FedRAMP

Présentation

FedRAMPLogoSmall

Le gouvernement fédéral des États-Unis s'engage à fournir ses services aux citoyens américains de façon innovante, sûre et économique. Le cloud computing continue de guider le gouvernement fédéral dans sa quête d'efficacité opérationnelle et d'innovation, et lui permet de mieux remplir sa mission dans le pays tout entier. C'est pourquoi de nombreuses agences fédérales utilisent aujourd'hui les services cloud d'AWS pour traiter, stocker et transmettre les données du gouvernement fédéral américain.

  • Qu'est-ce que FedRAMP ?

    Le Federal Risk and Authorization Management Program (FedRAMP) est un programme mis en place par le gouvernement américain qui fournit une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services de cloud. Les organes directeurs du programme FedRAMP comprennent le Bureau de la gestion et du budget (OMB), l'Administration américaine des services généraux (GSA), le département américain de la Sécurité intérieure (DHS), le département américain de la Défense (DoD), le National Institutes of Standards & Technology (NIST) et le Federal CIO Council.

    Les fournisseurs de services cloud qui souhaitent proposer leurs produits et services au gouvernement américain doivent démontrer leur conformité au programme FedRAMP. Le programme FedRAMP utilise la série de publications spéciales 800 du NIST et exige que les fournisseurs de services cloud fassent l'objet d'une évaluation de sécurité indépendante réalisée par un organisme d'évaluation tiers (3PAO) pour s'assurer que les autorisations sont conformes à la loi FISMA (loi sur la gestion de la sécurité des informations fédérales). Pour plus d'informations, consultez le site Web FedRAMP.

  • Pourquoi le FedRAMP est-il important ?

    En réponse à la politique Cloud First, l'Office of Management and Budget (OMB) a publié le FedRAMP Policy Memo pour établir le premier programme d'autorisation de sécurité gouvernemental pour la loi FISMA. Le programme FedRAMP est obligatoire pour toutes les agences fédérales américaines et tous les services de cloud. Le programme FedRAMP est important, car il améliore :

    • la cohérence et la confiance dans la sécurité des solutions de cloud à l'aide des normes définies par le NIST et la loi FISMA ;
    • la transparence entre le gouvernement américain et les fournisseurs de cloud ;
    • l'automatisation et la surveillance continue pratiquement en temps réel ;
    • l'adoption de solutions de cloud sécurisées grâce à la réutilisation d'évaluations et d'autorisations.
  • Quels sont les critères de conformité du programme FedRAMP ?

    La Cloud First Policy stipule que toutes les agences fédérales doivent utiliser le processus FedRAMP pour mener des évaluations de sécurité, accorder des autorisations et surveiller en continu les services de cloud. Le bureau de gestion du programme FedRAMP a exposé les exigences suivantes pour la conformité FedRAMP :

    1. Le fournisseur de services cloud a reçu une autorisation ATO (Agency Authority to Operate) par une agence fédérale américaine ou une autorisation P-ATO (Provisional Authority to Operate) par le Joint Authorization Board.
    2. Le fournisseur de services cloud respecte les exigences de contrôle de sécurité FedRAMP comme décrit dans les directives de contrôle de la sécurité NIST 800-53, 4e révision, pour les niveaux d'impact modérés à élevés.
    3. Tous les packages de sécurité système doivent utiliser les modèles imposés par le programme FedRAMP.
    4. Le fournisseur de services cloud doit être évalué par un organisme d'évaluation tiers agréé (3PAO).
    5. Le package d'évaluation de sécurité terminé doit être publié dans le registre sécurisé du programme FedRAMP.
  • Quels sont les différents types de conformité au programme FedRAMP ?

    Les fournisseurs de services cloud peuvent obtenir la conformité FedRAMP de deux façons différentes :

    1. Autorisation JAB

    Pour recevoir une autorisation provisoire P-ATO du JAB de FedRAMP, un fournisseur de services cloud est étudié par le bureau de gestion du programme FedRAMP, est évalué par un 3PAO accrédité par FedRAMP et reçoit un P-ATO du JAB. Le JAB est composé des responsables des systèmes d'informations du département de la Défense (DoD), du département de la sécurité intérieure (DHS) et de l'administration des services généraux (GSA).

    2. Autorisation d'agence

    Pour recevoir l'autorisation ATO d'agence FedRAMP, un fournisseur de services cloud est étudié par le responsable des services d'informations de l'agence cliente ou le ou les fonctionnaires d'autorisation délégués afin d'obtenir une ATO conforme à FedRAMP qui est vérifiée par le bureau de gestion du programme.

  • Amazon Web Services est-il conforme au programme FedRAMP ?

    Oui, AWS propose les systèmes suivants, conformes au programme FedRAMP, qui ont obtenu des autorisations, réussi les contrôles de sécurité FedRAMP (d'après le document NIST SP 800-53), utilisé les templates FedRAMP requis pour les packages de sécurité publiés sur le référentiel sécurisé du programme FedRAMP, ont été évalués par une instance d'évaluation indépendante accréditée (3PAO) et respectent les exigences de surveillance continue du programme FedRAMP :

    AWS GovCloud (US) s'est vu accorder une autorisation JAB P-ATO (Joint Authorization Board Provisional Authority-To-Operate) et plusieurs autorisations d'agence (A-ATO) pour le niveau d'impact élevé. Les services qui appartiennent au champ d'application AWS GovCloud (US) JAB P-ATO dans une catégorie haute sécurité sont indiqués à la page Services AWS concernés par le programme de conformité.

    AWS USA Est/Ouest s'est vu accorder une autorisation JAB P-ATO (Joint Authorization Board Provisional Authority-To-Operate) et plusieurs autorisations d'agence (A-ATO) pour le niveau d'impact modéré. Les services qui appartiennent au champ d'application de la JAB P-ATO AWS USA Est/Ouest dans une catégorie de sécurité de référence modérée sont indiqués à la page Services AWS concernés par le programme de conformité.

  • La conformité avec FedRAMP augmentera-t-elle mes coûts de services AWS ?

    Non. Aucune région ne verra ses coûts de service augmenter en raison de la conformité d'AWS avec le programme FedRAMP.

  • Quelles sont les régions AWS couvertes ?

    Deux ATO d'agence FedRAMP distinctes ont été délivrées. La première couvre la région AWS GovCloud (US), et l'autre s'applique aux régions AWS USA Est et Ouest.

  • Y a-t-il des organismes gouvernementaux américains qui utilisent AWS à l'heure actuelle ?

    Oui. À l'heure actuelle, plus de 2 000 agences et autres organismes du gouvernement chargés de l'intégration de systèmes et d'autres produits et services pour les agences officielles utilisent les nombreux services AWS. Vous pouvez consulter des études de cas concernant des entités gouvernementales américaines utilisant AWS, notamment le Département d'État des États-Unis, la Food and Drug Administration (FDA), les Centres pour le contrôle et la prévention des maladies (CDC), les équipes des Desert Research and Technology Studies du JPL et de la NASA, le JPL de la NASA et Amazon SWF, ainsi que la mission de Curiosity sur Mars du JPL et de la NASA. Pour toutes les études de cas disponibles, voir la page des témoignages de réussite AWS. Pour plus d'informations sur la façon donc AWS respecte les exigences élevées en matière de sécurité pour les gouvernements, voir la page AWS pour le gouvernement.

  • Quels sont les services couverts ?

    Les services AWS couverts qui appartiennent déjà au champ d'application des limites FedRAMP et SRG du Département de la Défense des États-Unis sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez contacter l'équipe AWS en charge des ventes et du développement commercial.

  • Est-il possible d'utiliser d'autres services AWS ?

    Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail avec d'autres services AWS. Contactez l'équipe AWS en charge des ventes et du développement commercial pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques.

  • Est-il possible d'intégrer des systèmes à niveau d'impact élevé à AWS ?

    Oui. Les clients ont la possibilité d'évaluer la compatibilité de leurs charges de travail à impact élevé avec AWS. A l'heure actuelle, FedRAMP s'applique uniquement aux systèmes de cloud computing aux niveaux d'impact FISMA faible et modéré. Cependant, AWS satisfait déjà de nombreux contrôles NIST 800-53 niveau élevé, et nous avons rédigé le manuel AWS FISMA-High pour les clients désirant approfondir les bases de la norme NIST niveau modéré et concevoir des applications et services FISMA-High pour soutenir leurs charges de travail essentielles. Contactez l'équipe AWS en charge des ventes et du développement commercial pour plus d'informations sur les contrôles de sécurité et l'acceptation des risques.

  • Où puis-je accéder aux packages de sécurité AWS FedRAMP ?

    Les clients AWS peuvent demander l'accès aux packages de sécurité AWS FedRAMP auprès du bureau de gestion des projets (PMO, Project Management Office) de FedRAMP ou de leur gestionnaire de compte commercial AWS.

    Les clients des agences gouvernementales américaines peuvent demander l'accès au package de sécurité AWS FedRAMP auprès du PMO de FedRAMP en remplissant un formulaire de demande d'accès au package et en l'envoyant à l'adresse info@fedramp.gov ou en contactant leur gestionnaire de compte commercial AWS.

    Les partenaires AWS et les clients potentiels peuvent aussi demander un accès au package de sécurité FedRAMP pour les partenaires AWS en utilisant AWS Artifact.

  • Comment une agence exploite-t-elle l'autorisation AWS FedRAMP ?

    Un agent autorisé (AO) d'agence peut exploiter l'un des packages de sécurité AWS FedRAMP pour examiner les documents connexes et décider, en fonction des risques, d'accorder une ATO (Authority to Operate) d'agence à AWS. Les agences sont tenues de délivrer leur propre autorisation ATO sur AWS et sont également responsables de l'autorisation globale des composants de leur système qui ne sont pas couverts par l'autorisation ATO d'AWS. Si vous avez des questions ou besoin de plus d'informations, veuillez contacter votre chargé de compte client AWS.

  • Comment est-ce que la surveillance continue est gérée avec les autorisations FedRAMP ?

    Quand une autorisation a été accordée au sein du FedRAMP Concept of Operations (CONOPS), le statut de sécurité du fournisseur de services cloud est surveillé conformément au processus d'évaluation et d'autorisation. Pour bénéficier à nouveau d'une autorisation FedRAMP d'une année sur l'autre, les fournisseurs de services cloud doivent surveiller leurs contrôles de sécurité, les évaluer régulièrement et démontrer que le degré de sécurité de leurs services est acceptable en continu. Les agences fédérales exploitant le programme de surveillance continue FedRAMP, les agents d'autorisation (AO) et leurs équipes désignées sont responsables de la vérification continue de la conformité d'AWS. Sur une base continue et permanente, les AO et leurs équipes désignées revoient les artéfacts fournis par le processus de surveillance continu de FedRAMP AWS, en plus de prouver l'implémentation des contrôles spécifiques à une agence nécessaires en plus des contrôles FedRAMP. Pour plus d'informations, veuillez vous référer au programme ou à la politique de sécurité des systèmes d'informations de votre agence.

  • En tant qu'agence fédérale américaine, dois-je conclure un accord de sécurité d'interconnexion (ISA) avec AWS ?

    Non. D'après le PMO de FedRAMP, les ISA ne sont pas destinés à être conclus entre un fournisseur de services cloud et une agence fédérale.

  • Et si j'ai besoin de discuter avec AWS des architectures ou des charges de travail AWS spécifiques à FedRAMP de mon organisation ?

    Le package de sécurité FedRAMP AWS est disponible pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Inscrivez-vous à AWS Artifact dans AWS Management Console ou apprenez-en plus sur la page Mise en route avec AWS Artifact.

    Si vous avez des questions supplémentaires spécifiques concernant la conformité par rapport au FedRAMP ou au DoD, veuillez contacter par e-mail awscompliance@amazon.com.

compliance-contactus-icon
Vous avez des questions ? Contactez un représentant de la conformité AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »