FedRAMP établit la norme pour la sécurité du cloud, et obtenir le statut autorisé peut ouvrir des opportunités de croissance significatives tant dans les secteurs public que privé. Cependant, comprendre et naviguer dans la conformité FedRAMP peut être complexe et comporter de nombreuses questions.

Votre organisation doit-elle être conforme à FedRAMP ? Même si vous n'êtes pas légalement tenu de vous conformer, quels sont les avantages d'obtenir l'autorisation FedRAMP ? En quoi consiste le processus d'autorisation et comment démarrer ? Combien de ressources, de temps et d'argent faudra-t-il pour se conformer à FedRAMP ?

Cet article démystifie l'autorisation FedRAMP et propose des conseils pratiques et des meilleures pratiques pour les organisations envisageant la conformité.

Qu'est-ce que FedRAMP ?

Le Programme fédéral de gestion des risques et des autorisations (FedRAMP) est conçu pour s'assurer que tous les services cloud utilisés par les agences fédérales américaines répondent à des exigences de sécurité strictes, réduisant ainsi le risque de violation de données et de cybermenaces. Il fournit une approche standardisée pour l'évaluation de la sécurité, l'autorisation et la surveillance continue des technologies cloud.

FedRAMP a été introduit en 2011 et a été promulgué en loi en décembre 2022 dans le cadre de la loi américaine sur l'autorisation de la défense nationale. Avec 27 lois et règlements applicables et 26 autres normes et documents de guidance, FedRAMP est l'une des certifications de cybersécurité les plus rigoureuses au monde.

Quel est le but de FedRAMP ?

À mesure que les agences fédérales commençaient à remplacer les logiciels traditionnels par des solutions basées sur le cloud, les fournisseurs de services cloud (CSP) devaient préparer un paquet d'autorisation pour chaque agence avec laquelle ils souhaitaient travailler. Tout comme les questionnaires de sécurité des fournisseurs, les exigences pour ces paquets d'autorisation étaient incohérentes, entraînant un travail manuel et dupliqué important tant pour les solutions cloud créant les paquets d'autorisation que pour les agences les examinant.

FedRAMP offre une approche cohérente et standardisée pour rationaliser ce processus. En utilisant un cadre "faire une fois, utiliser plusieurs fois", FedRAMP permet aux CSP et aux agences fédérales de réutiliser les évaluations de sécurité existantes, économisant ainsi un temps considérable et réduisant les efforts dupliqués.

Avantages de l'autorisation FedRAMP

Les fournisseurs de services cloud ayant une désignation FedRAMP sont répertoriés sur le Marketplace FedRAMP, une liste de services autorisés que les agences gouvernementales utilisent pour trouver de nouvelles solutions basées sur le cloud. Une inscription dans le Marketplace FedRAMP vous rend beaucoup plus susceptible d'obtenir des affaires des agences gouvernementales, car il est plus facile pour une agence d'utiliser un produit déjà autorisé que de commencer le processus avec un nouveau fournisseur. Il y a actuellement 326 services autorisés FedRAMP sur le Marketplace.

Au-delà de l'accès au marché fédéral, une inscription au Marketplace FedRAMP peut également vous donner un avantage concurrentiel significatif dans le secteur privé. FedRAMP est une norme de sécurité rigoureuse et respectée, donc l'autorisation peut donner à vos clients actuels et potentiels la plus grande confiance en votre engagement à respecter des normes de sécurité cloud strictes.

Qui doit être conforme à FedRAMP ?

Tous les fournisseurs de services cloud qui traitent ou stockent des données fédérales doivent être autorisés FedRAMP.

Cette exigence s'étend aux organisations qui manipulent des données fédérales, directement ou indirectement, via des environnements de cloud computing. Ce ne sont pas seulement les CSP qui doivent se préoccuper de FedRAMP ; les agences fédérales et les gouvernements des États et locaux qui utilisent des services cloud doivent également s'assurer que leurs fournisseurs sont conformes. De plus, les entreprises qui cherchent à entrer sur le marché fédéral doivent obtenir l'autorisation FedRAMP.

Exigences FedRAMP

FedRAMP est un dérivé de la Publication Spéciale 800-53 du NIST et utilise les mêmes bases (Bas, Modéré, Élevé) et contrôles associés, mais y ajoute en spécifiant certains paramètres et exigences de contrôle supplémentaires.

Par exemple, il existe également une base de contrôle de la confidentialité qui est appliquée aux systèmes de chaque niveau d'impact. Si un CSP traite des informations personnellement identifiables (PII), par exemple, il doit mettre en œuvre les contrôles assignés à la base de contrôle de la confidentialité.

Toutes les organisations doivent mettre en œuvre les contrôles assignés à leur base de contrôle de sécurité respective. Bas a le plus petit nombre de contrôles, tandis que Élevé a le plus grand nombre de contrôles et les paramètres les plus stricts.

Les exigences FedRAMP sont réparties en 18 familles de contrôles basées sur la NIST 800-53 Rev. 5 :

1. Contrôle d'accès
2. Sensibilisation et formation
3. Audit et responsabilité
4. Évaluation de sécurité et autorisation
5. Gestion de la configuration
6. Planification de la contingence
7. Identification et authentification
8. Réponse aux incidents
9. Maintenance
10. Protection des médias
11. Protection physique et environnementale
12. Planification
13. Sécurité du personnel
14. Évaluation des risques
15. Acquisition de systèmes et de services
16. Protection des systèmes et des communications
17. Intégrité des systèmes et des informations
18. Gestion des risques de la chaîne d'approvisionnement (nouveau avec la Révision 5)

Comprendre le processus d'autorisation FedRAMP

Voici une vue d'ensemble du processus d'autorisation FedRAMP :

Étape 1. Compiler les documents requis

Les CSP doivent préparer et soumettre un ensemble complet de documents détaillant leurs pratiques et contrôles de sécurité, y compris :

• Plan de sécurité du système (SSP) :Décrit comment le CSP satisfait à toutes les exigences de sécurité de FedRAMP. Les SSP englobent tous les contrôles et incluent des informations sur l'offre de service cloud (CSO), son environnement, les contrôles de sécurité et la manière dont les contrôles sont mis en œuvre.
• Politiques et procédures : Décrit les politiques et procédures formelles du CSP pour gérer et sécuriser l'environnement cloud, garantissant que les opérations sont conformes aux normes FedRAMP. Considérez les politiques comme les règles ou critères que l'organisation doit respecter, tandis que les procédures sont les processus, contrôles, outils, etc. mis en œuvre pour respecter ces politiques.
• Guide de l'utilisateur : Fournit des informations sur la manière d'utiliser le service cloud en toute sécurité, y compris des détails sur les rôles des utilisateurs, les responsabilités et les procédures de maintien de la sécurité.
• Plan de gestion de la configuration : Décrit les processus de gestion des changements au système et à ses composants, en veillant à ce que les changements n'affectent pas négativement la sécurité.
• Plan de gestion des risques de la chaîne d'approvisionnement : Identifie et gère les risques associés à la chaîne d'approvisionnement des systèmes d'information, composants ou services. Le plan doit inclure les exigences des fournisseurs, les contrôles des risques de la chaîne d'approvisionnement et les stratégies d'atténuation, les rôles et responsabilités, et les procédures d'élimination.
• Plan de continuité des activités : Définit comment l'organisation maintiendra ou rétablira ses opérations en cas de perturbation ou d'incident. Inclure les procédures de sauvegarde, la reprise après sinistre et la continuité des activités en cas de compromission du système d'information.
• Plan d'actions et de jalons : Un document évolutif qui décrit les étapes spécifiques qu'une organisation entreprendra pour résoudre toute vulnérabilité identifiée, y compris les détails sur la priorisation, les ressources nécessaires et les délais de remédiation.
• Plan de réponse aux incidents : Détaille comment l'organisation détectera, répondra et se remettra d'un incident de sécurité, y compris les rôles et responsabilités spécifiques, les procédures de communication et les étapes pour contenir et se remettre d'un incident afin de minimiser son impact.
• Plan de surveillance continue : Explique comment l'organisation surveillera et évaluera régulièrement la performance des contrôles. Inclure le renseignement sur les menaces, les analyses de vulnérabilités et toutes autres activités conçues pour garantir que la posture de sécurité de votre organisation reste solide et peut s'adapter à de nouvelles menaces ou à des menaces évolutives.

La conformité FedRAMP nécessite une documentation approfondie, et les CSP travaillent souvent avec des évaluateurs et consultants tiers pour s'assurer que leur documentation est complète, reflète fidèlement leur posture de sécurité et répond aux normes rigoureuses de FedRAMP.

Étape 2. Complétez une évaluation FIPS 199 pour déterminer le niveau d'impact approprié

L'évaluation FIPS 199 implique trois étapes principales :

1. Identification des types d'informations : La première étape consiste à identifier les types d'informations traitées, stockées ou transmises par le système d'information. Cela implique de comprendre le type de données, telles que les informations personnellement identifiables (PII), les données financières, les informations propriétaires, etc.

2. Catégorisation en fonction des niveaux d'impact : Chaque type d'information est ensuite catégorisé en fonction de l'impact potentiel pour l'organisation en cas de compromission de la confidentialité, de l'intégrité ou de la disponibilité.

FIPS 199 définit trois niveaux d'impact potentiel :

• Impact faible : La perte de confidentialité, d'intégrité ou de disponibilité pourrait avoir un effet adverse limité sur les opérations, les actifs ou les individus de l'organisation.
• Impact modéré : La perte pourrait avoir un effet adverse grave.
• Impact élevé : La perte pourrait avoir un effet adverse sévère ou catastrophique.

3. Catégorisation du système : Le système d'information est catégorisé en fonction du niveau d'impact le plus élevé parmi les types d'informations qu'il traite. Par exemple, si un système traite à la fois des types d'informations classés à impact faible et à impact élevé, le système dans son ensemble est catégorisé comme étant à impact élevé.

Utilisez le résultat de l'évaluation FIPS 199 pour déterminer quelles mesures de sécurité NIST SP 800-53 vous devrez mettre en œuvre pour protéger adéquatement le système d'information.

Étape 3. Choisissez votre chemin d'autorisation

Il y a deux manières d'obtenir l'autorisation FedRAMP : soit par le Joint Authorization Board (JAB) soit en travaillant avec une agence fédérale spécifique pour obtenir le statut d'Autorité d'Exploitation (ATO). Les deux chemins se composent de trois étapes principales :

1. Préparation
2. Autorisation
3. Surveillance continue

Autorité provisoire d'exploitation (P-ATO) du Conseil conjoint d'autorisation (JAB)

Le conseil d’administration de FedRAMP priorise environ une douzaine de fournisseurs de services cloud (CSP) chaque année à travers un processus appelé FedRAMP Connect. Les fournisseurs de services cloud sont évalués et priorisés en fonction des critères suivants :

Critère 1. La demande pour leurs services, avec l'équivalent de 6 clients potentiels

Critère 2. Niveau de préparation pour FedRAMP, où un évaluateur tiers qualifié atteste de la préparation du CSP pour le processus d'autorisation et complète un rapport d'évaluation de l'état de préparation pour que le PMO de FedRAMP puisse le revoir.

Critère 3. Caractéristiques préférées :

• L'environnement du CSP est conçu spécifiquement pour répondre aux exigences du gouvernement
• Le CSP a d'autres certifications de sécurité telles que SOC 2, ISO 27001 ou PCI
• Démontre des solutions à fort impact
• Retour sur investissement démontrable pour les agences gouvernementales fédérales
• Maturité CMMI prouvée
• Expérience préalable avec les autorisations de sécurité fédérales
• Dépendances d'autres offres de services cloud

Les CSP sélectionnés complètent une évaluation de l'état de préparation, puis une évaluation complète de la sécurité avant de terminer le processus d'autorisation du JAB. Après avoir obtenu une autorité provisoire d'exploitation, les CSP sont tenus de mener une surveillance continue et des évaluations annuelles.

Si vous êtes intéressé par la poursuite d'un JAB P-ATO, vous pouvez consulter le document sur les critères et les directives de priorisation du JAB ici.

Autorité d'exploitation de l'agence

Pour cette approche, le CSP s'associe à une agence fédérale spécifique. L'agence est impliquée tout au long du processus d'autorisation et délivre l'autorité d'exploitation.

Si vous choisissez cette voie, la première étape consiste à s'associer avec un 3PAO pour compléter un rapport d'évaluation de l'état de préparation. Vous pouvez trouver des 3PAO reconnus listés sur le marché FedRAMP.

Ensuite, vous devrez formaliser votre relation avec l'agence gouvernementale en complétant un formulaire d'information sur le fournisseur de services cloud.

Lors de la planification de l'autorisation FedRAMP, il est important de considérer la meilleure approche pour vos produits. Si vous proposez plusieurs services cloud, chacun peut nécessiter sa propre autorisation distincte. Dans certains cas, il peut être préférable de prioriser certains services pour l'autorisation en fonction de la demande du marché ou de la préparation à la conformité. Adopter une approche progressive vous permet de concentrer efficacement vos ressources et de capitaliser sur l'élan de chaque autorisation réussie.

Étape 4. S'associer avec une organisation d'évaluation tiers (3PAO) pour créer un plan d'évaluation de la sécurité et un rapport d'évaluation de la sécurité

Le plan d'évaluation de la sécurité (SAP) et le rapport d'évaluation de la sécurité sont des éléments clés de l'évaluation par le 3PAO des systèmes d'information du CSP.

Le SAP décrit d'abord la méthodologie et les procédures qui seront utilisées pour mener l'évaluation de la sécurité du système du CSP. Il décrit la portée de l'évaluation, les procédures de test et les critères d'évaluation des contrôles de sécurité. Le 3PAO mène ensuite l'évaluation selon le SAP.

Après avoir terminé l'évaluation de la sécurité, un rapport d'évaluation de la sécurité (SAR) est produit pour présenter les résultats. Il détaille les résultats de l'évaluation, y compris les vulnérabilités identifiées et l'efficacité des contrôles de sécurité mis en œuvre.

Étape 5. Réaliser une évaluation de l'état de préparation par un 3PAO

Complétée par un 3PAO accrédité par FedRAMP, une évaluation de l'état de préparation aide à identifier les lacunes ou les faiblesses de votre posture de sécurité qui doivent être corrigées avant de procéder à l'évaluation complète de la sécurité FedRAMP. Les évaluations de l'état de préparation produisent des rapports d'évaluation de l'état de préparation (RAR), qui sont requis si l'on souhaite obtenir l'autorisation FedRAMP sans parrainage d'une agence.

Bien qu'une évaluation de l'état de préparation par un 3PAO ne soit pas formellement requise par FedRAMP pour tous les CSP, elle est fortement recommandée, en particulier pour ceux qui sont nouveaux dans le processus FedRAMP ou ceux avec des systèmes complexes. Les CSP poursuivant un JAB P-ATO peuvent également être tenus de compléter une évaluation de l'état de préparation pour démontrer leur engagement et rationaliser le processus d'autorisation.

Étape 6. Créer un document de plan d'actions et de jalons

Un plan d'actions et de jalons (POA&M) est un document qui répertorie toutes les découvertes de sécurité et vulnérabilités connues dans le système et décrit un plan pour les traiter, y compris la priorisation, les ressources nécessaires et les étapes de remédiation.

Le POA&M est un document vivant et est requis pour maintenir la conformité FedRAMP. Il doit être mis à jour régulièrement, au moins mensuellement, pour refléter l'état actuel des découvertes de sécurité et des vulnérabilités ainsi que les actions prises pour les traiter. Les POA&M contiennent également un historique des problèmes et vulnérabilités résolus.

Étape 7. Établir des procédures de surveillance continue et de réponse aux incidents

Pour maintenir le statut autorisé par FedRAMP, vous devrez créer une politique de surveillance continue et un plan de réponse aux incidents. 

La politique de surveillance continue est un document qui décrit la stratégie de votre CSP pour surveiller et évaluer continuellement les contrôles de sécurité dans leurs services cloud et garantir une conformité continue avec les exigences de FedRAMP.

Le plan de réponse aux incidents décrit les procédures de gestion et de réponse aux incidents de sécurité, y compris les rôles et responsabilités, les plans de communication et les étapes de mitigation et de récupération.

Conseils pour démarrer avec la conformité FedRAMP

Se lancer dans le processus de conformité FedRAMP peut être une tâche ardue, mais comprendre le processus et suivre les meilleures pratiques peut rendre la conformité beaucoup plus gérable.

Voici quelques conseils et meilleures pratiques essentiels pour les organisations qui débutent avec la conformité FedRAMP :

Comprenez bien NIST SP 800-53 et les exigences FedRAMP

Familiarisez-vous avec le cadre d'évaluation de la sécurité FedRAMP (SAF), les contrôles de sécurité NIST SP 800-53 et les exigences spécifiques pour le niveau d'impact (faible, modéré, élevé) applicable à vos services cloud.

Effectuez une analyse des écarts pour comprendre comment votre environnement actuel s'aligne avec FedRAMP

Cette analyse des écarts doit couvrir tous les aspects de votre service cloud, de la cryptographie des données et l'authentification des utilisateurs à la réponse aux incidents et aux pratiques de gestion des risques. Le résultat fournira une feuille de route claire pour combler les écarts et garantir que vos services sont pleinement conformes aux normes FedRAMP.

Obtenez le soutien et l'engagement de toute votre organisation

Atteindre la conformité FedRAMP est une entreprise importante qui nécessite un effort concerté de toute votre organisation. Il est essentiel d'obtenir le soutien et l'engagement des dirigeants exécutifs et des équipes techniques responsables de la mise en œuvre des changements nécessaires. Cela peut être une entreprise coûteuse, nous recommandons donc d'effectuer une analyse de budget et de ressources pour assurer la faisabilité et la préparation pour l'évaluation et le processus.

Cela implique d'éduquer les parties prenantes sur la valeur et les implications de la conformité FedRAMP, y compris le potentiel d'opportunités commerciales accrues au sein du marché fédéral et l'amélioration générale de votre posture de sécurité. Établir une équipe inter-fonctionnelle dédiée à l'atteinte de la conformité peut faciliter la collaboration et garantir que tous les efforts sont alignés avec les objectifs de votre organisation.

Identifiez un partenaire d'agence fédérale

S'associer avec une agence fédérale qui utilise actuellement votre service ou s'engage à l'adopter peut considérablement simplifier le processus d'autorisation FedRAMP. Ce partenariat peut également fournir des informations précieuses sur les préoccupations et exigences de sécurité spécifiques des agences fédérales, vous permettant d'adapter plus efficacement vos efforts de conformité.

De plus, avoir un parrain dans une agence peut accélérer le processus de révision et ajouter de la crédibilité à votre demande FedRAMP. Engager tôt et fréquemment des partenaires d'agence potentiels peut aider à établir des relations et à obtenir l'engagement nécessaire pour aller de l'avant.

Définissez soigneusement les limites de votre système

Une étape critique dans le processus de conformité FedRAMP est de définir avec précision les limites de votre système cloud. Cela comprend :

• Composants internes : Identifier tous les éléments au sein de votre service cloud, de l'infrastructure et des applications au stockage et au traitement des données, en veillant à ce que les contrôles de sécurité soient uniformément appliqués.
• Connexions avec des services externes : Cataloguer toutes les connexions aux services externes et aux fournisseurs tiers, évaluer les implications de sécurité de ces intégrations et s'assurer qu'elles ne compromettent pas votre posture de conformité. Si vous n'avez pas de composants sur site et que vous dépendez de services cloud tels qu'AWS, Azure ou Google Cloud Platform, il peut y avoir des domaines de responsabilité ou d'héritage partagés pour les contrôles.
• Flux de données et de métadonnées : Cartographier le flux de données et de métadonnées à l'intérieur et à l'extérieur de votre système pour comprendre les vulnérabilités potentielles et appliquer les mesures de sécurité appropriées. Cette compréhension complète des limites de votre système est essentielle pour mettre en œuvre des contrôles de sécurité efficaces et pour documenter votre posture de sécurité dans le Plan de Sécurité du Système (SSP) requis pour l'autorisation FedRAMP.

Aborder FedRAMP comme un engagement continu

La conformité FedRAMP n'est pas une réalisation unique - c'est un engagement continu et permanent à maintenir des normes de sécurité élevées. Elle nécessite une surveillance régulière, la mise à jour des contrôles de sécurité et des réévaluations périodiques pour s'adapter aux menaces évolutives et aux changements dans vos services cloud et votre paysage de menaces. Adopter une attitude qui considère FedRAMP comme une partie intégrante de vos processus opérationnels vous aidera à rester conforme et sécurisé au fil du temps.

Engager avec le PMO de FedRAMP

Le Bureau de Gestion de Programme (PMO) de FedRAMP est une ressource essentielle pour les organisations cherchant à obtenir un statut autorisé. Ils partagent les meilleures pratiques, des formations, des FAQ et des modèles pour aider à simplifier et guider les CSP tout au long du processus.

Le PMO peut fournir des conseils sur les exigences techniques, clarifier les critères de conformité et offrir des idées sur le processus d'autorisation. S'engager avec le PMO tôt et souvent peut vous aider à naviguer dans les complexités de FedRAMP, éviter les pièges courants et développer une stratégie réussie pour atteindre et maintenir la conformité.

Comment rationaliser la conformité FedRAMP avec l'automatisation + l'IA

Parce que c'est une norme rigoureuse, obtenir la conformité FedRAMP nécessite une quantité importante de temps et de ressources. Vous devrez effectuer une analyse des écarts et une évaluation de la préparation, déterminer votre base de référence, sélectionner et mettre en œuvre les contrôles NIST 800-53, et recueillir la documentation et les preuves pour votre 3PAO. Et une fois que cela est fait, vous devrez effectuer des évaluations continues et une surveillance continue pour maintenir la conformité.

Les plateformes d'automatisation GRC comme Secureframe peuvent réduire considérablement le temps et les efforts nécessaires pour accomplir ces tâches manuelles, libérant ainsi votre équipe pour se concentrer sur des objectifs stratégiques.

Voici quelques raisons pour lesquelles les organisations choisissent Secureframe comme partenaire pour atteindre et maintenir la conformité avec les cadres fédéraux :

• Expertise en conformité gouvernementale et fédérale : Notre équipe de conformité dédiée et de classe mondiale comprend d'anciens auditeurs FISMA, FedRAMP et CMMC qui ont l'expertise et l'expérience pour vous soutenir à chaque étape.
• Intégrations avec les produits cloud fédéraux : Secureframe s'intègre à votre pile technologique existante, y compris AWS GovCloud, pour automatiser la surveillance de l'infrastructure et la collecte de preuves.
• Réseau de partenaires 3PAO de confiance: Secureframe entretient des relations solides avec des organisations d'évaluation tierces certifiées comme Schellman et Prescient Assurance, et peut soutenir FedRAMP et d'autres audits fédéraux tels que CMMC et CJIS.
• Cartographie croisée entre les cadres: FedRAMP et NIST 800-53 ont de nombreuses exigences qui se chevauchent avec NIST 800-171, CJIS et d'autres cadres fédéraux. Au lieu de repartir de zéro, notre plateforme peut vous aider à mapper ce que vous avez déjà fait pour FedRAMP à d'autres cadres afin que vous ne dupliquiez jamais les efforts.
• Surveillance continue : En surveillant votre pile technologique 24h/24 et 7j/7 pour vous alerter des non-conformités, Secureframe facilite le maintien de la conformité continue et d'une posture de sécurité solide. Vous pouvez spécifier des intervalles de test et des notifications pour les tâches régulières requises afin de maintenir la conformité FedRAMP. Vous pouvez également utiliser notre registre de risques et nos capacités de gestion des risques pour soutenir vos efforts de surveillance continue et de maintenance POA&M.

Pour en savoir plus sur la manière dont Secureframe peut vous aider à vous conformer à FedRAMP et à d'autres cadres fédéraux, programmez une démo avec un expert produit.