La première moitié de 2023 a vu une augmentation de 8% des cyberattaques hebdomadaires mondiales — la plus forte hausse en deux ans. Compte tenu de la fréquence alarmante et de la sophistication accrue des menaces, il est crucial pour les organisations gouvernementales étatiques, locales et éducatives (SLED) de s'assurer que leurs fournisseurs tiers disposent de pratiques de sécurité de l'information suffisantes pour protéger les données sensibles. StateRAMP répond à ce besoin critique en offrant aux SLED et aux fournisseurs de services cloud qui les servent une vérification tierce d'une posture de sécurité solide.

Lancé en 2021, StateRAMP est une addition relativement récente au paysage de la cybersécurité. Pour aider les organisations à comprendre les avantages du cadre et le processus de vérification, nous avons parlé avec des responsables de l'organisation StateRAMP qui ont partagé leur expertise.

Nous avons récemment eu l'occasion d'interviewer Rebecca Kee, directrice de l'engagement gouvernemental chez StateRAMP, et Liz Huston, responsable du programme chez StateRAMP, pour connaître leurs meilleures pratiques et leurs conseils pour les organisations poursuivant la vérification. Ils ont dissipé des idées reçues courantes, partagé des perspectives sur les tendances et pratiques actuelles, et offert des conseils d'experts pour aider les organisations à se préparer à la vérification StateRAMP.

Quelles idées reçues courantes rencontrez-vous à propos de StateRAMP et du processus de vérification ?

Liz a immédiatement évoqué le coût comme une fausse idée majeure. Elle a dit : « De nombreuses organisations supposent qu'il sera prohibitif de se faire vérifier par StateRAMP. Nous avons pris des mesures pour réduire les barrières de coûts, en particulier pour les petites entreprises, avec des mesures telles qu'une tarification par adhésion échelonnée. »

Pour Rebecca, une incompréhension clé concerne la relation entre StateRAMP et FedRAMP. « Il y a une idée reçue commune que FedRAMP et StateRAMP sont interchangeables, ou que FedRAMP a un ensemble de contrôles plus restrictif que StateRAMP. Les deux utilisent l'ensemble de contrôles NIST 800-53, et les 3PAO sont les mêmes évaluateurs certifiés par le programme gouvernemental fédéral. Ils évaluent essentiellement les mêmes contrôles de la même manière », a-t-elle expliqué.

« La différence la plus significative est qu'avec FedRAMP, les gouvernements étatiques et locaux n'ont pas accès aux rapports de surveillance continue. Avec StateRAMP, les gouvernements étatiques et locaux peuvent désormais obtenir le même niveau de visibilité et d'évaluation des risques sans avoir à se fier aux organisations avec le statut FedRAMP-ready. Les différences résident dans les rapports et les lignes de communication, plutôt que dans des paramètres organisationnels ou de contrôle différents. »

Quelles tendances ou changements observez-vous chez les organisations qui poursuivent la vérification StateRAMP ?

« Historiquement, nous avions vu beaucoup d'organisations déjà autorisées par FedRAMP ou par le gouvernement venir à travers notre programme Fast Track. Depuis que nous avons introduit notre Security Snapshot, nous avons vu une augmentation des sociétés IaaS, SaaS et PaaS cherchant en premier lieu la vérification StateRAMP, même avant FedRAMP », a partagé Liz. « Avec l'outil Snapshot, elles peuvent obtenir une image claire de leur niveau de conformité et de ce qu'elles doivent faire, ce qui a vraiment ouvert la porte à une plus grande variété d'organisations. »

Combien d'organisations sont conformes à StateRAMP ?

Liz a partagé que, « Environ 250 membres ont rejoint l'organisation StateRAMP, et 86 de ces organisations figurent actuellement sur notre liste de produits autorisés. »

StateRAMP tire-t-il actuellement parti de l'automatisation dans l'un de ses processus ?

« Avec le Security Snapshot, les organisations soumettent des preuves de contrôle et des rapports mensuels de surveillance continue. Notre équipe PMO examine ensuite manuellement tout — mais nous envisageons de tirer parti de l'automatisation à l'avenir pour rationaliser le processus », a commenté Liz.

Quels conseils avez-vous pour les entreprises qui pourraient avoir besoin d'être conformes à plusieurs cadres RAMP (c'est-à-dire TX-RAMP, StateRAMP et FedRAMP) ?

Rebecca a offert des conseils clés aux organisations gérant la conformité à travers plusieurs cadres gouvernementaux. Elle a déclaré : « Ma question initiale serait : où faites-vous des affaires, et avec qui ? Si vous prévoyez de faire des affaires en dehors de l'État du Texas, notre conseil serait d'obtenir la vérification StateRAMP. Nous envoyons automatiquement les critères pour les organisations vérifiées StateRAMP à TX-RAMP. À moins que vous ne fassiez des affaires avec le gouvernement fédéral, il n'est pas nécessaire de faire FedRAMP. Cela dit, si vous êtes déjà prêt FedRAMP, vous pouvez utiliser le programme Fast Track de StateRAMP pour accélérer le processus de vérification de StateRAMP. »

Quel conseil donneriez-vous à une organisation qui essaie de décider si elle doit poursuivre le statut de vérification avec ou sans parrainage gouvernemental ?

« StateRAMP est conçu pour que vous n'ayez pas besoin de parrainage gouvernemental, même si votre organisation poursuit le statut Autorisé », a expliqué Rebecca. « Si vous avez un parrain gouvernemental, c'est bien, mais si vous n'en avez pas, vous pouvez passer par le Comité d'Approuvation. La seule raison de désigner un parrain gouvernemental est si vous travaillez avec un gouvernement qui en exige un. »

De nombreux États ont adopté ou introduit leurs propres lois sur la protection des données. Comment cela affecte-t-il StateRAMP ? StateRAMP va-t-il introduire des exigences supplémentaires pour tenir compte de la nouvelle législation sur la protection de la vie privée ?

Selon Rebecca, « cela dépendra probablement de l'État. Certains États ont adopté des codes directement liés à StateRAMP et à d'autres normes, même si le code ne mentionne pas explicitement StateRAMP. De nombreux autres États adoptent des codes que StateRAMP satisfait déjà. D'autres encore fonctionnent en comprenant que le chef de l'information de l'État a l'autorité nécessaire et qu'ils n'ont pas besoin de passer des codes supplémentaires. Chaque État est différent. »

« Nous travaillons actuellement avec plusieurs États pour déterminer des choses comme, ont-ils un processus d'évaluation des fournisseurs en place ? StateRAMP va-t-il remplacer ou compléter ce processus ? À ce stade, la plupart des États veulent finalement exiger StateRAMP sous une forme ou une autre mais cherchent encore comment mettre en œuvre le cadre pour répondre au mieux à leurs besoins », a-t-elle expliqué.

Soyez prêt pour StateRAMP avec Secureframe

Notre plateforme GRC leader est conçue pour aider les organisations à naviguer et à simplifier les efforts complexes de conformité en matière de sécurité et de protection des données. Voici quelques raisons pour lesquelles les organisations choisissent Secureframe comme partenaire pour atteindre et maintenir la conformité avec les cadres gouvernementaux et fédéraux comme StateRAMP :

Expertise en conformité gouvernementale et fédérale

Notre équipe de conformité dédiée et de classe mondiale comprend d'anciens auditeurs FISMA, FedRAMP et CMMC qui ont l'expertise et l'expérience nécessaires pour vous soutenir à chaque étape.

Intégrations avec des produits cloud fédéraux

Secureframe s'intègre à votre pile technologique existante, y compris AWS GovCloud, pour automatiser la surveillance de l'infrastructure et la collecte de preuves.

Réseau de partenaires 3PAO de confiance

Secureframe entretient des relations étroites avec des cabinets d'audit réputés certifiés en tant qu'organisations d'évaluation tierces (3PAO) et peut supporter StateRAMP et d'autres audits fédéraux tels que FedRAMP, CMMC et CJIS.

Cartographie croisée entre cadres

Le NIST 800-53 a de nombreuses exigences qui se chevauchent avec StateRAMP, NIST 800-171, FedRAMP, CJIS et d'autres cadres fédéraux. Au lieu de recommencer à zéro, notre plateforme peut aider à cartographier ce que vous avez déjà fait pour StateRAMP vers d'autres cadres afin de ne jamais dupliquer les efforts.

Surveillance continue

En surveillant votre pile technologique 24/7 pour vous alerter des non-conformités, Secureframe facilite le maintien de la conformité continue. Vous pouvez spécifier les intervalles de test et les notifications pour les tâches régulières requises afin de maintenir la conformité StateRAMP. Vous pouvez également utiliser notre registre des risques et nos capacités de gestion des risques pour soutenir vos efforts de surveillance continue et de maintenance POA&M.

Pour en savoir plus sur la façon dont Secureframe peut vous aider à vous conformer à StateRAMP, FedRAMP et à d'autres cadres rigoureux, planifiez une démonstration avec un expert produit.