TL;DR

Vendre des services en nuage aux agences fédérales américaines ? Pas d'autorisation FedRAMP = pas d'accord.

Basée sur la norme NIST 800-53, mais adaptée à l'informatique dématérialisée, elle exige des audits de 3PAO, des contrôles stricts et une surveillance continue.

Cela prend de 12 à 18 mois (ou plus), mais permet de débloquer l'ensemble du marché public américain. Cela en vaut la peine si vous voulez jouer dans la cour des grands.

Résumé du tableau de bord FedRAMP :

• Effort du développeur : Élevé (nécessite la mise en place et l'exploitation de services conformément aux contrôles rigoureux de la norme NIST 800-53, une documentation complète (SSP), des évaluations 3PAO rigoureuses et une surveillance continue).
• Coût de l'outillage : Très élevé (nécessite un investissement important dans des outils de sécurité conformes à la norme NIST 800-53, dans la journalisation et le contrôle, dans des environnements FedRAMP potentiellement distincts, ainsi que dans des frais d'évaluation 3PAO coûteux).
• Impact sur le marché : Critique (exigence obligatoire pour les FSC qui vendent des services d'informatique dématérialisée aux agences fédérales américaines).
• Flexibilité : Faible (prescrit des lignes de base NIST 800-53 spécifiques (faible, modéré, élevé), exige l'adhésion aux processus et modèles FedRAMP PMO).
• Intensité de l'audit : Très élevée (nécessite une évaluation initiale et l'autorisation d'un 3PAO et d'une agence de parrainage ou d'un JAB, ainsi qu'un contrôle continu exigeant et des réévaluations annuelles).

Qu'est-ce que FedRAMP ?

Le Federal Risk and Authorization Management Program (FedRAMP ) est un programme du gouvernement américain établi en 2011 pour fournir une approche standardisée et basée sur le risque pour l'évaluation de la sécurité, l'autorisation et la surveillance continue des offres de services en nuage (CSO) utilisées par les agences fédérales. Son principe de base est "faire une fois, utiliser plusieurs fois" - un fournisseur de services en nuage (CSP) subit le processus FedRAMP une fois, puis potentiellement plusieurs agences fédérales peuvent réutiliser ce paquet d'autorisation de sécurité pour accorder leur propre autorisation d'exploitation (ATO).

Composants clés :

• Bases de sécurité standardisées : FedRAMP base ses exigences de sécurité sur le NIST SP 800-53. Il définit des lignes de base de contrôle spécifiques pour les niveaux d'impact faible, modéré et élevé (sur la base de la catégorisation FIPS 199), en spécifiant les contrôles 800-53 et les améliorations nécessaires pour chacun d'entre eux.
• Chemins d'autorisation : Il existe deux voies principales pour obtenir un FedRAMP Autorisation :
  
  1. Autorisation de l'agence : Une agence fédérale spécifique travaille directement avec un CSP, examine son paquet de sécurité, accepte le risque et accorde une ATO pour l'utilisation de son agence. Il s'agit de la voie la plus courante.
  2. Autorisation provisoire (P-ATO) de la commission d'autorisation conjointe (JAB) : Le JAB (composé des DSI du DoD, du DHS et de la GSA) sélectionne un petit nombre d'OSC qui font l'objet d'un examen rigoureux et centralisé, aboutissant à une P-ATO que les agences peuvent exploiter. Il s'agit d'une procédure très recherchée mais plus difficile à obtenir.
• Organismes d'évaluation tiers (3PAO) : Les organismes indépendants accrédités (3PAO) effectuent l'évaluation initiale de la sécurité de l'OSC par rapport aux exigences du FedRAMP et procèdent à des évaluations annuelles continues.
• Contrôle continu : Les OSC autorisés doivent surveiller en permanence leur dispositif de sécurité, signaler les résultats (vulnérabilités, incidents) et faire l'objet d'une évaluation annuelle par un 3PAO.
• Place de marché FedRAMP : Une liste publique des OSC qui ont obtenu une désignation FedRAMP ("Prêt", "En cours" ou "Autorisé").

FedRAMP joue essentiellement le rôle de gardien en veillant à ce que les services en nuage respectent les normes de sécurité fédérales avant de traiter des données gouvernementales.

Pourquoi est-ce important ?

Pour les fournisseurs de services en nuage (CSP), l'autorisation FedRAMP est cruciale :

• Accès au marché fédéral : Il est obligatoire pour tout OSC qui traite ou stocke des données du gouvernement fédéral américain. Sans un ATO FedRAMP, les agences fédérales ne peuvent généralement pas utiliser votre service en nuage.
• Une crédibilité et une confiance accrues : L'obtention de l'autorisation FedRAMP indique un niveau très élevé d'assurance de la sécurité, ce qui renforce la confiance non seulement avec les agences fédérales, mais aussi avec les gouvernements étatiques/locaux et les entreprises commerciales (en particulier celles des secteurs réglementés).
• Approche normalisée : Bien que complexe, elle fournit un ensemble unique d'exigences reconnues par l'ensemble du gouvernement fédéral, ce qui permet d'éviter des demandes de sécurité potentiellement différentes de la part de chaque agence.
• Avantage concurrentiel : l'autorisation FedRAMP donne aux CSP un avantage significatif sur les concurrents non autorisés lorsqu'ils cherchent à obtenir des contrats fédéraux.
• Amélioration de la sécurité : Le processus rigoureux oblige les CSP à mettre en œuvre des contrôles de sécurité solides basés sur la norme NIST 800-53, ce qui améliore considérablement leur sécurité globale.

En clair, si un CSP veut travailler avec le gouvernement fédéral américain, FedRAMP est indispensable.

Quoi et comment mettre en œuvre (technique et politique)

L'obtention de l'autorisation FedRAMP est un processus en plusieurs phases qui nécessite un investissement important et le respect des contrôles NIST 800-53 :

1. Préparation et partenariat :
   
   • Déterminer le niveau d'impact : Classer l'OSC dans les catégories "impact faible", "impact modéré" ou "impact élevé" selon la norme FIPS 199, en fonction du type de données qu'il traitera. Cela dicte la base de contrôle NIST 800-53 requise.
   • Trouver un sponsor de l'agence (pour l'ATO de l'agence) : Identifier une agence fédérale prête à s'associer et à parrainer l'OSC tout au long du processus d'autorisation. C'est souvent l'obstacle le plus important. (La voie JAB a son propre processus de sélection).
   • Engager un 3PAO et des conseillers : Sélectionnez un 3PAO accrédité pour l'évaluation et potentiellement des conseillers pour guider la préparation.
2. Documentation et évaluation de l'état de préparation :
   
   • Élaborer un plan de sécurité du système (SSP) : Créer un plan de sécurité du système détaillé décrivant les limites du système, l'architecture, les flux de données et la manière dont chaque contrôle NIST 800-53 requis à partir de la ligne de base pertinente est mis en œuvre. Il s'agit d'une entreprise de grande envergure.
   • Élaborer des documents d'appui : Politiques, procédures, plan de réponse aux incidents, plan de gestion de la configuration, plan d'urgence, etc.
   • (Facultatif mais recommandé) Évaluation de l'état de préparation : Demandez à un 3PAO de réaliser un rapport d'évaluation de l'état de préparation (RAR) afin d'évaluer l'état de préparation avant l'évaluation complète.
3. Évaluation complète de la sécurité (par 3PAO) :
   
   • Élaborer un plan d'évaluation de la sécurité (SAP) : Le 3PAO élabore un plan détaillant la manière dont il testera chaque contrôle.
   • Réalisation de l'évaluation : Le 3PAO effectue des tests rigoureux (entretiens, examen de la documentation, validation technique) de tous les contrôles applicables décrits dans la PSS.
   • Élaborer un rapport d'évaluation de la sécurité (SAR) : Le 3PAO documente les résultats, y compris les vulnérabilités et les lacunes en matière de contrôle.
4. Assainissement et POA&M :
   
   • Élaborer un plan d'action et des jalons (POA&M) : Créer un plan détaillé décrivant comment et quand les déficiences identifiées seront corrigées.
   • Remédier aux problèmes : Corriger les vulnérabilités et les lacunes de contrôle identifiées.
5. Autorisation :
   
   • Soumettre le dossier : Soumettre le dossier final (SSP, SAR, POA&M, etc.) à l'agence de parrainage (pour les ATO d'agence) ou à la JAB (pour les P-ATO).
   • Examen par l'agence/l'organisme d'accréditation : L'organisme d'autorisation examine le dossier et prend une décision fondée sur les risques.
   • Octroi de l'ATO / P-ATO : si le risque est acceptable, une autorisation d'exploitation (ATO ou P-ATO) est accordée, généralement pour trois ans, sous réserve d'une surveillance continue.
6. Contrôle continu :
   
   • Analyses permanentes : Effectuer des analyses mensuelles des vulnérabilités des systèmes d'exploitation, des bases de données et des applications web.
   • Gestion des POA&M : Gérer en permanence les éléments du POA&M et y remédier.
   • Rapport d'incident : Signaler les incidents de sécurité conformément aux lignes directrices de l'US-CERT.
   • Évaluation annuelle : Faire l'objet d'une évaluation annuelle par un 3PAO portant sur un sous-ensemble de contrôles.
   • Demandes de modifications importantes : Soumettre des demandes d'approbation avant d'apporter des modifications majeures au système autorisé.

FedRAMP exige une mise en œuvre approfondie des contrôles NIST 800-53, une documentation complète et des pratiques de sécurité rigoureuses et permanentes.

Les erreurs courantes à éviter

Le chemin vers l'autorisation FedRAMP est semé d'embûches potentielles :

1. Sous-estimation des coûts et des efforts : Ne pas saisir l'importance de l'investissement financier (frais de 3PAO, outillage, personnel) et du temps (12-18+ mois) nécessaires.
2. Manque d'engagement de la part de la direction : Traiter FedRAMP comme une tâche relevant uniquement de l'informatique et de la conformité, sans un soutien et une allocation de ressources soutenus de la part des équipes chargées de l'ingénierie, des produits, de la sécurité et de la GRC.
3. Absence de sponsor de l'agence (pour la voie de l'agence) : Commencer le travail technique sans avoir obtenu de sponsor d'une agence fédérale prête à accorder une ATO.
4. PSS incomplet/inexact : soumission d'un plan de sécurité du système qui ne reflète pas correctement les limites du système ou qui ne décrit pas correctement la manière dont tous les contrôles requis sont mis en œuvre. Il s'agit d'une des principales causes de retard ou de rejet.
5. Mauvaise sélection/gestion des 3PAO : Choix d'un 3PAO inexpérimenté ou mauvaise gestion du processus d'évaluation.
6. Ignorer les exigences en matière de contrôle continu : Obtenir l'autorisation, mais ne pas mettre en œuvre les processus de surveillance continue nécessaires pour la conserver.
7. Supposer qu'un environnement commercial suffit : Essayer d'obtenir l'autorisation d'une offre commerciale d'informatique en nuage sans modifications significatives ou éventuellement construire un environnement distinct et renforcé pour répondre aux exigences fédérales strictes (par exemple, validation cryptographique FIPS 140).
8. Ne pas comprendre le partage des responsabilités : Pour les fournisseurs de PaaS/SaaS qui s'appuient sur un IaaS autorisé, ne pas comprendre et documenter quels contrôles sont hérités par rapport à ceux qu'ils sont chargés de mettre en œuvre.

Ce que les auditeurs/3PAOs demanderont (Developer Focus)

Les évaluations FedRAMP effectuées par les 3PAO approfondissent les contrôles NIST 800-53. Il peut être demandé aux développeurs de démontrer leur conformité en ce qui concerne :

• (Famille SA - Acquisition de systèmes) "Comment intégrez-vous la sécurité dans votre SDLC ? Présentez la documentation et les preuves de la formation des développeurs à la sécurité (SA-3), des tests de sécurité tels que SAST/DAST (SA-11), et de la gestion des risques de la chaîne d'approvisionnement pour les composants logiciels (SA-12)".
• (Famille CM - Gestion de la configuration) "Démontrez votre processus de contrôle des changements pour les versions de logiciels (CM-3). Comment les configurations de base sécurisées des applications sont-elles maintenues (CM-2, CM-6) ?"
• (Famille SI - Intégrité du système) "Comment l'application est-elle protégée contre les failles courantes (SI-15) ? Comment les codes malveillants sont-ils détectés/prévenus (SI-3) ? Comment le traitement des sorties d'information est-il géré (SI-11) ?"
• (Famille AC - Contrôle d'accès) "Montrer comment le moindre privilège (AC-6) et la séparation des tâches (AC-5) sont mis en œuvre pour les développeurs accédant à différents environnements ou données".
• (Famille AU - Audit & Accountability) "Fournir la preuve que les événements au niveau de l'application pertinents pour la sécurité sont enregistrés (AU-2) et que les journaux sont protégés (AU-9)".
• (Famille SC - Protection des systèmes et des communications) "Comment les données sont-elles chiffrées en transit (SC-8) et au repos (SC-28) au sein de la pile d'applications ? Des modules validés FIPS 140 sont-ils utilisés (SC-13) ?"

Les 3PAO exigent des preuves vérifiables : documentation (SSP, politiques, procédures), paramètres de configuration, journaux, résultats d'analyse, dossiers de formation et, souvent, démonstrations en direct.

Des gains rapides pour les équipes de développement

Bien que le FedRAMP complet nécessite des efforts considérables, les équipes de développement qui s'alignent sur le NIST 800-53 (la base du FedRAMP) peuvent commencer par.. :

1. Adopter des pratiques sécurisées dans le cadre du cycle de développement durable (SDLC) : Intégrer les exigences de sécurité, la modélisation des menaces, les normes de codage sécurisées et les tests robustes (SAST, DAST, SCA) dans le cycle de développement (aligné sur la famille SA).
2. Mettre en œuvre une authentification forte : Utiliser l'AMF pour l'accès des développeurs aux dépôts de code, au CI/CD et aux environnements en nuage (aligné sur la famille IA).
3. Améliorer la journalisation : Veiller à ce que les applications génèrent des journaux d'audit détaillés et pertinents pour la sécurité (conformément à la famille AU).
4. Gestion des secrets : Éliminer les secrets codés en dur ; utiliser des coffres-forts approuvés (en accord avec les familles AC et SI).
5. Gestion des dépendances (SBOM/SCA) : Gérer activement les vulnérabilités dans les bibliothèques de tiers (aligné sur les familles SI, RA, SA).
6. Infrastructure immuable et IaC : utiliser l'infrastructure en tant que code avec des analyses de sécurité pour gérer les environnements de manière cohérente et sûre (aligné sur la famille CM).
7. Utiliser des modules cryptographiques validés par la norme FIPS 140 : Veiller à ce que les modules cryptographiques utilisés pour le chiffrement soient conformes aux normes FIPS 140, le cas échéant (conformément à la famille SC).

Ignorez ceci et... (Conséquences de la non-conformité)

Pour les fournisseurs de services cloud ciblant le marché fédéral américain, ne pas obtenir ou maintenir l'autorisation FedRAMP signifie :

• Pas d'accès au marché fédéral : Les agences fédérales n'ont généralement pas le droit d'utiliser des services en nuage qui n'ont pas d'ATO FedRAMP. La non-conformité bloque complètement l'accès à ce segment de marché lucratif.
• Perte de clients fédéraux existants : Si un ATO existant est révoqué en raison de l'échec du contrôle continu ou des évaluations annuelles, les agences fédérales qui utilisent le service peuvent être forcées de migrer.
• Investissements significatifs gaspillés : Le temps et l'argent consacrés à l'obtention de l'autorisation FedRAMP sont perdus si l'ATO n'est pas atteint ou maintenu.
• Désavantage concurrentiel : Les concurrents disposant d'une autorisation FedRAMP s'empareront de la part de marché fédérale.
• Atteinte à la réputation : L'échec du processus FedRAMP peut avoir un impact négatif sur la réputation d'un CSP, ce qui peut également affecter les ventes commerciales.

En fait, FedRAMP est le ticket d'entrée obligatoire pour les CSP dans l'espace fédéral américain.

FAQ

Qui a besoin d'une autorisation FedRAMP ?

Tout fournisseur de services en nuage (CSP) proposant une offre de services en nuage (CSO) - qu'il s'agisse de IaaS, PaaS ou SaaS - qui traite ou stocke des données du gouvernement fédéral américain doit obtenir l'autorisation FedRAMP avant que les agences fédérales ne puissent l'utiliser.

Quels sont les niveaux d'impact de FedRAMP (faible, modéré, élevé) ?

Ces niveaux classent les exigences de sécurité en fonction de l'impact potentiel (faible, modéré ou élevé) d'une perte de confidentialité, d'intégrité ou de disponibilité des données gérées par le service en nuage, conformément à la norme FIPS 199. Les niveaux d'impact plus élevés nécessitent beaucoup plus de contrôles NIST 800-53. Modéré est le niveau de référence le plus courant.

Quelle est la différence entre l'Agence ATO et la JAB P-ATO ?

• Agence ATO (autorisation d'exploitation) : Accordé par une agence fédérale spécifique pour son propre usage d'un CSO. L'agence accepte le risque sur la base du paquet de sécurité FedRAMP. Il s'agit de la voie la plus courante.
• JAB P-ATO (Provisional Authority to Operate) : Accordée par le Joint Authorization Board (DoD, DHS, GSA) après un examen rigoureux. Elle signifie que l'agence est prête à l'examiner, mais ne garantit pas une ATO pour l'agence. Les agences peuvent s'appuyer sur le paquet P-ATO pour accorder leurs propres ATO plus rapidement.

Qu'est-ce qu'un 3PAO ?

Un organisme tiers d'évaluation FedRAMP (3PAO) est un organisme indépendant et accrédité, qualifié pour effectuer les évaluations de sécurité requises par le programme FedRAMP. Les CSP doivent engager un 3PAO pour l'évaluation initiale et les évaluations annuelles de contrôle continu.

Combien de temps dure l'autorisation FedRAMP ?

Le processus est long et prend généralement de 12 à 18 mois ou plus entre la préparation et l'obtention de l'ATO, en fonction de la complexité de l'OSC, de son niveau d'impact, de son état de préparation et de la voie d'autorisation choisie.

Combien coûte FedRAMP ?

Les coûts sont importants et varient considérablement, mais ils peuvent facilement atteindre des centaines de milliers, voire des millions de dollars, y compris les coûts des services de conseil, des évaluations 3PAO (initiales et annuelles), du renforcement ou de la reconstruction de l'environnement, de l'amélioration de l'outillage et du temps de travail du personnel interne.

L'autorisation FedRAMP est-elle permanente ?

Non. Une ATO/P-ATO est généralement accordée pour trois ans, mais elle est subordonnée à la réussite d'un contrôle continu et d'évaluations annuelles menées par un 3PAO. Le non-respect du dispositif de sécurité peut entraîner la suspension ou la révocation de l'autorisation.