Passer au contenu principal
Logo Blackberry
Contexte du héros

Solutions cloud certifiées FedRAMP

La sécurité des services cloud est une préoccupation majeure pour les agences fédérales américaines. Le traitement de données gouvernementales sensibles exige un niveau de confiance et de vérification qui va bien au-delà des pratiques commerciales habituelles. Le programme fédéral de gestion des risques et des autorisations (FedRAMP) propose une approche standardisée pour l'évaluation de la sécurité, la certification et la surveillance continue des produits et services cloud. Pour un fournisseur de services cloud (CSP), l'obtention de la certification FedRAMP constitue une étape cruciale, indiquant que sa solution répond aux normes de sécurité rigoureuses requises pour une utilisation par le gouvernement fédéral.

Que signifie être certifié FedRAMP ?

FedRAMP est un programme à l'échelle du gouvernement qui définit des normes de base en matière de sécurité des offres de cloud. Lorsqu'une solution cloud est désignée comme « certifiée FedRAMP » ou, plus précisément, « certifiée FedRAMP », cela confirme que cette offre a fait l'objet d'une évaluation de sécurité approfondie et normalisée. Cette certification atteste que la solution d'un fournisseur de services cloud (CSP) a mis en place les contrôles nécessaires pour protéger les informations fédérales.

Ce programme a été conçu pour éliminer les évaluations de sécurité redondantes et incohérentes entre les différentes agences, en mettant en place un cadre unique et fiable. Une certification délivrée par une agence peut être reprise par d'autres, selon le principe « faire une fois, utiliser plusieurs fois ». Ce processus permet de gagner du temps, d'économiser des ressources et de réduire les efforts tant pour les agences gouvernementales que pour les fournisseurs de services cloud.

Il existe deux voies principales pour obtenir la certification :

  1. Autorisation provisoire (P-ATO) du Comité mixte d'autorisation (JAB) : Le JAB est composé des directeurs des systèmes d'information (CIO) du ministère de la Guerre (DoW), du ministère de la Sécurité intérieure (DHS) et de l'Administration des services généraux (GSA). Une P-ATO délivrée par le JAB représente le summum en matière de confiance dans la sécurité et est prioritaire pour les solutions cloud largement applicables à l'ensemble du gouvernement.

  2. Autorisation d'exploitation (ATO) délivrée par une agence : un fournisseur de services cloud (CSP) peut collaborer directement avec une agence fédérale spécifique afin d'obtenir une ATO pour son offre de services cloud. L'agence examine le dispositif de sécurité du CSP et, s'il répond aux exigences, accorde l'autorisation d'utilisation au sein de cette agence. Cette ATO peut ensuite être examinée et réutilisée par d'autres agences.

Le processus d'obtention de la certification FedRAMP

Le processus de certification FedRAMP est méthodique et nécessite un investissement considérable en temps et en ressources. Bien que les détails varient selon la voie de certification choisie (JAB ou agence), les étapes principales restent généralement les mêmes.

Phase 1 : Préparation

Cette phase initiale consiste pour un fournisseur de services cloud (CSP) à déterminer si son service est adapté au marché fédéral. Le fournisseur doit documenter l'architecture de son système, définir les limites du système à certifier et classer son système d'information selon les normes FIPS 199 (impact faible, modéré ou élevé). Ce classement détermine le nombre et le niveau de rigueur des contrôles de sécurité à mettre en œuvre. Le CSP fait également appel à un organisme d'évaluation tiers (3PAO) accrédité par FedRAMP pour effectuer des tests de sécurité indépendants.

Phase 2 : Évaluation

Au cours de la phase d'évaluation, le 3PAO procède à une évaluation complète de la sécurité. Cela implique de tester les contrôles de sécurité mis en œuvre par le CSP afin de vérifier leur efficacité et leur conformité aux exigences FedRAMP. Le 3PAO produit un rapport d'évaluation de la sécurité (SAR) qui détaille les résultats des tests. Le CSP utilise ce rapport pour créer un plan d'action et des jalons (POA&M) afin de suivre et de corriger toute vulnérabilité identifiée.

Phase 3 : Certification

Au cours de cette phase, le JAB ou l'organisme de parrainage examine l'ensemble du dossier de sécurité. Ce dossier comprend le plan de sécurité du système (SSP), le rapport d'évaluation de la sécurité (SAR), le plan d'action et de gestion (POA&M) ainsi que d'autres documents justificatifs. Si l'organisme chargé de l'examen estime que le risque de sécurité est acceptable, il délivre une autorisation provisoire (P-ATO) ou une autorisation définitive (ATO). La solution certifiée est ensuite répertoriée sur la plateforme FedRAMP Marketplace, où elle est visible et accessible à toutes les agences fédérales.

Phase 4 : Surveillance continue

La certification FedRAMP n'est pas un événement ponctuel. Les CSP autorisés doivent surveiller en permanence leurs contrôles de sécurité, rendre compte de leur état et se soumettre à des évaluations annuelles par un 3PAO. Cela garantit que la solution maintient son niveau de sécurité au fil du temps et s'adapte aux menaces émergentes. Ce processus continu offre aux agences l'assurance que les services qu'elles utilisent restent sécurisés tout au long de leur cycle de vie.

Bénéficiaires

Bien que le mandat concerne les agences fédérales, la valeur du FedRAMP s'étend à d'autres secteurs qui traitent des informations sensibles.

  • Gouvernements étatiques et locaux : de nombreuses entités gouvernementales étatiques et locales considèrent le cadre FedRAMP comme une norme fiable pour l'achat de services cloud, même s'il ne s'agit pas d'une exigence formelle.

  • Infrastructures critiques : des secteurs tels que l'énergie, la finance, la santé et les transports gèrent des données extrêmement sensibles et sont confrontés à des cybermenaces importantes. Ces organisations préfèrent souvent, voire exigent, que leurs fournisseurs de services cloud soient certifiés FedRAMP, ce qui constitue un gage de sécurité rigoureuse.

  • Base industrielle de défense (DIB) : les entreprises sous contrat avec le ministère de la Guerre traitent des informations non classifiées contrôlées (CUI) et doivent respecter des exigences de sécurité strictes telles que celles du CMMC. Une certification FedRAMP est souvent considérée comme une base solide pour satisfaire à ces autres obligations de conformité.

Pour toute organisation où la sécurité des données et la conformité réglementaire sont primordiales, une solution certifiée FedRAMP offre une garantie de protection validée. Elle confirme que le fournisseur a investi dans un programme de sécurité mature capable de protéger les actifs informationnels critiques contre les menaces sophistiquées.

BlackBerry pour des communications sécurisées

Sécurité certifiée. Autorité de confiance.

Les solutions BlackBerry Secure Communications sont certifiées par les autorités de sécurité les plus exigeantes au monde, pour vos opérations critiques.

Découvrez les certifications BlackBerry Secure Communications