ?

Le Programme fédéral de gestion des risques et des autorisations (FedRAMP) se concentre sur l’amélioration de l’efficacité du passage du gouvernement aux technologies cloud et de la sécurité des données au sein du cloud. Plusieurs pratiques fondamentales, dont les suivantes, soutiennent ces efforts.

Améliorer la sécurité du cloud
Il fournit un framework complet qui comprend un ensemble de normes de sécurité minimales que les fournisseurs de services cloud (CSP) doivent respecter pour travailler avec le gouvernement fédéral. Cela garantit que les données fédérales sont stockées, traitées et gérées en toute sécurité dans les environnements cloud, atténuant ainsi les risques potentiels associés au cloud computing.
Établir des exigences de conformité pour les fournisseurs de services cloud
Il établit des normes de sécurité pour tous les fournisseurs de services cloud qui collaborent avec les agences fédérales.
Faciliter l’adoption de services cloud sécurisés
FedRAMP facilite l’adoption de services cloud par les agences fédérales en simplifiant leur processus de prise de décision et en augmentant leur confiance dans la sécurité des solutions cloud.
Promouvoir la réciprocité
Une fois qu’un fournisseur de services cloud obtient l’autorisation FedRAMP, cette certification est reconnue par toutes les agences fédérales, ce qui évite à chaque agence de donner des autorisations répétitives. Cela permet de réduire les coûts, de gagner du temps à la fois pour les fournisseurs de services cloud et les agences fédérales et d’accélérer la transition du gouvernement vers le cloud computing.
Normaliser les pratiques d’adoption
FedRAMP normalise les exigences de sécurité pour toutes les agences fédérales qui adoptent des services cloud afin de s’assurer que la sécurité du cloud est cohérente dans l’ensemble du gouvernement fédéral. Cette uniformité permet de réduire les risques dans l’ensemble de l’écosystème informatique fédéral en appliquant des normes minimales en matière de cybersécurité, de protection et de confidentialité des données.

Quel est l’équivalent de FedRAMP ?

FedRAMP n’a pas d’équivalent direct. Il a été établi pour répondre aux exigences uniques du gouvernement fédéral américain lorsqu’il interagit avec les fournisseurs de services cloud. Cependant, FedRAMP s’appuie sur les principes fondamentaux de la gestion des risques et de la sécurité de l’information, en les appliquant à la normalisation et à l’amélioration de la sécurité du cloud. Les normes suivantes sont largement représentées dans FedRAMP.

Certification du modèle de maturité de la cybersécurité (CMMC)

Le CMMC a été créé pour les contractants et les sous-traitants du Département de la défense. Toutefois, ses principes ont été largement adoptés par un certain nombre de normes, dont le FedRAMP, afin de garantir la protection des informations sensibles. Le CMMC et FedRAMP ont en commun des exigences en matière de contrôle d’accès, d’audit et de responsabilité, de protocoles de réponse aux incidents et d’évaluation des risques.

ISO/IEC 27001

La norme mondiale ISO/IEC 27001 détaille les meilleures pratiques en matière de sécurité de l’information. Elle est conçue pour s’appliquer à toutes les organisations, et pas seulement à celles qui servent des clients gouvernementaux. FedRAMP s’appuie sur les orientations de la norme ISO/IEC 27001 en matière de gestion des risques et de surveillance continue pour renforcer la sécurité des services cloud. Plusieurs exigences communes à FedRAMP et à ISO/IEC 27001 sont l’audit et la responsabilité, le chiffrement des données, la formation de sensibilisation à la sécurité des employés et la sécurité physique et environnementale.

Framework de gestion des risques (RMF) du NIST

Le RMF du NIST fournit un framework détaillé qui offre des conseils sur la façon d’intégrer la sécurité, la confidentialité et la gestion des risques pour les systèmes informatiques tout au long de leur cycle de vie. FedRAMP s’appuie sur le RMF du NIST en appliquant ses principes spécifiquement à l’autorisation des services cloud pour une utilisation fédérale. Certaines parties du RMF du NIST ont été personnalisées pour fournir des conseils sur la manière de relever les défis propres au cloud computing. Les principes qui se recoupent entre le RMF NIST et FedRAMP comprennent les processus d’autorisation, la surveillance continue et une approche basée sur les risques.

FedRAMP est-il identique au NIST ?

FedRAMP n’est pas la même chose que le NIST. Bien qu’ils soient liés en termes de focus sur les normes et les frameworks de sécurité, ils répondent à des objectifs différents et fonctionnent dans des contextes distincts. FedRAMP peut être considéré comme une application des lignes directrices plus larges du NIST pour les services cloud destinés aux agences fédérales.

Le NIST fournit les frameworks et lignes directrices fondamentaux à partir desquels FedRAMP dérive certaines de ses exigences spécifiques pour la sécurité du cloud au sein du gouvernement fédéral américain. FedRAMP s’appuie directement sur les frameworks du NIST, tels que le NIST SP 800-53, en adaptant ces normes aux besoins spécifiques de la sécurité du cloud et aux risques uniques associés aux environnements de cloud computing.

Plus précisément, les contrôles de sécurité requis par FedRAMP sont sélectionnés à partir de la Publication spéciale NIST 800-53, mais sont adaptés à l’environnement cloud. FedRAMP incorpore des contrôles ou des conseils supplémentaires lorsque cela est nécessaire pour les problèmes de sécurité spécifiques au cloud.

Où se trouve le PMO FedRAMP ?

Le bureau de gestion du programme (PMO) se trouve au sein de l’Administration des services généraux (GSA). La GSA est une agence gouvernementale américaine créée pour soutenir le fonctionnement de base des agences fédérales en gérant les bâtiments gouvernementaux, en achetant des produits et des services et en fournissant un soutien en matière d’informatique et de communication. Le PMO FedRAMP opère sous les auspices de la GSA, tirant parti de sa position pour coordonner et superviser la mise en œuvre de la certification parmi les différents fournisseurs de services cloud (CSP), les agences gouvernementales et les autres parties prenantes impliquées dans l’adoption de services cloud au sein du gouvernement fédéral.

Combien coûte la certification FedRAMP ?

Le coût pour obtenir la certification FedRAMP, plus communément appelée autorisation FedRAMP, varie largement en fonction de plusieurs facteurs, tels que la complexité de l’environnement du fournisseur de services cloud (CSP), le niveau d’autorisation recherché (par exemple, FedRAMP Personnalisé, FedRAMP Modéré ou FedRAMP Élevé), et si le CSP cherche à obtenir une autorisation provisoire d’exploitation (P-ATO) de la Commission mixte d’autorisation (JAB) ou une ATO de l’agence par le biais d’un parrainage.

Principaux éléments de coût impliqués dans le processus de certification FedRAMP.

• Coûts liés à la préparation de la procédure d’autorisation FedRAMP, y compris :
  • Les frais de consultation, si un CSP engage des consultants externes pour l’aider à comprendre les exigences FedRAMP et à préparer la documentation nécessaire
  • Les coûts de main-d’œuvre interne
  • Les mises à niveau potentielles des systèmes pour satisfaire aux contrôles de sécurité FedRAMP
• Les coûts liés à l’organisme d’évaluation tiers (3PAO)
• Les coûts de remédiation, après l’évaluation initiale par un 3PAO, pour répondre aux conclusions en améliorant leurs systèmes ou processus pour répondre aux exigences de sécurité spécifiques.
• Le développement d’une documentation complète et la mise en œuvre d’outils et de services de surveillance continue
• Les évaluations annuelles pour maintenir la certification
• Les coûts opérationnels, y compris :
  • La formation du personnel et le personnel spécialisé
  • Les mises à jour technologiques et de sécurité pour rester en conformité avec les normes FedRAMP et faire face à l’évolution des menaces.

Bien que le coût total de la certification FedRAMP pour un CSP puisse varier considérablement, les estimations commencent généralement aux alentours de 150 000 dollars. Elles peuvent aller jusqu’à plus de 2 millions de dollars pour des déploiements importants ou complexes. Les coûts peuvent même dépasser le million de dollars. De plus, les coûts annuels de maintien de la conformité FedRAMP peuvent aller de 100 000 à 300 000 dollars, voire plus, par an.

Autorisation FedRAMP : l’assurance d’une sécurité au-delà du gouvernement fédéral

Pour de nombreuses organisations, FedRAMP remplit une double fonction : gagner la confiance des clients. L’obtention de cette autorisation est une validation puissante de la sécurité du service ou de la solution des fournisseurs de cloud. Au-delà du respect des exigences minimales pour fournir des services ou des solutions cloud aux agences fédérales, FedRAMP montre aux organisations non gouvernementales que le fournisseur prend la sécurité au sérieux et qu’il a validé son efficacité par des examens et des tests rigoureux.

Le fait de recevoir l’autorisation offre aux fournisseurs de services ou de solutions cloud un certain nombre d’autres avantages, notamment :

• La possibilité de s’appuyer sur FedRAMP pour répondre aux évaluations et aux exigences de sécurité d’autres agences.
• Une visibilité en temps réel de la sécurité
• Des économies de coûts, de temps et de ressources
• Une gestion uniforme basée sur les risques

Le processus FedRAMP demande du temps et des efforts, mais l’autorisation s’est révélée payante pour les fournisseurs de services et de solutions cloud qui l’ont obtenue.