Les violations de données étant de plus en plus fréquentes, les clients se méfient naturellement des entreprises qui pourraient être des cibles faciles. Personne ne veut travailler avec une organisation qui présente un risque de piratage élevé. Et cela s'applique en particulier aux institutions gouvernementales.
Si l'on peut supposer que les agences fédérales disposent d'une sécurité impénétrable, les données suggèrent le contraire. En plus d'être tout aussi vulnérables que d'autres organisations, elles constituent également une cible de premier plan pour les pirates.
2018 a été la plus mauvaise année pour le gouvernement américain en termes de cybersécurité. Au cours de cette année, on a recensé 13 107 violations dans des agences fédérales. Cela a entraîné des coûts pour un montant total de 13,7 milliards de dollars.
Compte tenu de la nature sensible des informations que les agences fédérales possèdent sur le pays et ses citoyens, ces menaces sont une cause de préoccupation majeure.
C'est pourquoi le gouvernement fédéral prend la cybersécurité au sérieux en mettant en place des directives que toutes les organisations partenaires doivent suivre. En veillant à ce que ses partenaires maintiennent des normes et des autorisations de cybersécurité élevées, le gouvernement réduit ses risques.
Le Programme fédéral de gestion des risques et des autorisations (FedRAMP, Federal Risk and Authorization Management Program) est l'une des initiatives du gouvernement pour aider les organisations à fournir des services et des produits cloud sécurisés.
Dans cet article, vous trouverez un aperçu complet du programme FedRAMP et découvrirez de quoi il s'agit, ses objectifs, quand il a été développé, à qui il s'applique, pourquoi il est important, les modalités de certification, les étapes pour obtenir l'autorisation FedRAMP, et bien plus encore.
Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est un programme du gouvernement américain qui offre une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services cloud.
Le FedRAMP vise à réduire le risque de violation de données et à protéger les informations sensibles en garantissant que les produits et services cloud répondent à un niveau minimum d'exigences de sécurité.
Au cours de la dernière décennie, la technologie cloud a pris une grande importance, et pour une bonne raison : elle a permis de faire évoluer les services plus facilement et plus rapidement.
Cependant, la promesse d'une prestation de services plus rapide s'accompagne d'un risque accru, notamment en ce qui concerne la protection des données des clients.
Le FedRAMP fournit un ensemble de normes et de processus de sécurité qui garantissent que les services et produits basés sur le cloud sont fiables, sûrs et sécurisés.
Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est né 2011. Le FedRAMP rationalise l'évaluation de la sécurité, l'autorisation et la surveillance continue des produits et services cloud utilisés par les agences fédérales qui stockent, traitent ou partagent des informations fédérales.
Les objectifs du FedRAMP peuvent être résumés comme suit :
Pour atteindre ces objectifs, le FedRAMP se concentre sur plusieurs domaines. En voici quelques-uns :
Bien que le FedRAMP ait été lancé il y a plus de dix ans, ses racines sont encore plus anciennes. Pour améliorer les services gouvernementaux électroniques, le Congrès a adopté la loi de 2002 sur l'administration électronique. Cette loi a établi un poste de responsable des technologies de l'information fédéral au sein de l'Office of Management and Budget (OMB).
L'une de ses principales fonctions était l'application de la loi de gestion de la sécurité des informations fédérales de 2002 (FISMA). Elle préconisait l'utilisation d'un cadre de cybersécurité pour se défendre contre les menaces. Depuis lors, la technologie cloud est l'une des technologies qui a modifié la manière dont les agences fédérales interagissent avec les données.
La technologie cloud améliore l'efficacité et réduit considérablement les coûts d'exploitation et d'approvisionnement, ce qui permet aux administrations fédérales d'économiser des milliards de dollars en coûts annuels. Cependant, elle est également plus exposée aux risques.
En 2011, le gouvernement américain a officiellement créé le FedRAMP pour régir les fournisseurs de services cloud offrant des services et des produits aux agences fédérales. Cette décision a fait suite à un mémo de Steve VanRockel, Federal CIO pour l'OMB, aux agences fédérales américaines où il soulignait le besoin d'un cadre de sécurité pour le cloud.
Il proposait l'établissement du FedRAMP comme un outil efficace pour gérer les risques de sécurité des services cloud. Le programme a été officiellement lancé en 2012 lorsque le gouvernement américain a autorisé son implémentation et commencé à certifier les fournisseurs de services cloud.
Depuis lors, le FedRAMP a évolué et constitue désormais la norme fédérale pour les évaluations de la sécurité du cloud garantissant la sécurité des services cloud dans les agences fédérales.
Le FedRAMP s'applique à tout service ou produit cloud utilisé par le gouvernement fédéral. Cela comprend Amazon Web Services (AWS), Microsoft Azure et Google cloud Platform. Il s'applique également aux fournisseurs de services et aux vendeurs qui offrent des services au nom du gouvernement.
Le programme FedRAMP exige des fournisseurs de services cloud qu'ils conçoivent et mettent en œuvre un environnement sécurisé efficace répondant aux contrôles de sécurité requis.
Aujourd'hui, les agences gouvernementales s'appuient plus que jamais sur des services cloud sécurisés. La prolifération de la technologie mobile a obligé les organisations à adopter de nouvelles technologies telles que le cloud computing, l'Infrastructure-as-a-Service (IaaS) et le Software-as-a-Service (SaaS) pour rester compétitives.
Le programme FedRAMP est important car il garantit que les services cloud utilisés par le gouvernement fédéral répondent aux normes de sécurité. Il permet de protéger les données fédérales, de réduire les coûts et d'améliorer l'efficacité. En fournissant aux agences un moyen efficace d'évaluer et de gérer le risque des services cloud, le FedRAMP simplifie le processus d'identification, d'évaluation et d'autorisation des services cloud utilisés par les agences fédérales. (Voir conformité réglementaire pour plus d'informations)
Pour obtenir la certification FedRAMP, les fournisseurs de services cloud doivent se soumettre à un processus d'autorisation rigoureux. Le processus commence par un questionnaire d'auto-évaluation sur leur service ou produit cloud. Une fois que le questionnaire est rempli et approuvé, il faut soumettre un dossier d'évaluation de l'impact et une stratégie d'action avec des objectifs.
Le dossier d'évaluation de l'impact fournit un aperçu de l'architecture et des contrôles de sécurité du système, tandis que la stratégie d'action avec des objectifs décrit les exigences de sécurité que les organisations doivent respecter.
Une fois que ces deux éléments sont approuvés, les fournisseurs de services cloud peuvent démarrer le processus officiel de certification FedRAMP.
L'autorisation FedRAMP peut être obtenue de deux manières :
Le JAB émet une autorisation provisoire dans ce processus, qui permet aux agences de savoir que le risque a été examiné. L'autorisation du JAB est une première approbation importante, et le fournisseur de services cloud doit ensuite la soumettre à un examen complet de l'agence.
Ce processus est très avantageux pour les fournisseurs de services cloud présentant un risque élevé ou modéré.
Les agences sont responsables de l'autorisation des services cloud et des produits qui utilisent les normes du FedRAMP. Elles doivent évaluer le risque global et déterminer si le système est conforme à toutes les exigences de sécurité avant de pouvoir l'autoriser.
Le gouvernement américain a établi différentes catégories de conformité FedRAMP : faible, modérée, élevée et non autorisée. Des exigences de sécurité sont associées à chaque catégorie en fonction de la sensibilité des informations concernées.
De plus, les catégories sont basées sur l'impact potentiel d'une faille de sécurité sur trois domaines clés :
La sécurité pour le faible niveau d'impact constitue la référence pour les systèmes et les données en cloud. Elle est conçue pour prendre en charge les services et les produits destinés à un usage public à niveau de risque faible. Les systèmes et les informations de ce niveau ne sont pas critiques pour les objectifs, les opérations, les finances, la réputation ou le personnel d'une agence. Par conséquent, toute perte de confidentialité ou de disponibilité n'aura pas d'impact significatif.
125 contrôles sécurisent les systèmes à ce niveau. Il s'agit des technologies et processus que les fournisseurs de services cloud utilisent pour sécuriser les données gouvernementales stockées dans le cloud.
À ce niveau d'impact, les données sont classées comme informations contrôlées non classifiées. Elles ne sont pas accessibles au public et comprennent des informations personnelles identifiables. Ce type de données est soumis aux 325 contrôles du niveau d'impact modéré du FedRAMP.
Si ces contrôles ne sont pas en place, cela pourrait avoir un impact direct sur l'objectif principal d'une agence. Les activités courantes pourraient être entravées, des ressources pourraient être perdues et les informations confidentielles de personnes pourraient être divulguées.
Avant juin 2016, lorsque le FedRAMP a publié la référence de sécurité de haut niveau, les agences gouvernementales ne pouvaient faire appel aux services de fournisseurs de cloud pour les opérations de niveau de base et modéré. Mais grâce à cette référence de sécurité de haut niveau, les agences peuvent désormais passer des contrats avec des fournisseurs de services cloud pour des opérations plus sensibles.
Les systèmes à haut risque doivent être soumis à 421 contrôles destinés à protéger les données classées comme actifs de grande valeur. Une agence est généralement propriétaire de ces données, qui peuvent comprendre des informations relatives à la sécurité nationale, des secrets commerciaux et des dossiers financiers.
Les 421 contrôles sont complets et assurent le plus haut niveau de protection des données gouvernementales sensibles stockées dans le cloud.
Le niveau d'impact élevé doit être utilisé pour les informations non classifiées les plus sensibles du gouvernement fédéral. Cela s'applique aux zones où une violation peut avoir des conséquences désastreuses telles que des dommages à une institution, une faillite ou un décès. Il s'agit notamment des forces de l'ordre, des services d'urgence, des services financiers et des systèmes de santé.
Le FedRAMP est supervisé par des entités du pouvoir exécutif qui travaillent ensemble pour développer, gérer et exploiter le programme. Les organes directeurs du FedRAMP sont les suivants :
Le programme fédéral de gestion des risques et des autorisations a certifié plusieurs services basés sur le cloud, notamment :
Ces services basés sur le cloud sont conformes aux exigences de sécurité du FedRAMP et ont obtenu l'autorisation nécessaire. Par conséquent, les agences fédérales peuvent utiliser l'un de ces services pour stocker des données gouvernementales sensibles dans le cloud sans compromettre leur sécurité.
Pour être certifiés, les fournisseurs de services cloud doivent répondre aux exigences de sécurité décrites dans le Cadre du FedRAMP. Ils doivent notamment établir un rapport d'évaluation des risques décrivant les risques associés au service proposé, un plan d'évaluation de la sécurité décrivant comment les risques seront atténués, et un dossier d'autorisation démontrant la conformité aux contrôles.
Une fois que le fournisseur de services cloud a satisfait à toutes ces exigences, il peut demander une autorisation d'exploitation pour ses services dans un environnement gouvernemental. S'il obtient l'approbation, il recevra une autorisation provisoire d'exploitation (P-ATO) du JAB (commission d'autorisation conjointe), valable pendant trois ans.
Le processus d'autorisation du FedRAMP comporte quatre étapes générales, quel que soit le type d'autorisation spécifique demandé.
Obtenir l'autorisation FedRAMP n'est pas une mince affaire, mais il est crucial pour toutes les parties concernées que les fournisseurs de services cloud réussissent une fois le processus entamé.
Le FedRAMP a interrogé plusieurs petites entreprises et start-ups sur les leçons qu'elles ont tirées de l'autorisation afin d'aider les autres. Voici les sept meilleurs conseils de ces entreprises pour un processus d'autorisation réussi :
La conformité FedRAMP est obligatoire, cependant, vous ne devriez pas la voir comme une obligation mais plutôt comme un investissement. En effet, l'obtention d'une certification présente des avantages considérables, notamment :
Le FedRAMP est une mesure de cybersécurité importante pour les agences gouvernementales et les fournisseurs de services cloud. Il offre un haut niveau d'assurance que les données sensibles sont sécurisées et aide les entreprises à obtenir une plus grande part de marché.
Contactez-nous dès aujourd'hui pour vous lancer. Nous sommes là pour vous aider à gérer la complexité de la conformité FedRAMP et à assurer la sécurité de vos données.
Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est un programme de cybersécurité à l'échelle du gouvernement, élaboré pour fournir des exigences de sécurité normalisées aux fournisseurs de services cloud des agences fédérales.
Le FedRAMP s'applique à toutes les agences fédérales et à leurs fournisseurs de services cloud.
Pour être certifiés, les fournisseurs de services cloud doivent répondre à des exigences de sécurité strictes et démontrer leur conformité au FedRAMP. Cela inclut les analyses des vulnérabilités, les audits de configuration, le développement des politiques et d'autres étapes.
La certification FedRAMP est importante pour protéger les données sensibles, assurer la conformité avec les réglementations gouvernementales et remporter une plus grande part de marché.