Le programme fédéral de gestion des risques et des autorisations (FedRAMP) est un programme gouvernemental qui fournit une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services en nuage. Le programme a été créé en réponse à l'initiative "Cloud First" de l'administration Obama, qui demandait aux agences de passer à des solutions basées sur le cloud chaque fois que possible.
Les FedRAMP 3PAO sont des organisations tierces qui ont été autorisées par le bureau de gestion du programme FedRAMP (PMO) à fournir des évaluations indépendantes de la sécurité des produits et services en nuage. Ces évaluations sont utilisées pour déterminer si un produit ou un service répond aux exigences de sécurité du programme FedRAMP.
La sélection d'un 3PAO est une décision clé pour toute entreprise cherchant à obtenir une autorisation FedRAMP pour son produit ou service. Les 3PAO doivent être accrédités par l'American National Standards Institute (ANSI) et avoir une grande expérience dans la réalisation d'évaluations de sécurité. En outre, les 3PAO doivent être indépendants de l'entreprise dont le produit ou le service est évalué.
Il y a actuellement quatre 3PAOs qui ont été autorisés par le PMO FedRAMP :
- Cognizant
- Deloitte
- Ernst & Young
- KPMG
Chacune de ces organisations a une grande expérience dans la réalisation d'évaluations de sécurité et est accréditée par l'ANSI.
FedRAMP et GovCloud sont-ils identiques ?
Non, FedRAMP et GovCloud ne sont pas identiques. FedRAMP est un programme gouvernemental qui fournit une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services en nuage. GovCloud est un service AWS qui aide les agences gouvernementales et d'autres clients réglementés à répondre aux exigences de conformité en fournissant un environnement de cloud computing qui est séparé du reste d'AWS.
Le DOD utilise-t-il FedRAMP ? Oui, le ministère de la défense (DOD) utilise FedRAMP. FedRAMP est un programme gouvernemental qui fournit une approche standardisée pour l'évaluation de la sécurité, l'autorisation et la surveillance continue des produits et services de cloud computing.
Tous les systèmes fédéraux nécessitent-ils un ATO ?
Il n'y a pas de réponse unique à cette question, car cela dépend du système fédéral spécifique en question. Certains systèmes fédéraux peuvent nécessiter une ATO (Authority to Operate), d'autres non. En général, cependant, la plupart des systèmes fédéraux nécessitent une autorisation de sécurité pour pouvoir fonctionner.
Comment puis-je obtenir la conformité FedRAMP ?
Il n'existe pas de réponse unique à cette question, car les étapes nécessaires pour devenir conforme à FedRAMP varient en fonction des exigences spécifiques de votre organisation. Cependant, il existe quelques conseils généraux qui peuvent vous aider à vous engager sur la voie de la conformité :
1. Familiarisez-vous avec le programme fédéral de gestion des risques et des autorisations (FedRAMP) et ses exigences. Cela vous aidera à comprendre ce qui est nécessaire pour devenir conforme.
2. Travaillez avec un organisme d'évaluation tiers (3PAO) autorisé par le FedRAMP pour évaluer l'état de préparation de votre organisation à la conformité. Cette évaluation permettra d'identifier toutes les lacunes qui doivent être comblées pour répondre aux exigences.
Élaborez un plan de sécurité conforme à FedRAMP qui aborde tous les contrôles de sécurité requis. Ce plan doit être examiné et approuvé par le 3PAO.
4. mettez en œuvre les contrôles de sécurité de votre plan. Cela peut nécessiter des modifications de vos systèmes et processus.
Demandez au 3PAO de valider que les contrôles de sécurité ont été correctement mis en œuvre et sont efficaces.
6. Soumettez un dossier complet au bureau de gestion du programme FedRAMP (PMO) pour examen et approbation.
Suivre ces étapes vous aidera à vous mettre sur la voie de la conformité FedRAMP. Cependant, il est important de noter que la conformité est un processus continu, et que vous devrez continuellement surveiller et mettre à jour vos contrôles de sécurité pour vous assurer qu'ils restent
Comment puis-je devenir un auditeur FedRAMP ?
Il n'y a pas de chemin spécifique pour devenir un auditeur FedRAMP, mais il y a quelques éléments qui vous aideront à vous démarquer. Tout d'abord, il est utile d'avoir une formation en audit et en sécurité de l'information. Ensuite, il est utile d'avoir une expérience de travail avec le gouvernement fédéral, que ce soit en tant qu'employé ou en tant que contractant. Enfin, il est utile de connaître les normes et procédures de FedRAMP.