Rouleaux de caméra de célébrités piratés. Cyberespionnage basé sur l’État. Et tout le reste. La sécurité des données a une vaste gamme d’applications. Et c’est une préoccupation majeure pour tous ceux qui utilisent ou fournissent des services basés sur le cloud.

Lorsque des données gouvernementales sont impliquées, ces préoccupations peuvent atteindre le niveau de sécurité nationale. C’est pourquoi le gouvernement américain exige que tous les services cloud utilisés par les agences fédérales respectent un ensemble méticuleux de normes de sécurité appelées FedRAMP.

Alors, qu’est-ce que FedRAMP et qu’est-ce que cela implique? Vous êtes au bon endroit pour le savoir.

Qu’est-ce que FedRAMP?

FedRAMP signifie «Programme fédéral de gestion des risques et des autorisations». Il normalise l’évaluation de la sécurité et l’autorisation des produits et services cloud utilisés par les agences fédérales américaines.

L’objectif est de s’assurer que les données fédérales sont systématiquement protégées à un niveau élevé dans le cloud.

Obtenir une autorisation FedRAMP est une affaire sérieuse. Le niveau de sécurité requis est imposé par la loi. Il existe 14 lois et règlements applicables, ainsi que 19 normes et documents d’orientation. Il s’agit de l’une des certifications de logiciel en tant que service les plus rigoureuses au monde.

Voici une brève introduction:

FedRAMP existe depuis 2012. C’est à ce moment-là que les technologies cloud ont vraiment commencé à remplacer les solutions logicielles connectées obsolètes. Il est né de la stratégie «Cloud First» du gouvernement américain. Cette stratégie obligeait les agences à considérer les solutions basées sur le cloud comme premier choix.

Avant FedRAMP, les fournisseurs de services cloud devaient préparer un package d’autorisation pour chaque agence avec laquelle ils souhaitaient travailler. Les exigences n’étaient pas cohérentes. Et il y avait beaucoup d’efforts en double pour les prestataires et les agences.

FedRAMP a introduit la cohérence et rationalisé le processus.

Désormais, les évaluations et les exigences sont standardisées. Plusieurs agences gouvernementales peuvent réutiliser le package de sécurité d’autorisation FedRAMP du fournisseur.

L’adoption initiale de FedRAMP a été lente. Seules 20 offres de services cloud ont été autorisées au cours des quatre premières années. Mais le rythme s’est vraiment accéléré depuis 2018 et il existe désormais 204 produits cloud autorisés par FedRAMP.

Croissance de FedRAMP par les produits cloud autorisés

La source: FedRAMP

FedRAMP est contrôlé par un Joint Authorization Board (JAB). Le conseil est composé de représentants de:

  • le Département de la sécurité intérieure
  • l’Administration des services généraux, et
  • le ministère de la Défense.

Le programme est approuvé par le gouvernement fédéral américain Conseil des directeurs de l’information.

Pourquoi la certification FedRAMP est-elle importante?

Tous les services cloud contenant des données fédérales nécessitent une autorisation FedRAMP. Donc, si vous souhaitez travailler avec le gouvernement fédéral, l’autorisation FedRAMP est une partie importante de votre plan de sécurité.

FedRAMP est important car il garantit la cohérence de la sécurité des services cloud du gouvernement et parce qu’il garantit la cohérence dans l’évaluation et la surveillance de cette sécurité. Il fournit un ensemble de normes pour toutes les agences gouvernementales et tous les fournisseurs de cloud.

Les fournisseurs de services cloud autorisés par FedRAMP sont répertoriés dans le Marché FedRAMP. Cette place de marché est le premier endroit où les agences gouvernementales se tournent lorsqu’elles souhaitent se procurer une nouvelle solution cloud. Il est beaucoup plus facile et plus rapide pour une agence d’utiliser un produit déjà autorisé que de lancer le processus d’autorisation avec un nouveau fournisseur.

Ainsi, une inscription sur le marché FedRAMP vous rend beaucoup plus susceptible d’obtenir des affaires supplémentaires des agences gouvernementales. Mais cela peut également améliorer votre profil dans le secteur privé.

C’est parce que le marché FedRAMP est visible par le public. Toute entreprise du secteur privé peut faire défiler la liste des solutions autorisées par FedRAMP.

C’est une excellente ressource lorsqu’ils cherchent à se procurer un produit ou un service cloud sécurisé.

L’autorisation FedRAMP peut rendre n’importe quel client plus sûr des protocoles de sécurité. Il représente un engagement continu à respecter les normes de sécurité les plus élevées.

L’autorisation FedRAMP augmente également considérablement votre crédibilité en matière de sécurité au-delà du marché FedRAMP. Vous pouvez partager votre autorisation sur les réseaux sociaux et sur votre site Web.

La vérité est que la plupart de vos clients ne savent probablement pas ce qu’est FedRAMP. Peu importe si vous êtes autorisé ou non. Mais pour les gros clients qui comprennent FedRAMP – dans les secteurs public et privé – le manque d’autorisation peut être un facteur décisif.

Que faut-il pour être certifié FedRAMP?

Il existe deux façons différentes de devenir autorisé par FedRAMP.

1. Autorité provisoire de fonctionnement du Joint Authorization Board (JAB)

Dans ce processus, le JAB délivre une autorisation provisoire. Cela permet aux agences de savoir que le risque a été examiné.

C’est une première approbation importante. Mais toute agence qui souhaite utiliser le service doit encore émettre sa propre autorisation d’exploitation.

Ce processus est le mieux adapté aux fournisseurs de services cloud à risque élevé ou modéré. (Nous aborderons les niveaux de risque dans la section suivante.)

Voici un aperçu visuel du processus JAB:

Processus JAB en 4 étapes pour FedRAMP

La source: FedRAMP

2. Autorité d’exploitation de l’agence

Dans ce processus, le fournisseur de services cloud établit une relation avec une agence fédérale spécifique. Cette agence est impliquée tout au long du processus. Si le processus réussit, l’agence émet une lettre d’autorisation d’exploiter.

La source: FedRAMP

Étapes de l’autorisation FedRAMP

Quel que soit le type d’autorisation que vous demandez, l’autorisation FedRAMP comprend quatre étapes principales:

  1. Développement de packages. Tout d’abord, il y a une réunion de lancement d’autorisation. Ensuite, le fournisseur complète un plan de sécurité du système. Ensuite, une organisation d’évaluation tierce approuvée par FedRAMP élabore un plan d’évaluation de la sécurité.
  2. Évaluation. L’organisme d’évaluation soumet un rapport d’évaluation de la sécurité. Le fournisseur crée un plan d’action et des jalons.
  3. Autorisation. Le JAB ou l’organisme ordonnateur décide si le risque tel que décrit est acceptable. Si oui, ils soumettent une lettre d’autorisation à l’exploitation au bureau de gestion de projet de FedRAMP. Le fournisseur est alors répertorié sur le marché FedRAMP.
  4. Surveillance. Le fournisseur envoie mensuellement des livrables de surveillance de la sécurité à chaque agence utilisant le service.

Meilleures pratiques d’autorisation FedRAMP

Le processus d’obtention de l’autorisation FedRAMP peut être difficile. Mais il est dans l’intérêt de toutes les personnes impliquées que les fournisseurs de services cloud réussissent une fois qu’ils ont lancé le processus d’autorisation.

Pour aider, FedRAMP a interrogé plusieurs petites entreprises et start-ups sur les leçons apprises lors de l’autorisation. Voici leurs sept meilleurs conseils pour naviguer avec succès dans le processus d’autorisation:

  1. Comprenez comment votre produit correspond à FedRAMP, y compris une analyse des écarts.
  2. Obtenez l’adhésion et l’engagement de l’organisation, y compris de la part de l’équipe de direction et des équipes techniques.
  3. Trouvez une agence partenaire – une agence qui utilise votre produit ou qui s’engage à le faire.
  4. Passez du temps à définir avec précision vos limites. Qui comprend:
    • composants internes
    • connexions à des services externes, et
    • le flux d’informations et de métadonnées.
  5. Considérez FedRAMP comme un programme continu, plutôt qu’un simple projet avec une date de début et de fin. Les services doivent être surveillés en permanence.
  6. Considérez attentivement votre approche d’autorisation. Plusieurs produits peuvent nécessiter plusieurs autorisations.
  7. Le PMO de FedRAMP est une ressource précieuse. Ils peuvent répondre aux questions techniques et vous aider à planifier votre stratégie.

Offres FedRAMP modèles pour aider les fournisseurs de services cloud à se préparer à la conformité FedRAMP.

Quelles sont les catégories de conformité FedRAMP?

FedRAMP propose quatre niveaux d’impact pour les services présentant différents types de risques. Ils sont basés sur les impacts potentiels d’une faille de sécurité dans trois domaines différents.

  • Confidentialité: Protections pour la confidentialité et les informations exclusives.
  • Intégrité: Protections contre la modification ou la destruction des informations.
  • Disponibilité: Accès rapide et fiable aux données.

Les trois premiers niveaux d’impact sont basés sur Norme fédérale de traitement de l’information (FIPS) 199 de l’Institut national des normes et de la technologie (NIST). Le quatrième est basé sur Publication spéciale NIST 800-37. Les niveaux d’impact sont:

  • Élevé, basé sur 421 contrôles. «On peut s’attendre à ce que la perte de confidentialité, d’intégrité ou de disponibilité ait un effet négatif grave ou catastrophique sur les opérations organisationnelles, les actifs organisationnels ou les individus.» Cela s’applique généralement à l’application de la loi, aux services d’urgence, aux systèmes financiers et de santé.
  • Modéré, basé sur 325 témoins. «On peut s’attendre à ce que la perte de confidentialité, d’intégrité ou de disponibilité ait un effet négatif grave sur les opérations de l’organisation, les actifs de l’organisation ou les individus.» Presque 80 pourcent des applications FedRAMP approuvées sont au niveau d’impact modéré.
  • Faible, basé sur 125 contrôles. «La perte de confidentialité, d’intégrité ou de disponibilité pourrait avoir un effet négatif limité sur les opérations organisationnelles, les actifs organisationnels ou les individus.»
  • Logiciel en tant que service à faible impact (LI-SaaS), basé sur 36 contrôles. Pour «Des systèmes à faible risque pour des utilisations telles que les outils de collaboration, les applications de gestion de projet et les outils qui aident à développer du code open source.» Cette catégorie est également connue sous le nom de FedRAMP sur mesure.

Cette dernière catégorie a été ajoutée en 2017 pour permettre aux agences d’approuver plus facilement les «cas d’utilisation à faible risque». Pour se qualifier pour FedRAMP Tailored, le fournisseur doit répondre oui à six questions. Ceux-ci sont affichés sur le Politique personnalisée de FedRAMP page:

  • Le service fonctionne-t-il dans un environnement cloud?
  • Le service cloud est-il pleinement opérationnel?
  • Le service cloud est-il un logiciel en tant que service (SaaS), tel que défini par NIST SP 800-145, The NIST Definition of Cloud Computing?
  • Le service cloud ne contient pas d’informations personnelles identifiables (PII), sauf si nécessaire pour fournir une capacité de connexion (nom d’utilisateur, mot de passe et adresse e-mail)?
  • Le service cloud a-t-il un faible impact sur la sécurité, tel que défini par FIPS PUB 199, Normes pour la catégorisation de la sécurité des systèmes d’information et d’information fédéraux?
  • Le service cloud est-il hébergé sur une plateforme en tant que service (PaaS) ou une infrastructure en tant que service (IaaS) autorisée par FedRAMP, ou le CSP fournit-il l’infrastructure cloud sous-jacente?

Gardez à l’esprit que la mise en conformité FedRAMP n’est pas une tâche ponctuelle. Vous vous souvenez de l’étape de surveillance de l’autorisation FedRAMP? Cela signifie que vous devrez soumettre régulièrement des audits de sécurité pour vous assurer rester Conforme à FedRAMP.

Exemples de produits certifiés FedRAMP

Il existe de nombreux types de produits et services autorisés par FedRAMP. Voici quelques exemples de fournisseurs de services cloud que vous connaissez et que vous utilisez peut-être déjà vous-même.

Services Web Amazon

Il existe deux listes AWS sur le marché FedRAMP. AWS GovCloud est autorisé au niveau supérieur. AWS US East / West est autorisé au niveau modéré.

AWS GovCloud a un énorme 292 autorisations. AWS US East / West dispose de 250 autorisations. C’est bien plus que n’importe quelle autre annonce sur le marché FedRAMP.

Adobe Analytics

Adobe Analytics a été autorisé en 2019. Il est utilisé par les Centers for Disease Control and Prevention et le Department of Health and Human Services. Ses autorisé au niveau LI-SaaS.

Adobe a en fait plusieurs produits autorisés au niveau LI-SaaS. (Comme Adobe Campaign et Adobe Document Cloud.) Ils ont également quelques produits autorisés au niveau Modéré:

  • Services gérés Adobe Connect
  • Services gérés Adobe Experience Manager.

Adobe est actuellement en train de passer de l’autorisation personnalisée FedRAMP à l’autorisation modérée FedRAMP pour Adobe Sign.

N’oubliez pas que c’est le service, et non le fournisseur de services, qui obtient l’autorisation. Comme Adobe, vous devrez peut-être obtenir plusieurs autorisations si vous proposez plusieurs solutions basées sur le cloud.

Mou

Autorisé en mai de cette année, Slack dispose de 21 autorisations FedRAMP. Le produit est autorisé au niveau modéré. Il est utilisé par les agences, notamment:

  • les Centers for Disease Control and Protection,
  • la Federal Communications Commission, et
  • la National Science Foundation.

Slack a initialement reçu l’autorisation personnalisée de FedRAMP. Ensuite, ils ont poursuivi l’autorisation modérée par partenariat avec le ministère des Anciens Combattants.

Slack veille à attirer l’attention sur les avantages de sécurité de cette autorisation pour les clients du secteur privé sur ses site Internet:

« Cette dernière autorisation se traduit par une expérience plus sécurisée pour les clients Slack, y compris les entreprises du secteur privé qui n’ont pas besoin d’un environnement autorisé par FedRAMP. Tous les clients utilisant les offres commerciales de Slack peuvent bénéficier des mesures de sécurité renforcées requises pour obtenir la certification FedRAMP. »

Trello Enterprise Cloud

Trello vient d’obtenir Li-SaaS autorisation en septembre. Trello n’est jusqu’à présent utilisé que par l’Administration des services généraux. Mais l’entreprise cherche à changer cela, comme on le voit dans ses publications sociales sur son nouveau statut FedRAMP:

Zendesk

Egalement autorisé en mai, Zendesk est utilisé par:

  • le ministère de l’Énergie,
  • l’Agence fédérale de financement du logement
  • le Bureau de l’Inspecteur général FHFA, et
  • l’Administration des services généraux.

La plate-forme de support client et d’assistance Zendesk a Li-Saas autorisation.

Informez et interagissez en toute sécurité sur les réseaux sociaux avec Hootsuite. À partir d’un tableau de bord unique, vous pouvez planifier et publier du contenu sur chaque réseau, surveiller les conversations pertinentes et mesurer le sentiment du public autour des programmes et des politiques avec une écoute et des analyses sociales en temps réel. Essayez-le gratuitement dès aujourd’hui.

S’inscrire