Définition et but

L'objectif ultime de FedRAMP est la protection des informations fédérales dans le cloud. FedRAMP permet au gouvernement fédéral d'accélérer l'adoption de l'informatique en nuage en créant des normes et des processus transparents pour les autorisations de sécurité et en permettant aux agences de tirer parti des autorisations de sécurité à l'échelle gouvernementale.

Organe directeur

L'organe principal de gouvernance et de prise de décision pour FedRAMP est le Joint Authorization Board (JAB), qui se compose des directeurs de l'information du Département de la Défense (DoD), du Département de la Sécurité Intérieure (DHS) et de l'Administration des Services Généraux (GSA).

Dernière mise à jour

FedRAMP est mis à jour conformément à NIST 800-53. Plus récemment, les références FedRAMP ont été mises à jour en décembre 2021 pour s'aligner sur la révision 5 du NIST.

S'applique à

FedRAMP est obligatoire pour toute organisation fournissant des produits et services de cloud computing aux agences gouvernementales.

Contrôles et exigences

FedRAMP est un dérivé du NIST 800-53. Il utilise les mêmes références NIST 800-53 (bas, modéré, élevé) avec les mêmes contrôles associés, mais y ajoute certains paramètres et exigences spécifiques.

Les fournisseurs de services cloud (CSP) qui cherchent à se conformer à FedRAMP doivent implémenter les contrôles assignés à leur référence de contrôle de sécurité respective. Comme mentionné ci-dessus, la référence basse a le moins de contrôles (125) et peut être considérée comme la moins contraignante. La référence élevée a le plus de contrôles (421) et peut être considérée comme la plus contraignante. La référence modérée se situe au milieu avec 325 contrôles.

Veuillez vous référer à la documentation officielle FedRAMP pour une liste détaillée des contrôles et des exigences.

Type, fréquence et durée de l'audit

Il existe deux façons pour un fournisseur de services cloud (CSP) d'obtenir l'autorisation de son offre de services cloud par l'intermédiaire de FedRAMP : en obtenant le parrainage des agences fédérales individuelles ou en obtenant l'autorisation provisoire du JAB (P-ATO). Les deux voies impliquent une évaluation de la préparation (RAR). Une fois que le PMO de FedRAMP approuve le RAR, le CSP est désigné comme prêt dans le marché FedRAMP et peut continuer le processus d'autorisation.

Que ce soit pour obtenir une autorisation d'agence ou une autorisation provisoire du JAB, les fournisseurs de services cloud doivent être évalués par des 3PAO. Les 3PAO sont des organisations indépendantes d'évaluation qui vérifient les implémentations de sécurité du CSP et fournissent le profil de risque global d'un environnement cloud pour une décision d'autorisation de sécurité.

Ces évaluations sont ensuite examinées par l'agence ou le JAB. Si des problèmes sont identifiés, le CSP et le 3PAO doivent les résoudre. Une fois cela fait, l'agence délivrera une ATO ou le JAB prendra une décision d'autorisation formelle et, si favorable, délivrera une autorisation provisoire d'opération (P-ATO).