Je souhaite avoir des informations sur FedRAMP dans le cloud
AWS FedRAMP

Le gouvernement fédéral des États-Unis s'engage à fournir ses services aux citoyens américains de façon innovante, sûre et économique. Le cloud computing continue de guider le gouvernement fédéral dans sa quête d'efficacité opérationnelle et d'innovation, et lui permet de mieux remplir sa mission dans le pays tout entier. C'est pourquoi de nombreuses agences fédérales utilisent aujourd'hui les services utilitaires de cloud d'AWS pour traiter, stocker et transmettre les données du gouvernement fédéral américain.

govcloud_video

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme gouvernemental qui fournit une approche standard de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services de cloud. Les organes directeurs du programme FedRAMP comprennent l'Office of Management and Budget (OMB), l'Administration américaine des services généraux (GSA), le département américain de la Sécurité intérieure (DHS), le département américain de la Défense (DOD), le National Institutes of Standards & Technology (NIST) et le Federal CIO Council.

Le programme FedRAMP utilise la série de publications spéciales 800 du NIST et exige que les fournisseurs de services de cloud fassent l'objet d'une évaluation de sécurité indépendante réalisée par un organisme d'évaluation tiers (3PAO) pour s'assurer que les autorisations sont conformes à la loi FISMA (loi sur la gestion de la sécurité des informations fédérales). Les fournisseurs de services de cloud qui souhaitent proposer leurs produits et services au gouvernement américain doivent démontrer leur conformité au programme FedRAMP. Pour en savoir plus sur les exigences du programme FedRAMP, veuillez consulter le site www.FedRAMP.gov.

Amazon Web Services (AWS) propose les systèmes suivants, conformes au programme FedRAMP :

AWS GovCloud (US) s'est vu accorder une autorisation JAB P-ATO (Joint Authorization Board Provisional Authorization) pour le niveau d'impact élevé. Les services couverts sont les suivants : EC2, EBS, IAM, S3 et VPC.

AWS USA Est-Ouest, s'est vu accorder plusieurs autorisations d'agence pour le niveau d'impact modéré. Les services couverts sont les suivants : EC2, EBS, IAM, Redshift, S3 et VPC.

En réponse à la politique Cloud First, l'Office of Management and Budget (OMB) a publié le FedRAMP Policy Memo pour établir le premier programme d'autorisation de sécurité gouvernemental pour la loi FISMA. Le programme FedRAMP est obligatoire pour toutes les agences fédérales américaines et tous les services de cloud. Le programme FedRAMP est important, car il améliore :

  • la cohérence et la confiance dans la sécurité des solutions de cloud à l'aide des normes définies par le NIST et la loi FISMA,
  • la transparence entre le gouvernement américain et les fournisseurs de cloud,
  • l'automatisation et la surveillance continue pratiquement en temps réel, et
  • l'adoption de solutions de cloud sécurisées grâce à la réutilisation d'évaluations et d'autorisations.

La Cloud First Policy stipule que toutes les agences fédérales doivent utiliser le processus FedRAMP pour mener des évaluations de sécurité, accorder des autorisations et surveiller en continu les services de cloud. Le siège du programme FedRAMP a défini cinq critères de conformité pour le programme FedRAMP :

1. Le prestataire de services de cloud (CSP, cloud service provider) a reçu une autorisation d'opérer (ATO, Authorization to operate) auprès d'une agence fédérale.

2. Le CSP satisfait les exigences de contrôles de sécurité FedRAMP définis par la norme NIST 800-53, révision 4, portant sur les contrôles de sécurité de base pour les niveaux d'impact modérés.

3. Tous les packages de sécurité système doivent utiliser les templates imposés par le programme FedRAMP.

4. Le CSP a été évalué par un cabinet d'audit indépendant.

5. Le package d'évaluation de sécurité terminé a été publié dans le registre sécurisé du programme FedRAMP.

Exigences du programme FedRAMP

Les CSP peuvent obtenir la conformité FedRAMP de trois façons différentes :

1. Autorisation provisoire du conseil d'autorisation commun (JAB P-ATO)

Les CSP disposant d'une P-ATO de la FedRAMP sont contrôlés par le bureau de gestion des projets (PMO, Project Management Office) de FedRAMP, sont évalués par un organisme d'évaluation tiers (3PAO, Third-party Assessment Organization) accrédité par FedRAMP et reçoivent une P-ATO de la part des directeurs informatiques du département de la Sécurité intérieure (DHS, Department of Homeland Security), du département de la Défense (DOD, Department of Defense) et de l'Administration des services généraux (GSA, General Services Administration).

2. Autorisation FedRAMP délivrée par une agence (A-ATO)

Les CSP disposant d'une autorisation délivrée par une agence sont contrôlés par le directeur informatique d'une agence cliente ou par un ou plusieurs agents d'autorisation délégués, afin de recevoir une ATO conforme FedRAMP et vérifiée par le PMO de FedRAMP.

3. Packages fournis par le CSP

Les CSP ayant fourni un package ont envoyé au PMO de FedRAMP un package d'évaluation de sécurité rempli. Ce dernier a ensuite été évalué par un 3PAO accrédité par FedRAMP.

Conformité du cloud à FedRAMP

Oui, AWS propose les systèmes suivants, conformes au programme FedRAMP, qui ont obtenu des autorisations, réussi les contrôles de sécurité FedRAMP (d'après le document NIST SP 800-53), utilisé les templates FedRAMP requis pour les packages de sécurité publiés sur le référentiel sécurisé du programme FedRAMP, ont été évalués par une instance d'évaluation indépendante accréditée (3PAO) et respectent les exigences de surveillance continue du programme FedRAMP :

AWS GovCloud (US) s'est vu accorder une autorisation JAB P-ATO (Joint Authorization Board Provisional Authority-To-Operate) et plusieurs autorisations d'agence (A-ATO) pour le niveau d'impact élevé. Les services qui appartiennent au champ d'application AWS GovCloud (US) JAB P-ATO dans une catégorie haute sécurité sont indiqués à la page Services AWS concernés par le programme de conformité. Pour connaître la liste complète des organismes d'autorisation ayant délivré une autorisation ATO sur AWS GovCloud (US), veuillez consulter les systèmes conformes au programme FedRAMP.

AWS USA Est-Ouest, s'est vu accorder plusieurs autorisations ATO d'agence pour le niveau d'impact modéré. Les services concernés par la limite d'autorisation AWS de la région USA Est/Ouest sont indiqués à la page Services AWS concernés par le programme de conformité. Pour connaître la liste complète des organismes d'autorisation ayant délivré une autorisation ATO sur AWS USA Est-Ouest, veuillez consulter les systèmes conformes au programme FedRAMP.

Non. Aucune région ne verra ses coûts de service augmenter en raison de la conformité d'AWS avec FedRAMP.

Deux ATO d'agence FedRAMP distinctes ont été délivrées. La première couvre la région AWS GovCloud (USA), et l'autre s'applique aux régions AWS USA Est et Ouest.

Oui. A l'heure actuelle, de nombreuses agences et autres organismes du gouvernement américain chargés de l'intégration de systèmes et d'autres produits et services pour les agences officielles utilisent les nombreux services AWS.

AWS FIPS
AWS CJIS
AWS FERPA
AWS pour le Département de la Défense des États-Unis (DoD)
Les services AWS couverts qui appartiennent déjà au champ d'application des limites FedRAMP et SRG du Département de la Défense des États-Unis sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez contacter l' équipe AWS en charge des ventes et du développement commercial.

Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail avec d'autres services AWS. Contactez l'équipe AWS en charge des ventes et du développement commercial pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques.

Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail à impact élevé avec AWS. A l'heure actuelle, FedRAMP s'applique uniquement aux systèmes de cloud computing aux niveaux d'impact FISMA faible et modéré. Cependant, AWS satisfait déjà de nombreux contrôles NIST 800-53 niveau élevé, et nous avons rédigé le manuel AWS FISMA-High pour les clients désirant approfondir les bases de la norme NIST niveau modéré et concevoir des applications et services FISMA-High pour soutenir leurs charges de travail essentielles. Contactez l'équipe AWS en charge des ventes et du développement commercial pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques.

AWS fournit de nombreuses fonctionnalités de sécurité. Les clients peuvent les utiliser pour protéger leurs données conformément aux directives de sécurité fédérales et celles du département de la Défense américain. Nous améliorons sans cesse les outils de sécurité proposés aux clients, et nous publions régulièrement des améliorations pour les fonctionnalités de sécurité existantes. Pour plus d'informations et de solutions pour sécuriser vos données dans le cloud, référez-vous au guide de sécurité AWS suivant :

Les clients AWS peuvent demander l'accès aux packages de sécurité AWS FedRAMP auprès du bureau de gestion des projets (PMO, Project Management Office) de FedRAMP ou de leur gestionnaire de compte commercial AWS.

Les clients des agences gouvernementales américaines peuvent demander l'accès au package de sécurité AWS FedRAMP auprès du PMO de FedRAMP en remplissant un formulaire de demande d'accès au package et en l'envoyant à l'adresse info@fedramp.gov ou en contactant leur gestionnaire de compte commercial AWS.

Les partenaires et clients potentiels d'AWS peuvent également demander l'accès au package de sécurité FedRAMP des partenaires AWS en contactant leur gestionnaire de compte commercial AWS.

Un agent autorisé (AO) peut exploiter l'un des packages de sécurité d'autorisation AWS FedRAMP pour examiner les documents justificatifs et décider, en fonction des risques, d'accorder une autorisation d'agence ou une autorisation ATO à AWS. Les agences sont tenues de délivrer leur propre autorisation ATO sur AWS et sont également responsables de l'autorisation globale des composants de leur système qui ne pas couverts par l'autorisation A-ATO d'AWS. Pour en savoir plus sur le modèle de responsabilité partagée, veuillez contacter votre gestionnaire de compte commercial AWS.

Avec les fonctionnalités de sécurité fournies par AWS et notre écosystème de fournisseurs, vous êtes capable de contrôler et de surveiller la façon dont vous créez vos systèmes en intégrant les politiques de gestion des risques, de sécurité et de confidentialité de votre agence ou de votre entreprise.

Quand une autorisation a été accordée au sein du FedRAMP Concept of Operations (CONOPS), le statut de sécurité du CSP est surveillé conformément au processus d'évaluation et d'autorisation. Pour bénéficier à nouveau d'une autorisation FedRAMP d'une année sur l'autre, les CSP doivent surveiller leurs contrôles de sécurité, les évaluer régulièrement et démontrer que le degré de sécurité de leurs services est acceptable en continu. Les agences fédérales américaines exploitant le programme de surveillance continue FedRAMP, les agents d'autorisation (AO, Authorizing Officials) et leurs équipes sont responsables de la vérification continue de la conformité d'AWS. Les AO et leurs équipes contrôlent en continu les artefacts produits par le processus de surveillance continue FedRAMP d'AWS, ainsi que les preuves de mise en place des contrôles d'agence requis en plus des contrôles FedRAMP traditionnels. Pour plus d'informations, veuillez vous référer au programme ou politique de sécurité des systèmes d'informations de votre agence.

D'après le bureau de gestion des projets (PMO, Project Management Office) de FedRAMP, les ISA ne sont pas destinés à être conclus entre un CSP et une agence fédérale. Pour plus d'informations, consultez le site web du PMO de FedRAMP.

Pour les questions spécifiques à la conformité aux normes FedRAMP, veuillez consulter le package partenaire AWS FedRAMP sous AWS Artifact. Si vous avez des questions supplémentaires spécifiques concernant la conformité aux normes FedRAMP/DoD, veuillez contacter awscompliance@amazon.com. Pour examiner et discuter des architectures/charges de travail AWS, veuillez contacter votre représentant commercial pour plus de détails.

Ressources FedRAMP

 

Contactez-nous