FedRAMP
Présentation
Le gouvernement fédéral des États-Unis s'engage à fournir ses services aux citoyens américains de la manière la plus innovante, sûre et économique. Le cloud computing continue de guider le gouvernement fédéral dans sa quête d'efficacité opérationnelle et d'innovation, et lui permet de mieux remplir sa mission dans le pays tout entier. C’est pourquoi de nombreuses agences fédérales utilisent aujourd’hui les services Cloud AWS pour traiter, stocker et transmettre les données du gouvernement fédéral américain.
Questions fréquentes (FAQ)
-
Qu’est-ce que FedRAMP ?
Le Federal Risk and Authorization Management Program (FedRAMP) est un programme mis en place par le gouvernement américain qui fournit une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services de cloud. Les organes directeurs du programme FedRAMP comprennent le Bureau de la gestion et du budget (OMB), l'Administration américaine des services généraux (GSA), le département américain de la Sécurité intérieure (DHS), le département américain de la Défense (DoD), le National Institutes of Standards & Technology (NIST) et le Federal CIO Council.
Les fournisseurs de services cloud (CSP) qui souhaitent proposer leurs offres de services cloud (CSO) au gouvernement américain doivent démontrer leur conformité au programme FedRAMP. Le programme FedRAMP utilise la série de publications spéciales 800 du NIST et exige que les fournisseurs de services cloud passent par une évaluation de sécurité indépendante réalisée par un organisme d'évaluation tiers (3PAO) pour s'assurer que les autorisations sont conformes à la loi FISMA (loi sur la gestion de la sécurité des informations fédérales). Pour plus d'informations, consultez le site web du programme FedRAMP.
-
Pourquoi le FedRAMP est-il important ?
En réponse à la politique Cloud First (désormais Cloud Smart Strategy), l'Office of Management and Budget (OMB) a publié le FedRAMP Policy Memo (désormais Federal Cloud Computing Strategy) pour établir le premier programme d'autorisation de sécurité gouvernemental pour la loi Federal Information Security Modernization Act (FISMA). Le programme FedRAMP est obligatoire pour toutes les agences fédérales américaines et tous les services de cloud. Le programme FedRAMP est important, car il améliore :
- la cohérence et la confiance dans la sécurité des solutions de cloud à l'aide des normes définies par les National Institutes of Standards & Technology (NIST) et la loi FISMA ;
- la transparence entre le gouvernement américain et les fournisseurs de cloud ;
- l'automatisation et la surveillance continue pratiquement en temps réel ;
- l'adoption de solutions de cloud sécurisées grâce à la réutilisation d'évaluations et d'autorisations.
-
Quels sont les critères de conformité du programme FedRAMP ?
La Cloud First Policy stipule que toutes les agences fédérales doivent utiliser le processus FedRAMP pour mener des évaluations de sécurité, accorder des autorisations et surveiller en continu les services de cloud. Le bureau de gestion du programme FedRAMP a exposé les exigences suivantes pour la conformité FedRAMP :
- Le fournisseur de services cloud a reçu une autorisation ATO (Agency Authority to Operate) par une agence fédérale américaine ou une autorisation P-ATO (Provisional Authority to Operate) par le Joint Authorization Board.
- Le fournisseur de services cloud respecte les exigences de contrôle de sécurité FedRAMP comme décrit dans les directives de contrôle de la sécurité National Institutes of Standards & Technology (NIST) 800-53, 4e révision, pour les niveaux d'impact modérés à élevés.
- Tous les packages de sécurité système doivent utiliser les modèles imposés par le programme FedRAMP.
- Le fournisseur de services cloud doit être évalué par un organisme d'évaluation tiers agréé (3PAO).
- Le package d'évaluation de sécurité terminé doit être publié dans le registre sécurisé du programme FedRAMP.
-
Quels sont les différents types de conformité au programme FedRAMP ?
Les fournisseurs de services cloud (CSP) peuvent obtenir la conformité FedRAMP de deux façons différentes :
- Autorisation du Joint Authorization Board (JAB) : Pour recevoir une autorisation provisoire P-ATO du JAB de FedRAMP, un fournisseur de services cloud est évalué par un 3PAO accrédité par FedRAMP, étudié par le bureau de gestion du programme FedRAMP et reçoit un P-ATO du JAB. Le JAB est composé des responsables des systèmes d'informations du département de la Défense (DoD), du département de la sécurité intérieure (DHS) et de l'administration des services généraux (GSA).
- Autorisation d'agence : Pour recevoir l'autorisation ATO d'agence FedRAMP, un fournisseur de services cloud est étudié par le responsable des services d'informations de l'agence cliente ou le ou les fonctionnaires d'autorisation délégués afin d'obtenir une ATO conforme à FedRAMP qui est vérifiée par le bureau de gestion du programme.
-
Comment une agence exploite-t-elle l'autorisation AWS FedRAMP ?
Une organisation de l'agence fédérale ou du département américain de la défense (DoD) peut utiliser les offres de services cloud (CSO) d'AWS comme éléments de base pour les solutions hébergées dans le cloud. Chaque CSO AWS est autorisée en vue d'une utilisation par le gouvernement fédéral ou par le DoD par FedRAMP et DISA, et son autorisation est consignée dans une autorisation d'exploitation provisoire (P-ATO). Les CSP ne reçoivent pas d'autorisation d'opérer (ATO) pour leurs OSC, mais des autorisations P-ATO. Une autorisation provisoire P-ATO est une approbation préalable à l'achat destinée aux agences fédérales ou aux organismes du DoD qui leur permet d'utiliser les CSO. Les agences fédérales ou les organismes du DoD peuvent tirer profit des packages de sécurité AWS FedRAMP pour examiner les documents connexes, y compris des détails de responsabilité partagée, et décider, en fonction des risques, d'accorder une autorisation ATO. Si vous avez d'autres questions ou besoin de plus d'informations, veuillez contacter votre chargé de compte client AWS.
Un agent autorisé (AO) d'agence peut tirer profit de l'un des packages de sécurité AWS FedRAMP pour examiner les documents connexes, y compris des détails de responsabilité partagée, et décider, en fonction des risques, d'accorder une ATO (Authority to Operate) d'agence à AWS. Les agences sont tenues de délivrer leur propre autorisation ATO sur AWS et sont également responsables de l'autorisation globale des composants de leur système. Si vous avez des questions ou besoin de plus d'informations, veuillez contacter votre chargé de compte du service commercial AWS ou l'équipe ATO on AWS.
-
AWS dispose-t-il d'un programme ATO (Authority to Operate, Autorisation d'opérer) ?
AWS est un fournisseur de services cloud (CSP) qui propose des offres de services dans le cloud (CSO). En tant que CSP, AWS suit le processus FedRAMP pour obtenir l'autorisation de ses CSO en vue d'une utilisation par le gouvernement fédéral ou le DoD. Le processus FedRAMP ne délivre pas d'autorisation d'opérer (ATO) aux CSP, mais plutôt une autorisation provisoire P-ATO. L'autorisation provisoire P-ATO est une approbation préalable à l'achat destinée aux agences fédérales ou au DoD qui leur permet d'utiliser les CSO. Les agences fédérales ou le DoD utilisent l'autorisation P-ATO et les contrôles hérités associés à l'autorisation P-ATO lorsqu'ils suivent le processus du cadre de gestion des risques (CGR) pour obtenir leur propre autorisation ATO. Notez que l'autorisation P-ATO d'AWS ne passera pas en ATO, car le processus FedRAMP ne délivre pas d'ATO aux CSP. Les autorisations ATO ne sont délivrées que dans le cadre du processus CGR, et elles sont délivrés par les agents d'autorisation (AO) de l'agence fédérale ou du DoD. Vous trouverez de plus amples informations sur FedRAMP sur le site FedRAMP.
-
En quoi FedRAMP est-il différent du cadre de gestion des risques (CGR) ?
FedRAMP est le processus suivi par les fournisseurs de services cloud (CSP) pour faire approuver leurs offres de services cloud (CSO) par les agences fédérales ou le DoD en vue de les utiliser comme élément de base pour les systèmes hébergés dans le cloud. Le cadre de gestion des risques (CGR) est le processus que les agences fédérales ou le DoD suivent pour obtenir l'autorisation d'exploitation de leur système informatique. Seuls les CSP utilisent le processus FedRAMP, et les CSP ne suivent pas le processus CGR. Les agences fédérales ou le DoD ne suivent le processus FedRAMP que s'ils créent des services cloud (par exemple MilCloud).
-
AWS prend-il en charge les autorisations ATO (Agency Authority to Operate) pour les services en dehors du programme FedRAMP ?
Nous encourageons les agences clientes à utiliser l'ATO et le package d'autorisations existants du JAB de FedRAMP pour délivrer leur propre autorisation d'opérer.
-
Amazon Web Services est-il conforme au programme FedRAMP ?
Oui, AWS propose les services suivants, conformes au programme FedRAMP, qui ont obtenu des autorisations, réussi les contrôles de sécurité FedRAMP (d'après le document NIST SP 800-53), utilisé les templates FedRAMP requis pour les packages de sécurité publiés sur le référentiel sécurisé du programme FedRAMP, ont été évalués par une instance d'évaluation indépendante accréditée (3PAO) et respectent les exigences de surveillance continue du programme FedRAMP :
- AWS GovCloud (US) s'est vu accorder une autorisation JAB P-ATO (Joint Authorization Board Provisional Authority-To-Operate) et plusieurs autorisations d'agence (A-ATO) pour le niveau d'impact élevé. Les services entrant dans le champ d'application d'AWS GovCloud (USA) JAB P-ATO dans une catégorie haute sécurité sont indiqués sur la page Services AWS concernés par le programme de conformité.
- Les régions AWS USA Est/Ouest (Virginie du Nord, Ohio, Oregon, Californie du Nord) se sont vues accorder une autorisation JAB P-ATO (Joint Authorization Board Provisional Authority-To-Operate) et plusieurs autorisations d'agence (A-ATO) pour le niveau d'impact modéré. Les services entrant dans le champ d'application de la JAB P-ATO AWS USA Est/Ouest dans une catégorie de sécurité de référence modérée sont indiqués sur la page Services AWS concernés par le programme de conformité.
-
La conformité au programme FedRAMP augmentera-t-elle mes coûts de services AWS ?
Non. Aucune région ne verra ses coûts de service augmenter en raison de la conformité d'AWS avec le programme FedRAMP.
-
Quelles sont les régions AWS couvertes ?
Deux autorisations provisoires ATO d'agence FedRAMP distinctes ont été délivrées. La première couvre la région AWS GovCloud (US), et l'autre s'applique aux régions AWS USA Est et Ouest.
-
Y a-t-il des organismes du gouvernement américain qui utilisent AWS à l'heure actuelle ?
Oui. À l'heure actuelle, plus de 2 000 agences et autres organismes du gouvernement chargés de l'intégration de systèmes et d'autres produits et services pour les agences officielles utilisent les nombreux services AWS. Vous pouvez consulter des études de cas sur les entités du gouvernement américain qui utilisent le système AWS sur la page web Success-stories de clients AWS. Pour plus d'informations sur la façon donc AWS respecte les exigences élevées en matière de sécurité pour les gouvernements, consultez la page AWS pour le gouvernement.
-
Quels sont les services couverts et comment pouvons-nous valider la conformité à FedRAMP ?
Les services AWS couverts qui appartiennent déjà au champ d'application des limites FedRAMP et SRG du département de la Défense des États-Unis (DoD) sont indiqués sur la page Services AWS concernés par le programme de conformité. En cliquant sur l'onglet FedRAMP ou DoD SRG, les services avec une coche « ✓ » sont ceux pour lesquels le JAB FedRAMP a autorisé le service comme répondant suffisamment aux exigences de base modérées de FedRAMP (ultérieurement DoD SRG IL2) pour AWS USA Est-Ouest et/ou aux exigences de base élevées de FedRAMP (ultérieurement DoD SRG IL2, IL4, et IL5) pour AWS GovCloud (US). Ces services sont répertoriés sous la description de services AWS sur FedRAMP Marketplace. Si les services sont marqués comme « 3PAO Assessment » (Évaluation 3PAO) ou « Under Assessment » (En cours d'évaluation), c'est qu'AWS ne prétend pas mettre en œuvre des contrôles avec FedRAMP ou bénéficier de la maintenance de FedRAMP, car ces services sont encore en cours d'évaluation. Si le service est marqué comme « JAB Review » (Examen du JAB) ou « DISA Review » (Examen de DISA), le service a terminé l'évaluation 3PAO et se trouve actuellement dans la file d'attente de notre organisme de réglementation. Ces services ont été mis en œuvre par AWS et évalués pour les contrôles FedRAMP pertinents en fonction de l'environnement, mais n'ont pas été autorisés par JAB. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez contacter l'équipe AWS en charge des ventes et du développement commercial.
-
Est-il possible d'utiliser d'autres services AWS ?
Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail avec d'autres services AWS. Contactez l' équipe AWS en charge des ventes et du développement commercial pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques.
-
Est-il possible d'intégrer des systèmes à niveau d'impact élevé à AWS ?
Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail à impact élevé avec AWS. Actuellement, les clients peuvent placer leurs charges de travail à impact élevé sur AWS GovCloud (USA) qui s'est vu accorder une autorisation JAB P-ATO (Joint Authorization Board Provisional Authority-To-Operate) et plusieurs autorisations d'agence (A-ATO) pour le niveau d'impact élevé.
-
Où puis-je accéder au package de sécurité AWS FedRAMP ?
États-Unis Les employés et sous-traitants des agences gouvernementales peuvent demander l'accès au package de sécurité AWS FedRAMP auprès du PMO de FedRAMP en remplissant un formulaire de demande d'accès au package et en l'envoyant à l'adresse info@fedramp.gov.
Les clients et partenaires commerciaux peuvent demander l'accès à l'ensemble des partenaires FedRAMP d'AWS pour avoir des conseils sur la façon de tirer parti des offres d'AWS et une assistance pour l'architecture de services conformes au programme FedRAMP/ou au DoD sur AWS. Vous pouvez trouver le pack partenaire dans votre compte via AWS Artifact ou sur demande auprès de votre chargé de compte client AWS.
-
Qu'est-ce que l'ID FedRAMP à des fins de référence ?
Pour les Régions AWS USA Est-Ouest, l'ID FedRAMP est AGENCYAMAZONEW. Pour la Région AWS GovCloud (USA), l'ID FedRAMP est F1603047866.
-
Comment est-ce que la surveillance continue est gérée avec les autorisations FedRAMP ?
Quand une autorisation a été accordée au sein du FedRAMP Concept of Operations (CONOPS), le statut de sécurité du fournisseur de services cloud est surveillé conformément au processus d'évaluation et d'autorisation. Pour bénéficier à nouveau d'une autorisation FedRAMP d'une année sur l'autre, les fournisseurs de services cloud doivent surveiller leurs contrôles de sécurité, les évaluer régulièrement et démontrer que le degré de sécurité de leurs services reste continuellement acceptable. Les agences fédérales exploitant le programme de surveillance continue FedRAMP, les agents d'autorisation (AO) et leurs équipes désignées sont responsables de la vérification continue de la conformité d'AWS. Sur une base continue et permanente, les AO et leurs équipes désignées revoient les artéfacts fournis par le processus de surveillance continu de FedRAMP AWS, en plus des preuves d'implémentation des contrôles spécifiques à l'agence nécessaires parallèlement aux contrôles FedRAMP. Pour plus d'informations, veuillez vous référer au programme ou à la stratégie de sécurité des systèmes d'informations de votre agence.
-
En tant qu'agence fédérale américaine, dois-je conclure un accord de sécurité d'interconnexion (ISA) avec AWS ?
Non. D'après le Weekly Tips & Cues FedRAMP du 10 août 2016, les ISA ne sont pas destinés à être conclus entre un fournisseur de services cloud et une agence fédérale.
-
Et si j'ai besoin de discuter avec AWS des architectures ou des charges de travail AWS spécifiques à FedRAMP de mon organisation ?
Le package de sécurité FedRAMP AWS est disponible pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans la Console de gestion AWS, ou obtenez plus d'informations sur la page Mise en route avec AWS Artifact.
Si vous avez des questions spécifiques concernant la conformité au programme FedRAMP ou aux exigences du DoD, veuillez contacter votre gestionnaire de compte AWS ou soumettre le Formulaire de contact sur la conformité AWS pour entrer en contact avec l'équipe dédiée à la conformité FedRAMP.
-
Où puis-je trouver davantage d'informations sur les programmes de conformité associés à FedRAMP ?
Pour plus d'informations sur les programmes de conformité applicables, veuillez consulter notre page web consacrée au Programme de conformité AWS. Vous trouverez également plus d'informations sur les Normes FIPS (Federal Information Processing Standard) 140-2, le Guide des exigences de sécurité du Département américain de la défense pour le cloud computing (DoD CC SRG), la Loi sur la gestion de la sécurité des informations fédérales (FISMA), et le National Institute of Standards and Technology (NIST).
-
Quels sont les liens entre le FedRAMP et les autres programmes fédéraux de conformité (FISMA, DFARS, DoD SRG, NIST SP 800-171, FIPS 140-2) ?
Les agences du gouvernement fédéral sont évaluées par leur Bureau de l'inspecteur général (OIG) et en interne sur la base de mesures fournies par le Département de la sécurité intérieure (DHS). Les critères pour les métriques OIG et CIO FISMA sont les publications spéciales NIST SP 800, avec un accent mis sur NIST SP 800-53. Pour que ces agences puissent compter sur la sécurité du CSP, le FedRAMP est un programme de conformité qui s'appuie sur une base de contrôles NIST SP 800-53 pour se conformer aux exigences de la FISMA dans le cloud.
Le programme de conformité FedRAMP est exploité par le DoD pour répondre au Guide des exigences de sécurité du Département américain de la défense pour le cloud computing (DoD CC SRG) et aux Niveaux d'impact, qui exigent tous deux une conformité par rapport aux normes FIPS 140-2 pour certains contrôles de chiffrement. Le Defense Federal Acquisition Regulation Supplement (DFARS) exige des sous-traitants du DoD qui traitent, stockent ou transmettent des informations non classifiées contrôlées (CUI), qu'ils respectent un certain nombre de normes de sécurité, dont les exigences de la norme NIST SP 800-171. La norme NIST SP 800-171 fournit aux agences des recommandations de sécurité pour protéger la confidentialité des informations non classifiées contrôlées (CUI).