Les solutions cloud sont devenues indispensables pour presque toutes les organisations, y compris les agences gouvernementales. Pourtant, l'adoption généralisée des fournisseurs de services cloud entraîne le défi supplémentaire de garantir la sécurité des technologies cloud.

StateRAMP est conçu pour aider les gouvernements des États et locaux, ainsi que les institutions publiques, à s'associer avec des CSP ayant mis en œuvre des pratiques solides en matière de sécurité de l'information et de confidentialité des données. Ci-dessous, nous expliquerons les composants de base de StateRAMP, comment il se compare à FedRAMP et les processus de vérification de StateRAMP. Vous trouverez également une liste de contrôle de conformité StateRAMP et des réponses aux questions fréquemment posées.

Qu'est-ce que StateRAMP ?

StateRAMP est une organisation à but non lucratif. Son objectif est d'aider les gouvernements des États et locaux à créer une norme de cybersécurité cohérente et robuste pour les fournisseurs de services cloud. Les fournisseurs de services doivent postuler pour être inclus dans la Liste des produits autorisés de StateRAMP, ce qui implique un audit par une organisation d'évaluation tierce (3PAO).

Bien que StateRAMP ne soit pas affilié à ou approuvé par le gouvernement américain, il utilise le cadre National Institute of Standards and Technology (NIST) 800-53 pour évaluer les fournisseurs et leurs pratiques en matière de cybersécurité.

Qu'est-ce que le NIST 800-53 ?

Le National Institute of Standards and Technology (NIST) Special Publication 800-53 est une norme de conformité en matière de sécurité créée par le gouvernement américain. Elle aide les organisations de tous types à bien architecturer et gérer leurs systèmes de sécurité de l'information et à se conformer à la Federal Information Security Modernization Act (FISMA) de 2014.

Le NIST 800-53 est obligatoire pour les systèmes d'information fédéraux, les organisations et les agences gouvernementales. Toute organisation travaillant avec le gouvernement fédéral ou portant des données fédérales doit se conformer au NIST 800-53 pour maintenir la relation.

Le NIST 800-53 est considéré comme la norme d'excellence pour la sécurité des données fédérales et est conçu pour être général et applicable aux agences fédérales, y compris le Département du Travail. FedRAMP et StateRAMP sont tous deux des dérivés du cadre NIST 800-53.

La révision 5.1 du NIST 800-53 a été publiée en décembre 2020. Le conseil d'administration de StateRAMP a approuvé la transition vers la version 5 en mai 2023, et StateRAMP travaille actuellement à l'intégration des modifications. Tous les modèles mis à jour seront publiés sur le site web de StateRAMP d'ici janvier 2024, et les fournisseurs devront être conformes d'ici octobre 2024.

StateRAMP vs FedRAMP

StateRAMP et FedRAMP sont similaires à bien des égards. Les deux sont conçus pour aider les gouvernements à établir des normes de cybersécurité de base pour les fournisseurs de services cloud. Les deux utilisent les exigences de la norme NIST 800-53 comme critères d'évaluation, ainsi que les niveaux d'impact NIST (faible, modéré, élevé) pour évaluer les contrôles. Et les deux nécessitent une surveillance continue pour maintenir la conformité.

Cependant, StateRAMP et FedRAMP diffèrent de plusieurs manières importantes.

Comme leurs noms l'indiquent, StateRAMP est conçu pour les agences étatiques, les gouvernements locaux et les établissements d'enseignement supérieur. Les exigences de StateRAMP peuvent varier entre différents gouvernements étatiques et locaux en raison des besoins uniques de chaque juridiction. FedRAMP est spécifiquement conçu pour les programmes et les contractants fédéraux, et les exigences sont les mêmes, quel que soit l'état ou l'agence.

Une autre distinction importante est que StateRAMP est une organisation à but non lucratif. Contrairement à FedRAMP, elle n'est pas directement associée au gouvernement fédéral américain.

Quels États utilisent StateRAMP ?

Tout fonctionnaire ou professionnel de la sécurité informatique/informationnel de l'état, local, éducatif ou tribal/territorial peut devenir membre de l'organisation StateRAMP en s'inscrivant en ligne. De nombreuses organisations SLED (State, Local, and Education) ont adopté StateRAMP, y compris plus de deux douzaines de gouvernements étatiques et d'établissements d'enseignement public.

Statuts de sécurité StateRAMP

StateRAMP maintient une Liste des Produits Autorisés (APL) qui est mise à jour quotidiennement pour refléter les fournisseurs de services qui satisfont aux exigences de StateRAMP. Il y a six statuts de sécurité inclus dans l'APL :

Offres vérifiées

Ces fournisseurs de services ont complété un audit indépendant par une organisation d'évaluation tierce (3PAO) et répondent aux exigences de sécurité minimales.

• Prêt : Répond aux exigences de sécurité minimales
• Provisoire : Dépasse les exigences minimales et inclut un sponsor gouvernemental
• Autorisé : Satisfait à toutes les exigences et inclut un sponsor gouvernemental

Offres en progression

Ces fournisseurs de services sont actuellement engagés avec une organisation d'évaluation tierce et travaillent activement vers une offre vérifiée.

• Actif : Travaille vers un statut vérifié prêt
• En cours : Travaille vers un statut vérifié autorisé
• En attente : A soumis un package de sécurité au Bureau de gestion du programme StateRAMP (PMO) et attend leur statut vérifié déterminé

Comme indiqué ci-dessus, un sponsor gouvernemental est requis pour atteindre le statut Autorisé ou Provisoire StateRAMP. Les sponsors gouvernementaux peuvent être n'importe quel fonctionnaire ou employé de l'État qui :

• Occupe le poste de directeur de la sécurité des systèmes d'information ou son représentant
• Est un membre individuel de l'État StateRAMP

Le rôle d'un sponsor gouvernemental est de passer en revue les recommandations du PMO et les rapports de surveillance continue annuelle de l'organisation de services. Les CSP qui n'ont pas de sponsor gouvernemental peuvent également utiliser un membre du comité d'approbation de StateRAMP pour servir d'agent autorisant au nom du gouvernement.

Avantages de StateRAMP pour la cybersécurité

Comme il utilise NIST 800-53 comme base, la conformité StateRAMP implique un ensemble complet de contrôles de sécurité pour protéger les systèmes d'information. La conformité à la norme offre une gamme d'avantages commerciaux :

• Favoriser la croissance : Les solutions cloud courtisant les gouvernements d'État et locaux, les établissements d'enseignement et d'autres clients du secteur public bénéficieront de la crédibilité accrue qui accompagne la conformité StateRAMP et l'inclusion sur la liste des produits autorisés. Les parties prenantes, y compris les clients, les partenaires et les investisseurs, peuvent avoir une confiance totale dans l'engagement de l'organisation envers la sécurité du cloud.
• Posture de sécurité renforcée : La mise en œuvre des contrôles NIST 800-53 aide les organisations à protéger leurs systèmes d'information contre une gamme de menaces, y compris les cyberattaques, les menaces internes et les menaces physiques. Les directives rigoureuses aident à réduire le risque de violations de la sécurité, de perte de données et de divulgation non autorisée de données. NIST 800-53 est la norme d'or parmi les cadres et ensembles de contrôles complets.
• Confidentialité des données renforcée : L'intégration de contrôles de confidentialité garantit que les informations personnellement identifiables (PII) sont également protégées, réduisant ainsi les risques associés aux violations de la vie privée.
• Amélioration de la réponse aux incidents : Avec un ensemble de contrôles et de processus bien définis, les organisations peuvent répondre aux incidents et récupérer après eux plus efficacement.
• Gestion des risques standardisée : StateRAMP fournit un cadre organisé et cohérent pour évaluer les risques pour les systèmes d'information et pour mettre en œuvre des contrôles de sécurité appropriés.
• Prise de décision éclairée : Les lignes directrices aident à prendre des décisions éclairées concernant les investissements en sécurité et les allocations de ressources, aidant à prioriser les besoins en sécurité en fonction des risques réels.
• Économies de coûts : Bien que l'obtention de la conformité puisse nécessiter un investissement initial, elle peut entraîner des économies à long terme en évitant des violations coûteuses et en améliorant l'efficacité opérationnelle.
• Surveillance et amélioration continues : StateRAMP exige une surveillance continue, garantissant que les mesures de sécurité évoluent avec les menaces changeantes.
• Conformité à travers les cadres : Les exigences de StateRAMP chevauchent plusieurs autres cadres, ce qui en fait un moyen efficace de parvenir à la conformité avec d'autres normes recherchées telles que FedRAMP, NIST, SOC 2, ISO 27001, et d'autres. Les organisations qui utilisent un logiciel d'automatisation de la conformité peuvent facilement mapper les politiques et contrôles de StateRAMP à travers plusieurs cadres, éliminant les efforts en double.

La conformité à StateRAMP et NIST 800-53 offre une approche complète et bien structurée de la sécurité de l'information et de la confidentialité des données, ce qui a conduit de nombreuses organisations gouvernementales et du secteur privé à l'utiliser comme guide pour leurs propres pratiques de sécurité.

Comment obtenir l'autorisation StateRAMP

Le processus pour obtenir l'autorisation StateRAMP implique plusieurs étapes claires. Parcourons chacune d'elles pour clarifier comment les organisations deviennent conformes à StateRAMP.

1. Devenir membre de StateRAMP : Les fournisseurs de services doivent devenir membres de StateRAMP avant que leurs solutions IaaS, PaaS ou SaaS puissent être validées par le Bureau de gestion des programmes (PMO), obtenir un statut de sécurité StateRAMP ou être répertoriées sur la Liste des produits autorisés (APL).

2. Compléter un instantané de sécurité StateRAMP (facultatif) : Cette pré-évaluation évalue votre organisation pour identifier toute lacune dans votre posture de cybersécurité et garantir que vous êtes entièrement conforme aux exigences de StateRAMP.

3. Sélectionnez le chemin d'autorisation StateRAMP approprié : Utilisez l'outil de classification des données de StateRAMP pour déterminer la catégorie de sécurité appropriée et les exigences correspondantes. Cela vous aidera à décider si vous devez devenir StateRAMP Ready ou StateRAMP Authorized.

4. Collaborer avec une organisation d'évaluation tierce. D'abord, choisissez parmi la liste des évaluateurs approuvés par StateRAMP. Ensuite, travaillez avec le 3PAO pour terminer un rapport d'évaluation de préparation (RAR) ou un rapport d'évaluation de sécurité (SAR) et évaluer votre posture de conformité.

5. Compiler la documentation : Les exigences en matière de documentation varient en fonction du statut de vérification pertinent. Si vous visez le statut Ready, vous devez avoir 50 % de votre documentation complétée avant que le 3PAO puisse compléter le rapport d'évaluation de préparation (RAR).

Si vous vous préparez pour votre examen d'autorisation StateRAMP, vous aurez besoin de la documentation complétée suivante :

• Plan de sécurité du système (SR-SSP)
• Matrice des contrôles de sécurité (SR-SCM)
• Plan d'actions et de jalons (POA&M)
• Tout autre document demandé par le 3PAO pour compléter le SR-SAP et le SR-SAR

6. Soumettre une demande d'examen de sécurité : Une fois que vous avez soumis toute votre documentation de sécurité au PMO de StateRAMP, le délai moyen pour terminer un examen est de quelques semaines.

7. Trouvez un sponsor gouvernemental ou un comité d'approbations : Cette étape n'est requise que pour les organisations poursuivant le statut StateRAMP Authorized.

8. Obtenez le statut vérifié StateRAMP : Après évaluation, votre organisation recevra son statut vérifié et sera ajoutée à la liste des fournisseurs approuvés.

9. Établir des pratiques de surveillance continue. Travaillez avec votre 3PAO pour définir l'approche de surveillance continue appropriée. Chaque mois, vous devrez :

• Compléter votre document de plans d'actions et de jalons (POAM)
• Mettre à jour vos analyses de vulnérabilités et votre feuille de calcul d'inventaire
• Soumettre un rapport mensuel au PMO de StateRAMP pour examen

Automatiser la conformité StateRAMP

Comme il s'agit d'une norme rigoureuse, obtenir la conformité StateRAMP nécessite une quantité importante de temps et de ressources. Vous devrez effectuer une évaluation des risques et une analyse des écarts, sélectionner et mettre en œuvre des contrôles, rédiger des politiques, former le personnel et recueillir des documents et des preuves pour votre 3PAO. Et une fois cela terminé, vous devrez mettre en œuvre des évaluations continues et une surveillance permanente pour maintenir la conformité.

Les plateformes d'automatisation de la conformité comme Secureframe peuvent réduire de manière significative le temps et les efforts nécessaires pour effectuer ces tâches manuelles, libérant ainsi votre équipe pour se concentrer sur des objectifs stratégiques.

Voici quelques raisons pour lesquelles les organisations choisissent Secureframe comme partenaire pour atteindre et maintenir la conformité avec les cadres gouvernementaux et fédéraux :

Expertise en conformité gouvernementale et fédérale

Notre équipe de conformité dédiée et de classe mondiale comprend d'anciens auditeurs FISMA, FedRAMP et CMMC qui ont l'expertise et l'expérience nécessaires pour vous soutenir à chaque étape.

Intégrations avec les produits cloud fédéraux

Secureframe s'intègre à votre pile technologique existante, y compris AWS GovCloud, pour automatiser la surveillance de l'infrastructure et la collecte de preuves.

Réseau de partenaires 3PAO de confiance

Secureframe entretient des relations solides avec des cabinets d'audit respectés qui sont des organisations d'évaluation tierces (3PAO) certifiées et peuvent soutenir les audits StateRAMP et autres audits fédéraux tels que FedRAMP, CMMC et CJIS.

Cartographie croisée des cadres

Le NIST 800-53 comporte de nombreuses exigences qui se chevauchent avec StateRAMP, NIST 800-171, FedRAMP, CJIS et d'autres cadres fédéraux. Au lieu de repartir de zéro, notre plateforme peut vous aider à mapper ce que vous avez déjà fait pour StateRAMP à d'autres cadres afin que vous ne dupliciez jamais les efforts.

Surveillance continue

En surveillant votre pile technologique 24/7 pour vous alerter des non-conformités, Secureframe facilite le maintien de la conformité continue. Vous pouvez spécifier les intervalles de test et les notifications pour les tâches régulières requises pour maintenir la conformité StateRAMP. Vous pouvez également utiliser notre registre des risques et nos capacités de gestion des risques pour soutenir vos efforts de surveillance continue et de maintenance POA&M.

Pour en savoir plus sur la façon dont Secureframe peut vous aider à vous conformer à StateRAMP, FedRAMP et d'autres cadres fédéraux, planifiez une démonstration avec un expert produit.