Certification FedRAMP : Qu'est-ce que c'est, pourquoi c'est important et qui en bénéficie ?

Kimberly Parker

29-05-2023 Stratégie
  • Partage Ça
Kimberly Parker

Le piratage d'appareils photo de célébrités, le cyberespionnage d'État et bien d'autres choses encore. La sécurité des données a un large éventail d'applications et constitue une préoccupation majeure pour tous ceux qui utilisent ou fournissent des services en nuage.

Lorsque des données gouvernementales sont concernées, ces préoccupations peuvent atteindre le niveau de la sécurité nationale. C'est pourquoi le gouvernement américain exige que tous les services de cloud computing utilisés par les agences fédérales répondent à un ensemble méticuleux de normes de sécurité connues sous le nom de FedRAMP.

Pour savoir ce qu'est FedRAMP et ce qu'il implique, vous êtes au bon endroit.

Bonus : Lisez le guide de la stratégie des médias sociaux, étape par étape, avec des conseils de pro sur la manière de développer votre présence sur les médias sociaux.

Qu'est-ce que FedRAMP ?

FedRAMP est l'acronyme de "Federal Risk and Authorization Management Program" (programme fédéral de gestion des risques et des autorisations), qui normalise l'évaluation de la sécurité et l'autorisation des produits et services en nuage utilisés par les agences fédérales américaines.

L'objectif est de s'assurer que les données fédérales sont constamment protégées à un niveau élevé dans le nuage.

Obtenir l'autorisation de FedRAMP est une affaire sérieuse. Le niveau de sécurité requis est imposé par la loi. Il existe 14 lois et règlements applicables, ainsi que 19 normes et documents d'orientation. Il s'agit de l'une des certifications de logiciel-service les plus rigoureuses au monde.

Voici une brève introduction :

FedRAMP existe depuis 2012. C'est à ce moment-là que les technologies de l'informatique dématérialisée ont commencé à remplacer les solutions logicielles obsolètes. Il est né de la stratégie "Cloud First" du gouvernement américain, qui exigeait des agences qu'elles considèrent les solutions basées sur l'informatique dématérialisée comme un premier choix.

Avant l'entrée en vigueur de FedRAMP, les fournisseurs de services en nuage devaient préparer un dossier d'autorisation pour chaque agence avec laquelle ils souhaitaient travailler. Les exigences n'étaient pas cohérentes, et les fournisseurs et les agences faisaient beaucoup d'efforts en double.

Le FedRAMP a introduit la cohérence et rationalisé le processus.

Désormais, les évaluations et les exigences sont normalisées. Plusieurs agences gouvernementales peuvent réutiliser l'ensemble des autorisations de sécurité FedRAMP du fournisseur.

L'adoption initiale de FedRAMP a été lente : seules 20 offres de services cloud ont été autorisées au cours des quatre premières années. Mais le rythme s'est vraiment accéléré depuis 2018, et il y a maintenant 204 produits cloud autorisés par FedRAMP.

Source : FedRAMP

FedRAMP est contrôlé par une commission d'autorisation conjointe (JAB), composée de représentants de :

  • le département de la sécurité intérieure
  • la General Services Administration, et
  • le département de la défense.

Le programme est approuvé par le Federal Chief Information Officers Council du gouvernement américain.

Pourquoi la certification FedRAMP est-elle importante ?

Tous les services en nuage contenant des données fédérales nécessitent une autorisation FedRAMP. Ainsi, si vous souhaitez travailler avec le gouvernement fédéral, l'autorisation FedRAMP est un élément important de votre plan de sécurité.

FedRAMP est important parce qu'il garantit la cohérence de la sécurité des services en nuage du gouvernement et parce qu'il garantit la cohérence de l'évaluation et du contrôle de cette sécurité. Il fournit un ensemble de normes pour toutes les agences gouvernementales et tous les fournisseurs de nuages.

Les fournisseurs de services en nuage autorisés par FedRAMP sont répertoriés sur la place de marché FedRAMP. Cette place de marché est le premier endroit que les agences gouvernementales consultent lorsqu'elles veulent trouver une nouvelle solution en nuage. Il est beaucoup plus facile et rapide pour une agence d'utiliser un produit déjà autorisé que de commencer le processus d'autorisation avec un nouveau fournisseur.

Ainsi, une inscription sur la place de marché FedRAMP vous donne plus de chances d'obtenir des contrats supplémentaires de la part des agences gouvernementales, mais elle peut aussi améliorer votre profil dans le secteur privé.

En effet, la place de marché FedRAMP est visible par le public. Toute entreprise du secteur privé peut parcourir la liste des solutions autorisées par FedRAMP.

Il s'agit d'une excellente ressource lorsqu'ils cherchent à se procurer un produit ou un service de cloud sécurisé.

L'autorisation FedRAMP peut rendre tout client plus confiant dans les protocoles de sécurité. Elle représente un engagement continu à respecter les normes de sécurité les plus élevées.

L'autorisation FedRAMP renforce considérablement votre crédibilité en matière de sécurité, même au-delà de la place de marché FedRAMP. Vous pouvez partager votre autorisation FedRAMP sur les médias sociaux et sur votre site web.

La vérité est que la plupart de vos clients ne savent probablement pas ce qu'est FedRAMP. Ils ne se soucient pas de savoir si vous êtes autorisé ou non. Mais pour les gros clients qui comprennent FedRAMP - dans les secteurs public et privé - l'absence d'autorisation peut être un facteur de rupture.

Que faut-il faire pour être certifié FedRAMP ?

Il existe deux façons différentes d'obtenir l'autorisation FedRAMP.

1. commission d'autorisation conjointe (JAB) - autorisation provisoire d'exploitation

Dans ce processus, le JAB délivre une autorisation provisoire, ce qui permet aux agences de savoir que le risque a été examiné.

Il s'agit d'une première approbation importante, mais toute agence qui souhaite utiliser le service doit encore délivrer sa propre autorisation d'exploitation.

Ce processus convient mieux aux fournisseurs de services en nuage présentant un risque élevé ou modéré (nous nous plongerons dans les niveaux de risque dans la section suivante).

Voici un aperçu visuel du processus du JAB :

Source : FedRAMP

2. l'autorisation d'exploitation de l'Agence

Dans ce processus, le fournisseur de services en nuage établit une relation avec une agence fédérale spécifique. Cette agence est impliquée tout au long du processus. Si le processus est réussi, l'agence émet une lettre d'autorisation d'exploitation.

Source : FedRAMP

Étapes de l'autorisation FedRAMP

Quel que soit le type d'autorisation que vous recherchez, l'autorisation FedRAMP comporte quatre étapes principales :

  1. Développement de paquets. Il y a d'abord une réunion de lancement de l'autorisation, puis le fournisseur remplit un plan de sécurité du système. Ensuite, un organisme d'évaluation tiers approuvé par le FedRAMP élabore un plan d'évaluation de la sécurité.
  2. Évaluation. L'organisme d'évaluation soumet un rapport d'évaluation de la sécurité. Le fournisseur crée un plan d'action & ; jalons.
  3. Autorisation. Le JAB ou l'organisme d'autorisation décide si le risque décrit est acceptable. Si oui, il soumet une lettre d'autorisation d'exploitation au bureau de gestion du projet FedRAMP. Le fournisseur est alors inscrit sur la place de marché FedRAMP.
  4. Surveillance. Le fournisseur envoie des livrables mensuels de surveillance de la sécurité à chaque agence utilisant le service.

Meilleures pratiques en matière d'autorisation FedRAMP

Le processus d'obtention de l'autorisation FedRAMP peut être difficile, mais il est dans l'intérêt de toutes les parties concernées que les fournisseurs de services en nuage réussissent une fois qu'ils ont entamé le processus d'autorisation.

Pour les aider, FedRAMP a interrogé plusieurs petites entreprises et start-ups sur les leçons apprises lors de l'autorisation. Voici leurs sept meilleurs conseils pour naviguer avec succès dans le processus d'autorisation :

  1. Comprendre comment votre produit correspond à FedRAMP - y compris une analyse des lacunes.
  2. Obtenez l'adhésion et l'engagement de l'organisation, notamment de l'équipe de direction et des équipes techniques.
  3. Trouvez une agence partenaire - une agence qui utilise votre produit ou qui s'engage à le faire.
  4. Passez du temps à définir précisément vos limites, ce qui inclut :
    • composants internes
    • les connexions aux services externes, et
    • le flux d'informations et de métadonnées.
  5. Considérez le FedRAMP comme un programme continu, plutôt que comme un simple projet avec une date de début et de fin. Les services doivent être contrôlés en permanence.
  6. Réfléchissez bien à votre approche en matière d'autorisation. Plusieurs produits peuvent nécessiter plusieurs autorisations.
  7. Le PMO de FedRAMP est une ressource précieuse, qui peut répondre aux questions techniques et vous aider à planifier votre stratégie.

    FedRAMP propose des modèles pour aider les fournisseurs de services en nuage à se préparer à la conformité FedRAMP.

    Quelles sont les catégories de conformité FedRAMP ?

    FedRAMP propose quatre niveaux d'impact pour les services présentant différents types de risques, en fonction des conséquences potentielles d'une violation de la sécurité dans trois domaines différents.

    • La confidentialité : Protection de la vie privée et des informations exclusives.
    • Intégrité : Des protections contre la modification ou la destruction des informations.
    • Disponibilité : Accès rapide et fiable aux données.

    Les trois premiers niveaux d'impact sont basés sur la norme Federal Information Processing Standard (FIPS) 199 du National Institute of Standards and Technology (NIST). Le quatrième est basé sur la publication spéciale 800-37 du NIST. Les niveaux d'impact sont les suivants :

    • Élevé, sur la base de 421 contrôles. "La perte de confidentialité, d'intégrité ou de disponibilité pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, sur ses actifs ou sur les personnes", ce qui s'applique généralement aux systèmes d'application de la loi, aux services d'urgence, aux systèmes financiers et aux systèmes de santé.
    • Modéré, sur la base de 325 contrôles. "Près de 80 % des applications FedRAMP approuvées se situent au niveau d'impact modéré.
    • Faible, sur la base de 125 contrôles. "La perte de confidentialité, d'intégrité ou de disponibilité pourrait avoir un effet négatif limité sur les opérations de l'organisation, ses actifs ou les individus."
    • Low-Impact Software-as-a-Service (LI-SaaS), sur la base de 36 contrôles Pour les "systèmes à faible risque pour des utilisations telles que les outils de collaboration, les applications de gestion de projet et les outils qui aident à développer du code source ouvert", cette catégorie est également connue sous le nom de FedRAMP Tailored.

    Cette dernière catégorie a été ajoutée en 2017 pour permettre aux agences d'approuver plus facilement les "cas d'utilisation à faible risque". Pour bénéficier de FedRAMP Tailored, le fournisseur doit répondre par l'affirmative à six questions, qui sont affichées sur la page de la politique FedRAMP Tailored :

    • Le service fonctionne-t-il dans un environnement en nuage ?
    • Le service en nuage est-il pleinement opérationnel ?
    • Le service en nuage est-il un logiciel en tant que service (SaaS), tel que défini par le NIST SP 800-145, The NIST Definition of Cloud Computing ?
    • Le service en nuage ne contient pas d'informations personnelles identifiables (IPI), sauf celles nécessaires pour fournir une capacité de connexion (nom d'utilisateur, mot de passe et adresse électronique) ?
    • Le service en nuage a-t-il un faible impact sur la sécurité, tel que défini par la norme FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems ?
    • Le service en nuage est-il hébergé dans une plateforme en tant que service (PaaS) ou une infrastructure en tant que service (IaaS) autorisée par le FedRAMP, ou le CSP fournit-il l'infrastructure en nuage sous-jacente ?

    N'oubliez pas que la mise en conformité avec FedRAMP n'est pas une tâche ponctuelle. Vous vous souvenez de l'étape de surveillance de l'autorisation FedRAMP ? Cela signifie que vous devrez soumettre régulièrement des audits de sécurité pour vous assurer que vous Restez sur Conforme à la norme FedRAMP.

    Bonus : Lisez le guide de la stratégie des médias sociaux, étape par étape, avec des conseils de pro sur la façon de développer votre présence sur les médias sociaux.

    Obtenez le guide gratuit dès maintenant !

    Exemples de produits certifiés FedRAMP

    Il existe de nombreux types de produits et services autorisés par FedRAMP. Voici quelques exemples de fournisseurs de services de cloud computing que vous connaissez et que vous utilisez peut-être déjà vous-même.

    Amazon Web Services

    Il existe deux listes d'AWS sur la place de marché FedRAMP. AWS GovCloud est autorisé au niveau élevé. AWS US East/West est autorisé au niveau modéré.

    Les clients d'AWS GovCloud (États-Unis) peuvent utiliser #AmazonEFS pour les charges de travail de fichiers critiques grâce à l'obtention récente d'une autorisation FedRAMP élevée. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 18 octobre 2019

    AWS GovCloud dispose d'un nombre impressionnant de 292 autorisations. AWS US East/West dispose de 250 autorisations. C'est bien plus que toute autre liste sur la place de marché FedRAMP.

    Adobe Analytics

    Adobe Analytics a été autorisé en 2019. Il est utilisé par les Centres de contrôle et de prévention des maladies et le Département de la santé et des services sociaux. Il est autorisé au niveau LI-SaaS.

    Adobe a en fait plusieurs produits autorisés au niveau LI-SaaS (comme Adobe Campaign et Adobe Document Cloud) et quelques produits autorisés au niveau Modéré :

    • Services gérés Adobe Connect
    • Adobe Experience Manager Managed Services.

    Adobe est actuellement en train de passer de l'autorisation FedRAMP Tailored à l'autorisation FedRAMP Moderate pour Adobe Sign.

    Pour en savoir plus sur la façon dont @Adobe Sign travaille pour passer des statuts de FedRAMP Tailored à FedRAMP Moderate, cliquez ici : //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 août 2020

    N'oubliez pas que c'est le service, et non le fournisseur de services, qui obtient l'autorisation. Comme Adobe, vous devrez peut-être demander plusieurs autorisations si vous proposez plusieurs solutions en nuage.

    Slack

    Autorisé en mai de cette année, Slack dispose de 21 autorisations FedRAMP. Le produit est autorisé au niveau modéré. Il est utilisé par les agences suivantes :

    • les centres de contrôle et de protection des maladies,
    • la Commission fédérale des communications, et
    • la National Science Foundation.

    Le secteur public américain peut désormais exécuter une plus grande partie de son travail dans Slack, grâce à notre nouvelle autorisation FedRAMP Moderate. Et en répondant à ces exigences de sécurité strictes, nous assurons la sécurité de toutes les autres entreprises qui utilisent Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 août 2020

    Slack a d'abord reçu l'autorisation FedRAMP Tailored, puis a obtenu l'autorisation Moderate en s'associant au Department of Veterans Affairs.

    Slack ne manque pas d'attirer l'attention sur les avantages de cette autorisation en matière de sécurité pour les clients du secteur privé sur son site web :

    "Cette dernière autorisation se traduit par une expérience plus sécurisée pour les clients de Slack, y compris les entreprises du secteur privé qui n'ont pas besoin d'un environnement autorisé par FedRAMP. Tous les clients utilisant les offres commerciales de Slack peuvent bénéficier des mesures de sécurité renforcées requises pour obtenir la certification FedRAMP."

    Trello Enterprise Cloud

    Trello vient d'obtenir l'autorisation Li-SaaS en septembre. Jusqu'à présent, Trello n'est utilisé que par la General Services Administration. Mais l'entreprise cherche à changer cela, comme en témoignent ses messages sociaux sur son nouveau statut FedRAMP :

    🏛️Avec l'autorisation FedRAMP de Trello, votre agence peut désormais utiliser Trello pour stimuler la productivité, briser les silos des équipes et favoriser la collaboration. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 octobre 2020

    Zendesk

    Également autorisé en mai, Zendesk est utilisé par :

    • le département de l'énergie,
    • l'Agence fédérale de financement du logement
    • le bureau de l'inspecteur général de la FHFA, et
    • l'administration des services généraux.

    La plateforme d'assistance et de support client Zendesk dispose d'une autorisation Li-Saas.

    A partir d'aujourd'hui, les agences gouvernementales peuvent travailler beaucoup plus facilement avec nous car @Zendesk est maintenant autorisé par FedRAMP. Merci à toutes les équipes à l'intérieur et à l'extérieur de Zendesk pour les efforts fournis. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 mai 2020

    FedRAMP pour la gestion des médias sociaux

    SMMExpert est autorisé par FedRAMP. Les agences gouvernementales peuvent désormais travailler facilement avec le leader mondial de la gestion des médias sociaux pour dialoguer avec les citoyens, gérer les communications de crise et fournir des services et des informations via les médias sociaux.

    Demander une démo

    Post précédent Le guide de style des médias sociaux idéal pour votre marque en 2023
    Prochain article 8 conseils pour une prise de contrôle impeccable sur Instagram

    Kimberly Parker est une professionnelle chevronnée du marketing numérique avec plus de 10 ans d'expérience dans l'industrie. En tant que fondatrice de sa propre agence de marketing sur les réseaux sociaux, elle a aidé de nombreuses entreprises de divers secteurs à établir et à développer leur présence en ligne grâce à des stratégies de réseaux sociaux efficaces. Kimberly est également un écrivain prolifique, ayant rédigé des articles sur les médias sociaux et le marketing numérique dans plusieurs publications réputées. Pendant son temps libre, elle aime expérimenter de nouvelles recettes dans la cuisine et faire de longues promenades avec son chien.