Solutions cloud certifiées FedRAMP

La sécurité des services cloud est une préoccupation majeure pour les agences fédérales américaines. Le traitement des données gouvernementales sensibles nécessite un niveau de confiance et de vérification qui va bien au-delà des pratiques commerciales standard. Le programme fédéral de gestion des risques et des autorisations (FedRAMP) fournit une approche normalisée pour l'évaluation de la sécurité, l'autorisation et la surveillance continue des produits et services cloud. Pour un fournisseur de services cloud (CSP), l'obtention de la certification FedRAMP est une étape cruciale, qui signifie que sa solution répond aux normes de sécurité rigoureuses requises pour une utilisation par le gouvernement fédéral.

FedRAMP est un programme gouvernemental qui établit une base de référence pour la sécurité des offres cloud. Lorsqu'une solution cloud est désignée comme « certifiée FedRAMP » ou, plus précisément, « autorisée FedRAMP », cela confirme que l'offre a fait l'objet d'une évaluation de sécurité approfondie et normalisée. Cette autorisation démontre que la solution d'un fournisseur de services cloud (CSP) a mis en œuvre les contrôles nécessaires pour protéger les informations fédérales.

Le programme a été conçu pour éliminer les évaluations de sécurité redondantes et incohérentes entre les différentes agences, en créant un cadre unique et fiable. Une autorisation délivrée par une agence peut être utilisée par d'autres, selon le principe « faire une fois, utiliser plusieurs fois ». Ce processus permet aux agences gouvernementales et aux fournisseurs de services cloud de gagner du temps, d'économiser des ressources et de réduire leurs efforts.

Il existe deux voies principales pour obtenir l'autorisation :

1. Autorisation provisoire (P-ATO) du Comité mixte d'autorisation (JAB) : Le JAB est composé des directeurs des systèmes d'information (CIO) du ministère de la Guerre (DoW), du ministère de la Sécurité intérieure (DHS) et de l'Administration des services généraux (GSA). Une P-ATO délivrée par le JAB représente le summum en matière de confiance dans la sécurité et est prioritaire pour les solutions cloud largement applicables à l'ensemble du gouvernement.

2. Autorisation d'exploitation (ATO) délivrée par une agence : un fournisseur de services cloud peut travailler directement avec une agence fédérale spécifique afin d'obtenir une ATO pour son offre de services cloud. L'agence examine le dispositif de sécurité du fournisseur et, s'il répond aux exigences, lui accorde une autorisation d'utilisation au sein de cette agence. Cette ATO peut ensuite être examinée et réutilisée par d'autres agences.

Le processus d'obtention de la certification FedRAMP est méthodique et nécessite un investissement important en temps et en ressources. Bien que les détails varient en fonction du processus d'autorisation (JAB ou agence), les étapes fondamentales sont généralement les mêmes.

Phase 1 : Préparation

Au cours de cette phase initiale, le CSP détermine si son service est adapté au marché fédéral. Le fournisseur doit documenter l'architecture de son système, identifier les limites du système à autoriser et classer son système d'information selon les normes FIPS 199 (impact faible, modéré ou élevé). Cette classification détermine le nombre et la rigueur des contrôles de sécurité à mettre en œuvre. Le CSP fait également appel à un organisme d'évaluation tiers (3PAO) accrédité par FedRAMP pour effectuer des tests de sécurité indépendants.

Phase 2 : Évaluation

Au cours de la phase d'évaluation, le 3PAO procède à une évaluation complète de la sécurité. Cela implique de tester les contrôles de sécurité mis en œuvre par le CSP afin de vérifier leur efficacité et leur conformité aux exigences FedRAMP. Le 3PAO produit un rapport d'évaluation de la sécurité (SAR) qui détaille les résultats des tests. Le CSP utilise ce rapport pour créer un plan d'action et des jalons (POA&M) afin de suivre et de corriger toute vulnérabilité identifiée.

Phase 3 : Autorisation

Au cours de cette phase, le JAB ou l'organisme parrain examine l'ensemble des mesures de sécurité. Cet ensemble comprend le plan de sécurité du système (SSP), le SAR, le POA&M et d'autres documents justificatifs. Si l'organisme d'autorisation estime que le risque de sécurité est acceptable, il accorde une P-ATO ou une ATO. La solution autorisée est alors répertoriée sur la plateforme FedRAMP Marketplace, où elle est visible et accessible à toutes les agences fédérales.

Phase 4 : Surveillance continue

La certification FedRAMP n'est pas un événement ponctuel. Les CSP autorisés doivent surveiller en permanence leurs contrôles de sécurité, rendre compte de leur état et se soumettre à des évaluations annuelles par un 3PAO. Cela garantit que la solution maintient son niveau de sécurité au fil du temps et s'adapte aux menaces émergentes. Ce processus continu offre aux agences l'assurance que les services qu'elles utilisent restent sécurisés tout au long de leur cycle de vie.

Bien que le mandat concerne les agences fédérales, la valeur du FedRAMP s'étend à d'autres secteurs qui traitent des informations sensibles.

• Gouvernements étatiques et locaux : de nombreuses entités gouvernementales étatiques et locales considèrent le cadre FedRAMP comme une norme fiable pour l'achat de services cloud, même s'il ne s'agit pas d'une exigence formelle.

• Infrastructures critiques : les secteurs tels que l'énergie, la finance, la santé et les transports gèrent des données hautement sensibles et sont confrontés à d'importantes cybermenaces. Ces organisations préfèrent ou exigent souvent que leurs fournisseurs de services cloud disposent d'une autorisation FedRAMP, gage d'une sécurité robuste.

• Base industrielle de défense (DIB) : les entreprises sous contrat avec le ministère de la Guerre traitent des informations non classifiées contrôlées (CUI) et doivent respecter des exigences de sécurité strictes telles que celles du CMMC. Une certification FedRAMP est souvent considérée comme une base solide pour satisfaire à ces autres obligations de conformité.

Pour toute organisation où la sécurité des données et la conformité réglementaire sont primordiales, une solution certifiée FedRAMP offre une garantie de protection validée. Elle confirme que le fournisseur a investi dans un programme de sécurité mature capable de protéger les actifs informationnels critiques contre les menaces sophistiquées.