Secteur public 
Alors que les agences fédérales américaines sont confrontées à des cybermenaces de plus en plus sophistiquées, la sécurisation des systèmes à fort impact et des données
Le Federal Risk and Authorization Management Program (FedRAMP) est un programme du gouvernement américain visant à normaliser et à rationaliser l’évaluation, l’autorisation et la surveillance continue des services de cloud computing pour les agences fédérales. Il établit un ensemble cohérent d’exigences de sécurité pour les fournisseurs de services cloud (CSP) afin de garantir que leurs produits répondent aux besoins rigoureux du gouvernement fédéral en matière de sécurité et de confidentialité.
La différence entre autorisation et équivalence FedRAMP réside en ceci : un produit « autorisé pour FedRAMP » a été officiellement reconnu comme une solution cloud sécurisée et conforme, approuvée pour une utilisation par le gouvernement fédéral, et est répertorié sur la plateforme officielle FedRAMP Marketplace. En revanche, un produit avec équivalence FedRAMP correspond à une auto-attestation indiquant un niveau similaire d’efforts et d’intentions en matière de sécurité, mais le produit n’est pas répertorié sur la plateforme officielle FedRAMP Marketplace.
Que signifie « équivalence FedRAMP » ?
Un fournisseur de services cloud (CSP) qui affirme avoir obtenu l’équivalence FedRAMP déclare que son produit répond à des normes de sécurité comparables à celles de FedRAMP, mais il n’a pas officiellement suivi le processus rigoureux d’autorisation FedRAMP. Ce terme peut être utilisé par des entreprises non américaines, des gouvernements d’État ou des entreprises privées qui mettent en œuvre des contrôles basés sur les directives FedRAMP. Souvent, mais pas toujours, les CSP utilisent l’équivalence FedRAMP pour indiquer leur conformité à FedRAMP ou leur intention d’obtenir une autorisation FedRAMP complète.
Les principales caractéristiques de l’équivalence FedRAMP sont les suivantes :
- Le CSP atteste lui-même que son produit est conforme aux contrôles de sécurité FedRAMP ou les utilise comme référence.
- Le produit du CSP peut ou ne peut pas avoir été officiellement évalué ou avoir obtenu une autorisation d’exploitation (ATO) par une agence fédérale ou le Joint Authorization Board (JAB).
- Le produit du CSP n’est pas répertorié sur la plateforme officielle FedRAMP Marketplace.
Que signifie « autorisation FedRAMP » ?
Les CSP dont les produits bénéficient de l’autorisation FedRAMP ont suivi le processus d’autorisation FedRAMP, qui comprend des évaluations de sécurité rigoureuses menées par un organisme d’évaluation tiers (3PAO), et chaque produit a obtenu une ATO délivrée par une agence fédérale ou le JAB.
Les principales caractéristiques de l’autorisation FedRAMP sont les suivantes :
- Le produit du CSP a été soumis à un processus très détaillé d’examen et de test de sécurité par un 3PAO et doit faire l’objet d’un audit de réautorisation annuel.
- Le produit du CSP a obtenu une ATO délivrée par une agence fédérale ou le JAB.
- Le produit du CSP est répertorié sur la plateforme officielle FedRAMP Marketplace.
Principales différences entre équivalence et autorisation FedRAMP
Le tableau suivant résume les principales différences entre équivalence et autorisation FedRAMP.
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
Risques liés au fait de travailler avec un fournisseur bénéficiant de l’équivalence plutôt que de l’autorisation FedRAMP
Choisir de travailler avec un CSP bénéficiant de l’équivalence plutôt que de l’autorisation FedRAMP comporte certains risques en raison de l’absence de validation formelle et de reconnaissance gouvernementale des mesures de sécurité du fournisseur. Il existe également d’autres risques, notamment d’éventuelles failles de sécurité et une mise en œuvre incohérente des contrôles de sécurité. L’autorisation FedRAMP comprend plus de 325 contrôles et une surveillance continue afin de garantir un niveau de sécurité très élevé. Les fournisseurs bénéficiant de l’équivalence sont susceptibles de mettre en œuvre moins de contrôles ou de ne pas disposer de processus de surveillance robustes. De plus, étant donné qu’il n’existe pas de processus de certification normalisé pour l’équivalence FedRAMP, le niveau de conformité peut varier considérablement d’un CSP à l’autre.
En raison de ces risques, les produits bénéficiant de l’équivalence FedRAMP sont plus adaptés aux organisations non fédérales, telles que les entreprises privées ou les administrations locales et d’État, qui doivent se conformer à des normes de sécurité élevées sans avoir à supporter le coût d’un produit bénéficiant de l’autorisation FedRAMP. Par exemple, un établissement de santé du secteur privé peut utiliser un système bénéficiant de l’équivalence FedRAMP dans le but de garantir la sécurité des données et la conformité à la loi HIPAA.
Ce qu’il faut retenir
Travailler avec un fournisseur bénéficiant de l’équivalence plutôt qu’un fournisseur autorisé pour FedRAMP expose les entreprises à des risques tels que des failles de sécurité, la non-conformité et une vulnérabilité accrue aux cyberattaques. Si les CSP bénéficiant de l’équivalence FedRAMP peuvent faire preuve de bonne foi en se conformant aux normes de sécurité, seuls ceux qui sont autorisé pour FedRAMP sont soumis à la validation formelle et à la surveillance continue nécessaires pour atténuer pleinement ces risques.
De plus, l’évaluation d’un fournisseur bénéficiant de l’équivalence FedRAMP est un processus long et coûteux qui implique l’examen de l’ensemble des preuves (BoE) du fournisseur, soit généralement des centaines, voire des milliers de pages de documentation. À l’inverse, choisir un fournisseur bénéficiant de l’autorisation FedRAMP signifie qu’un 3PAO a déjà examiné le BoE, testé ses contrôles et confirmé que son produit répond aux normes FedRAMP. Les agences peuvent le vérifier simplement en consultant la liste des CSP sur la plateforme officielle FedRAMP Marketplace.
Pour une utilisation fédérale, il est essentiel de travailler avec un fournisseur bénéficiant de l’autorisation FedRAMP High, tel que Keeper, afin de garantir la sécurité et conformité optimales.
