Les violations de données étant de plus en plus fréquentes, les clients se méfient naturellement des entreprises qui pourraient être des cibles faciles. Personne ne veut travailler avec une organisation qui présente un risque de piratage élevé. Et cela s'applique en particulier aux institutions gouvernementales.
Si l'on peut supposer que les agences fédérales disposent d'une sécurité impénétrable, les données suggèrent le contraire. En plus d'être tout aussi vulnérables que d'autres organisations, elles constituent également une cible de premier plan pour les pirates.
2018 a été la plus mauvaise année pour le gouvernement américain en termes de cybersécurité. Au cours de cette année, on a recensé 13 107 violations dans des agences fédérales. Cela a entraîné des coûts pour un montant total de 13,7 milliards de dollars.
Compte tenu de la nature sensible des informations que les agences fédérales possèdent sur le pays et ses citoyens, ces menaces sont une cause de préoccupation majeure.
C'est pourquoi le gouvernement fédéral prend la cybersécurité au sérieux en mettant en place des directives que toutes les organisations partenaires doivent suivre. En veillant à ce que ses partenaires maintiennent des normes et des autorisations de cybersécurité élevées, le gouvernement réduit ses risques.
Le Programme fédéral de gestion des risques et des autorisations (FedRAMP, Federal Risk and Authorization Management Program) est l'une des initiatives du gouvernement pour aider les organisations à fournir des services et des produits cloud sécurisés.
Dans cet article, vous trouverez un aperçu complet du programme FedRAMP et découvrirez de quoi il s'agit, ses objectifs, quand il a été développé, à qui il s'applique, pourquoi il est important, les modalités de certification, les étapes pour obtenir l'autorisation FedRAMP, et bien plus encore.
Qu'est-ce que le FedRAMP ?
Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est un programme du gouvernement américain qui offre une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services cloud.
Le FedRAMP vise à réduire le risque de violation de données et à protéger les informations sensibles en garantissant que les produits et services cloud répondent à un niveau minimum d'exigences de sécurité.
Quel est l'objectif du FedRAMP ?
Au cours de la dernière décennie, la technologie cloud a pris une grande importance, et pour une bonne raison : elle a permis de faire évoluer les services plus facilement et plus rapidement.
Cependant, la promesse d'une prestation de services plus rapide s'accompagne d'un risque accru, notamment en ce qui concerne la protection des données des clients.
Le FedRAMP fournit un ensemble de normes et de processus de sécurité qui garantissent que les services et produits basés sur le cloud sont fiables, sûrs et sécurisés.
Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est né 2011. Le FedRAMP rationalise l'évaluation de la sécurité, l'autorisation et la surveillance continue des produits et services cloud utilisés par les agences fédérales qui stockent, traitent ou partagent des informations fédérales.
Les objectifs du FedRAMP peuvent être résumés comme suit :
- Garantir la sécurité des informations fédérales lors de l'utilisation de services cloud
- Faire gagner du temps et de l'argent au gouvernement fédéral en rendant les services cloud réutilisables
Pour atteindre ces objectifs, le FedRAMP se concentre sur plusieurs domaines. En voici quelques-uns :
- Élaborer un processus d'autorisation de sécurité unique et fiable pour contribuer à réduire les efforts contrastés que l'on observe souvent dans diverses agences
- Tirer parti du NIST et de la loi FISMA pour évaluer la sécurité du cloud
- Renforcer la collaboration entre les fournisseurs et les agences
- Favoriser l'uniformité entre les packages de sécurité en normalisant les pratiques d'excellence
- Aider les agences à s'adapter au cloud en créant un référentiel central pour les ressources partagées
Histoire du FedRAMP
Bien que le FedRAMP ait été lancé il y a plus de dix ans, ses racines sont encore plus anciennes. Pour améliorer les services gouvernementaux électroniques, le Congrès a adopté la loi de 2002 sur l'administration électronique. Cette loi a établi un poste de responsable des technologies de l'information fédéral au sein de l'Office of Management and Budget (OMB).
L'une de ses principales fonctions était l'application de la loi de gestion de la sécurité des informations fédérales de 2002 (FISMA). Elle préconisait l'utilisation d'un cadre de cybersécurité pour se défendre contre les menaces. Depuis lors, la technologie cloud est l'une des technologies qui a modifié la manière dont les agences fédérales interagissent avec les données.
La technologie cloud améliore l'efficacité et réduit considérablement les coûts d'exploitation et d'approvisionnement, ce qui permet aux administrations fédérales d'économiser des milliards de dollars en coûts annuels. Cependant, elle est également plus exposée aux risques.
En 2011, le gouvernement américain a officiellement créé le FedRAMP pour régir les fournisseurs de services cloud offrant des services et des produits aux agences fédérales. Cette décision a fait suite à un mémo de Steve VanRockel, Federal CIO pour l'OMB, aux agences fédérales américaines où il soulignait le besoin d'un cadre de sécurité pour le cloud.
Il proposait l'établissement du FedRAMP comme un outil efficace pour gérer les risques de sécurité des services cloud. Le programme a été officiellement lancé en 2012 lorsque le gouvernement américain a autorisé son implémentation et commencé à certifier les fournisseurs de services cloud.
Depuis lors, le FedRAMP a évolué et constitue désormais la norme fédérale pour les évaluations de la sécurité du cloud garantissant la sécurité des services cloud dans les agences fédérales.
Quelle est la portée du FedRAMP ?
Le FedRAMP s'applique à tout service ou produit cloud utilisé par le gouvernement fédéral. Cela comprend Amazon Web Services (AWS), Microsoft Azure et Google cloud Platform. Il s'applique également aux fournisseurs de services et aux vendeurs qui offrent des services au nom du gouvernement.
Le programme FedRAMP exige des fournisseurs de services cloud qu'ils conçoivent et mettent en œuvre un environnement sécurisé efficace répondant aux contrôles de sécurité requis.
Pourquoi le FedRAMP est-il important ?
Aujourd'hui, les agences gouvernementales s'appuient plus que jamais sur des services cloud sécurisés. La prolifération de la technologie mobile a obligé les organisations à adopter de nouvelles technologies telles que le cloud computing, l'Infrastructure-as-a-Service (IaaS) et le Software-as-a-Service (SaaS) pour rester compétitives.
Le programme FedRAMP est important car il garantit que les services cloud utilisés par le gouvernement fédéral répondent aux normes de sécurité. Il permet de protéger les données fédérales, de réduire les coûts et d'améliorer l'efficacité. En fournissant aux agences un moyen efficace d'évaluer et de gérer le risque des services cloud, le FedRAMP simplifie le processus d'identification, d'évaluation et d'autorisation des services cloud utilisés par les agences fédérales. (Voir conformité réglementaire pour plus d'informations)
Comment obtenir la certification FedRAMP ?
Pour obtenir la certification FedRAMP, les fournisseurs de services cloud doivent se soumettre à un processus d'autorisation rigoureux. Le processus commence par un questionnaire d'auto-évaluation sur leur service ou produit cloud. Une fois que le questionnaire est rempli et approuvé, il faut soumettre un dossier d'évaluation de l'impact et une stratégie d'action avec des objectifs.
Le dossier d'évaluation de l'impact fournit un aperçu de l'architecture et des contrôles de sécurité du système, tandis que la stratégie d'action avec des objectifs décrit les exigences de sécurité que les organisations doivent respecter.
Une fois que ces deux éléments sont approuvés, les fournisseurs de services cloud peuvent démarrer le processus officiel de certification FedRAMP.
L'autorisation FedRAMP peut être obtenue de deux manières :
1. Avec l'autorisation provisoire d'exploitation du Joint Authorization Board (JAB, commission d'autorisation conjointe)
Le JAB émet une autorisation provisoire dans ce processus, qui permet aux agences de savoir que le risque a été examiné. L'autorisation du JAB est une première approbation importante, et le fournisseur de services cloud doit ensuite la soumettre à un examen complet de l'agence.
Ce processus est très avantageux pour les fournisseurs de services cloud présentant un risque élevé ou modéré.
2. Autorisation de l'agence
Les agences sont responsables de l'autorisation des services cloud et des produits qui utilisent les normes du FedRAMP. Elles doivent évaluer le risque global et déterminer si le système est conforme à toutes les exigences de sécurité avant de pouvoir l'autoriser.
Catégories de conformité FedRAMP
Le gouvernement américain a établi différentes catégories de conformité FedRAMP : faible, modérée, élevée et non autorisée. Des exigences de sécurité sont associées à chaque catégorie en fonction de la sensibilité des informations concernées.
De plus, les catégories sont basées sur l'impact potentiel d'une faille de sécurité sur trois domaines clés :
- Confidentialité : protection de vie privée et des informations propriétaires
- Intégrité : protection de l'exactitude et l'exhaustivité des données
- Disponibilité : garantie de l'accès aux utilisateurs autorisés en cas de besoin
1. Niveau d'impact faible du FedRAMP
La sécurité pour le faible niveau d'impact constitue la référence pour les systèmes et les données en cloud. Elle est conçue pour prendre en charge les services et les produits destinés à un usage public à niveau de risque faible. Les systèmes et les informations de ce niveau ne sont pas critiques pour les objectifs, les opérations, les finances, la réputation ou le personnel d'une agence. Par conséquent, toute perte de confidentialité ou de disponibilité n'aura pas d'impact significatif.
125 contrôles sécurisent les systèmes à ce niveau. Il s'agit des technologies et processus que les fournisseurs de services cloud utilisent pour sécuriser les données gouvernementales stockées dans le cloud.
2. Niveau d'impact modéré du FedRAMP
À ce niveau d'impact, les données sont classées comme informations contrôlées non classifiées. Elles ne sont pas accessibles au public et comprennent des informations personnelles identifiables. Ce type de données est soumis aux 325 contrôles du niveau d'impact modéré du FedRAMP.
Si ces contrôles ne sont pas en place, cela pourrait avoir un impact direct sur l'objectif principal d'une agence. Les activités courantes pourraient être entravées, des ressources pourraient être perdues et les informations confidentielles de personnes pourraient être divulguées.
3. Niveau d'impact important du FedRAMP
Avant juin 2016, lorsque le FedRAMP a publié la référence de sécurité de haut niveau, les agences gouvernementales ne pouvaient faire appel aux services de fournisseurs de cloud pour les opérations de niveau de base et modéré. Mais grâce à cette référence de sécurité de haut niveau, les agences peuvent désormais passer des contrats avec des fournisseurs de services cloud pour des opérations plus sensibles.
Les systèmes à haut risque doivent être soumis à 421 contrôles destinés à protéger les données classées comme actifs de grande valeur. Une agence est généralement propriétaire de ces données, qui peuvent comprendre des informations relatives à la sécurité nationale, des secrets commerciaux et des dossiers financiers.
Les 421 contrôles sont complets et assurent le plus haut niveau de protection des données gouvernementales sensibles stockées dans le cloud.
Le niveau d'impact élevé doit être utilisé pour les informations non classifiées les plus sensibles du gouvernement fédéral. Cela s'applique aux zones où une violation peut avoir des conséquences désastreuses telles que des dommages à une institution, une faillite ou un décès. Il s'agit notamment des forces de l'ordre, des services d'urgence, des services financiers et des systèmes de santé.
Gouvernance du FedRAMP
Le FedRAMP est supervisé par des entités du pouvoir exécutif qui travaillent ensemble pour développer, gérer et exploiter le programme. Les organes directeurs du FedRAMP sont les suivants :
- Le Joint Authorization Board (JAB, commission d'autorisation conjointe) : il s'agit du principal organisme de gouvernance et de prise de décision du FedRAMP. Il est composé de responsables des technologies de l'information (CIO) du département de la sécurité intérieure, de l'administration des services généraux (GSA), et du département de la défense.
- Office of Management and Budget (OMB, bureau de la gestion et du budget) : l'OMB fournit des conseils, des orientations et des politiques sur la technologie de l'information fédérale.
- FedRAMP Program Management Office (PMO, bureau de gestion du programme) : ce bureau est chargé d'élaborer le cadre du programme, de gérer les efforts de conformité et de superviser les fournisseurs de services.
- Conseil des responsables des technologies de l'information : il fournit des orientations et des conseils aux agences sur les initiatives de cloud computing.
- Département de la sécurité intérieure : il offre des évaluations techniques et de cybersécurité des fournisseurs de services cloud par le biais de leur processus d'autorisation d'exploitation.
Exemples de programmes certifiés FedRAMP
Le programme fédéral de gestion des risques et des autorisations a certifié plusieurs services basés sur le cloud, notamment :
- Amazon Web Services (AWS)
- Microsoft Azure Government Cloud
- Google Cloud Platform pour les administrations
- Salesforce
- Oracle Cloud Infrastructure pour les administrations
Ces services basés sur le cloud sont conformes aux exigences de sécurité du FedRAMP et ont obtenu l'autorisation nécessaire. Par conséquent, les agences fédérales peuvent utiliser l'un de ces services pour stocker des données gouvernementales sensibles dans le cloud sans compromettre leur sécurité.
Certification FedRAMP
Pour être certifiés, les fournisseurs de services cloud doivent répondre aux exigences de sécurité décrites dans le Cadre du FedRAMP. Ils doivent notamment établir un rapport d'évaluation des risques décrivant les risques associés au service proposé, un plan d'évaluation de la sécurité décrivant comment les risques seront atténués, et un dossier d'autorisation démontrant la conformité aux contrôles.
Une fois que le fournisseur de services cloud a satisfait à toutes ces exigences, il peut demander une autorisation d'exploitation pour ses services dans un environnement gouvernemental. S'il obtient l'approbation, il recevra une autorisation provisoire d'exploitation (P-ATO) du JAB (commission d'autorisation conjointe), valable pendant trois ans.
Étapes du processus d'autorisation du FedRAMP
Le processus d'autorisation du FedRAMP comporte quatre étapes générales, quel que soit le type d'autorisation spécifique demandé.
- Le développement du dossier comprend une réunion de lancement du processus d'autorisation, puis le fournisseur doit établir une stratégie de sécurité du système. Ensuite, une organisation d'évaluation tierce approuvée par le FedRAMP élabore une stratégie d'évaluation de la sécurité.
- Évaluation : l'organisation d'évaluation de la sécurité soumet un rapport détaillant ses conclusions et ses recommandations. Le fournisseur de services crée une stratégie de remédiation avec des objectifs pour corriger les lacunes identifiées dans le rapport.
- Autorisation : une fois que le JAB ou l'agence d'autorisation détermine que les risques sont suffisamment faibles, il envoie une lettre d'autorisation d'exploitation au bureau de gestion de projet du FedRAMP. Ensuite, le nom du fournisseur est ajouté au marketplace FedRAMP.
- Suivi : chaque agence qui utilise le service de sécurité recevra des rapports de suivi mensuels.
Meilleures pratiques en matière d'autorisation FedRAMP
Obtenir l'autorisation FedRAMP n'est pas une mince affaire, mais il est crucial pour toutes les parties concernées que les fournisseurs de services cloud réussissent une fois le processus entamé.
Le FedRAMP a interrogé plusieurs petites entreprises et start-ups sur les leçons qu'elles ont tirées de l'autorisation afin d'aider les autres. Voici les sept meilleurs conseils de ces entreprises pour un processus d'autorisation réussi :
- Déterminer comment le FedRAMP s'applique à votre produit et effectuer une analyse des écarts.
- Obtenir la participation de toute l'organisation, y compris des membres de l'équipe technique et de l'équipe de direction.
- Trouver une agence partenaire qui utilise déjà votre produit ou s'engage à l'utiliser.
- Définir clairement toutes vos limites, des composants internes aux connexions avec des services externes et à la façon dont les informations et les métadonnées circulent.
- Considérer le FedRAMP comme un programme continu qui surveille les services en permanence, plutôt qu'un projet avec une fin déterminée.
- Réfléchir soigneusement à votre approche d'autorisation, car vous pourriez avoir besoin de plusieurs autorisations pour différents produits.
- Le PMO du FedRAMP est un atout important qui peut vous aider à répondre à vos questions techniques et à établir une planification à long terme.
Avantages de la conformité FedRAMP
La conformité FedRAMP est obligatoire, cependant, vous ne devriez pas la voir comme une obligation mais plutôt comme un investissement. En effet, l'obtention d'une certification présente des avantages considérables, notamment :
- Une confiance et une sécurité accrues en matière de stockage de données gouvernementales confidentielles.
- La réduction des coûts grâce à la diminution du besoin d'entretien de l'infrastructure et du data center.
- Un processus d'autorisation simplifié qui permet aux agences d'accéder rapidement aux services cloud.
- Une augmentation de la part de marché, car les agences gouvernementales sont plus susceptibles de choisir des fournisseurs conformes au FedRAMP plutôt que ceux qui ne sont pas certifiés.
- Une amélioration de la conformité avec d'autres normes de sécurité telles que HIPAA et SOX.
- La réduction du risque de violation des données et d'autres attaques malveillantes grâce à la mise en place d'un système robuste.
- La réduction du délai de mise sur le marché des services grâce à des fonctionnalités conformes au FedRAMP.
- Une confiance renforcée entre les agences fédérales et les fournisseurs de services cloud.
Conclusion
Le FedRAMP est une mesure de cybersécurité importante pour les agences gouvernementales et les fournisseurs de services cloud. Il offre un haut niveau d'assurance que les données sensibles sont sécurisées et aide les entreprises à obtenir une plus grande part de marché.
Contactez-nous dès aujourd'hui pour vous lancer. Nous sommes là pour vous aider à gérer la complexité de la conformité FedRAMP et à assurer la sécurité de vos données.
Veritas compte parmi ses clients 95 % des entreprises du Fortune 100, et NetBackup™ est le premier choix des entreprises qui souhaitent sauvegarder de grandes quantités de données.
Foire aux questions (FAQ)