FedRAMP (Federal Risk and Authorization Management Program) est une certification des services Cloud imposée par le gouvernement américain à ses agences publiques. L’approche poussée par les américains est le « do once, uses many times » en maintenant à jour une liste des fournisseurs qui détiennent déjà l’autorisation FedRamp. Il s’agit d’un exemple de conformité nationale, qu’on trouve en France par exemple pour les hébergeurs de données de santé ou le SecNumCloud de l’ANSSI ou encore en Allemagne avec le catalogue C5.

Le processus d’autorisation

L’autorisation FedRAMP est pilotée par chaque agence suivant 3 étapes :

• Avant l’autorisation. L’agence publique définit ses besoins et ses exigences par rapport au service de Cloud recherché. Si l’agence estime qu’un fournisseur déjà autorisé correspond à ses besoins, elle peut demander à accéder à des informations détaillées (*) sur son niveau de sécurité. Dans le cas contraire, l’agence peut engager avec le fournisseur non certifié une demande d’autorisation. Un fournisseur peut également initier de lui-même une démarche de demande d’autorisation FedRAMP.
• Pendant l’autorisation. Pour obtenir une autorisation d’exploitation avec un fournisseur Cloud déjà certifié FedRAMP, l’agence doit conduire une analyse des risques en intégrant les informations fournies sur le niveau de sécurité du fournisseur certifié et déterminer si le risque est acceptable dans son contexte.
• Après l’autorisation. Un mécanisme de supervision continue du niveau de sécurité du fournisseur doit être mis en place par chaque agence publique avec son ou ses fournisseur(s) FedRAMP. Une autorisation peut être révoquée par une agence et cette révocation sera répercutée à toutes les agences utilisant le service. La supervision comprend un audit annuel, des scans mensuels de vulnérabilités, un suivi des changements et un processus de réponse aux incidents de sécurité en lien avec le CERT US.

(*) La politique de sécurité et ses conditions de mise en œuvre, le rapport de l’auditeur indépendant détaillant le périmètre de l’audit, les constats et les recommandations, le plan de remédiation du fournisseur Cloud.

Le référentiel

La certification est basée sur le SAF (Security Assessment Framework) développé en collaboration par le NIST en particulier le cadre RMF pour les risques, le DoD (Department of Defence), le DHS (Department of Homeland of Security) et le GSA (General Services Administration). Ce référentiel est abordé dans les programmes des certifications cyber : CISSP, en particulier dans le domaine 2 du CBK (Common Body Knowledge) et naturellement sur la sécurité du Cloud, CCSP et CCSK.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :