Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > FedRAMP CR26 vient d’être publié en aperçu public — Ce que cela signifie réellement pour votre autorisation

FedRAMP CR26 vient d’être publié en aperçu public — Ce que cela signifie réellement pour votre autorisation

par Danielle Barbour updated juin 5, 2026 Conformité réglementaire
temps de lecture: 6 minutes

FedRAMP a évolué le 4 mai 2026. Le programme a lancé CR26, Consolidated Rules 2026, en préversion publique, avec une publication finale prévue pour fin juin. Si votre organisation détient une autorisation FedRAMP, en poursuit une, ou vend à des agences fédérales qui l’exigent, CR26 n’est pas une simple mise à jour à survoler. Il redéfinit la façon dont les exigences FedRAMP sont formulées, évaluées et suivies.

Le changement le plus profond est d’ordre épistémologique. FedRAMP a toujours été basé sur des exigences, mais celles-ci étaient consignées dans des documents — fichiers Word, PDF, tableurs — que les humains lisaient et interprétaient différemment. Les évaluateurs et les fournisseurs de services cloud divergeaient sur la signification de ces documents, générant des incohérences dans les évaluations et allongeant les délais d’autorisation. CR26 publie le catalogue des exigences sous forme de données structurées sur GitHub. Chaque exigence devient un enregistrement distinct, versionné et lisible par machine. Au lieu qu’un évaluateur lise un récit de plan de sécurité système et prenne une décision subjective, un système peut désormais vérifier si une implémentation répond à une exigence déclarée. La formulation MUST/MUST NOT supprime toute ambiguïté d’interprétation à la source.

L’impact sur la documentation SSP est concret. Les SSP rédigés selon l’ancien cadre narratif devront être cartographiés vers la nouvelle structure de classes. Il vaut mieux effectuer ce travail dès maintenant, tant que la préversion publique est ouverte aux commentaires, afin que les organisations puissent identifier les écarts avant la publication de la version finale.

5 points clés à retenir

1. Les directives narratives laissent place à des règles lisibles par machine.

CR26 remplace la documentation de conformité rédigée en prose par des déclarations MUST/MUST NOT publiées sous forme de données structurées sur GitHub — rapprochant FedRAMP d’une application de la conformité par programmation. Chaque exigence devient un enregistrement versionné et interrogeable, et non plus un extrait de document. Les évaluateurs et fournisseurs cloud ne peuvent plus diverger sur la signification des exigences ; celles-ci s’expriment désormais dans un langage que l’automatisation peut valider. L’approche d’autorisation FedRAMP de Kiteworks est conçue pour s’aligner sur ce changement.

2. Les niveaux d’impact deviennent les classes de certification A à D.

Low/Moderate/High est remplacé par un système de classes identifiées par des lettres. La structure est cumulative — chaque classe inclut tous les contrôles de la classe précédente, auxquels s’ajoutent des exigences supplémentaires. La classe C est le niveau opérationnel pour la plupart des déploiements cloud fédéraux et correspond à l’ancienne désignation Moderate. La classe D couvre l’ancien niveau High. Pour les organisations disposant d’une autorisation FedRAMP Moderate, la tâche principale consiste à cartographier la documentation actuelle vers la structure de la classe C.

3. FedRAMP Ready prend fin le 28 juillet.

La désignation devient Legacy FedRAMP Ready à cette date. Son poids commercial diminuera à mesure que les équipes d’achats fédérales adopteront le nouveau cadre. Les organisations utilisant FedRAMP Ready comme argument commercial sans viser l’autorisation complète doivent considérer le 28 juillet comme une date butoir — l’autorisation complète selon la structure de classes CR26 deviendra la norme attendue.

4. Une fenêtre de stabilité de trente mois s’ouvre jusqu’au 31 décembre 2028.

Les règles CR26 s’appliquent pendant trente mois — offrant aux fournisseurs cloud une visibilité de planification rarement aussi claire pour leur stratégie d’autorisation. Cela modifie le calcul du retour sur investissement : auparavant, le maintien de l’autorisation était compliqué par des exigences évoluant avant que l’investissement ne soit rentabilisé. Un horizon stable défini simplifie ce calcul et facilite la planification pluriannuelle des achats.

5. Ne réécrivez pas les packages d’autorisation sur la base de la préversion.

La version finale sera publiée fin juin. La période de commentaires se termine également à ce moment-là — les organisations souhaitant influencer la version finale doivent déposer leurs remarques sur GitHub avant la clôture. Commencez à cartographier la documentation SSP actuelle vers la nouvelle structure de classes dès maintenant, mais attendez la version finale avant de modifier en profondeur les packages en cours.

Quelles normes de conformité des données sont importantes ?

Pour en savoir plus :

Comment fonctionne la nouvelle structure de classes de certification

Remplacer Low/Moderate/High par les classes A à D va bien au-delà d’un simple changement de nom. La structure de classes est cumulative — chaque classe successive inclut toutes les exigences de la précédente, auxquelles s’ajoutent des contrôles supplémentaires. Cela rend la frontière entre les classes plus claire et plus facile à expliquer.

Pour la majorité des prestataires fédéraux et fournisseurs cloud, la classe C est le niveau d’autorisation pertinent. Elle correspond à l’ancien niveau Moderate — celui requis pour les systèmes traitant des CUI et la plupart des charges de travail des agences civiles. Kiteworks détient l’autorisation FedRAMP, et la structure de la classe C correspond directement aux fonctions prises en charge par la plateforme : la messagerie électronique, le partage et le transfert de fichiers, ainsi que la collaboration conforme entre agences.

La classe D couvre l’ancienne désignation High — systèmes traitant les données non classifiées les plus sensibles, notamment pour les forces de l’ordre, les services d’urgence et les informations financières. À ce niveau, le catalogue d’exigences lisible par machine prend encore plus d’importance, car la densité des contrôles est plus élevée et les incohérences d’interprétation coûtent plus cher.

Il y a aussi un avantage pratique en matière de communication. « Nous sommes autorisés Classe C » est une affirmation plus claire que « nous avons une autorisation FedRAMP Moderate to Operate ». Lorsque les exigences sont lisibles par machine et accessibles publiquement sur GitHub, un acheteur peut vérifier ce qu’implique la classe C sans demander de présentation détaillée.

Que signifie la fin de FedRAMP Ready ?

FedRAMP Ready a servi de désignation préliminaire — un signal qu’un fournisseur cloud a été audité par un 3PAO et est considéré comme prêt à demander l’autorisation complète. Ce statut avait une valeur commerciale sur le marché fédéral car il démontrait une certaine rigueur sans autorisation complète.

Cette désignation prend fin le 28 juillet 2026. Les détenteurs actuels la conservent sous l’appellation Legacy FedRAMP Ready, mais son poids concurrentiel va diminuer à mesure que la communauté des achats fédéraux adopte le nouveau cadre. Les organisations ayant utilisé FedRAMP Ready comme argument commercial sans viser l’autorisation complète doivent considérer le 28 juillet comme une date butoir.

Le conseil du Field CISO Mario Lunato de Knox Systems est clair : attendez la version finale, prévue pour fin juin, avant d’apporter des modifications substantielles aux packages en cours. Le travail de cartographie — aligner le langage et les contrôles SSP existants sur la nouvelle structure de classes — est la bonne démarche à entreprendre dès maintenant.

La fenêtre de stabilité de trente mois et comment l’exploiter

L’engagement de stabilité des règles jusqu’au 31 décembre 2028 est peut-être l’aspect le plus stratégique de CR26. FedRAMP a historiquement généré de l’incertitude dans la planification, car les exigences évoluaient et les délais d’autorisation s’allongeaient. Un horizon stable de trente mois change la donne pour les fournisseurs cloud et leurs clients fédéraux.

Pour les clients Kiteworks du secteur public, cette fenêtre facilite la planification pluriannuelle des achats. Un CIO d’agence peut choisir une plateforme en étant assuré que la base d’autorisation ne changera pas de manière significative avant fin 2028. Un prestataire de défense poursuivant la conformité CMMC 2.0 en parallèle de l’autorisation FedRAMP peut aligner les deux feuilles de route sur des exigences stables.

NIST 800-171 et les exigences FedRAMP Classe C se recoupent largement pour les organisations traitant des CUI. Le catalogue CR26 lisible par machine facilitera la cartographie des contrôles entre cadres et l’identification des cas où une seule implémentation répond à plusieurs exigences. C’est la direction que Kiteworks soutient avec son approche Réseau de données privé : une plateforme, un ensemble de contrôles appliqués, conformité prouvée sur plusieurs cadres.

Comment Kiteworks accompagne la transition CR26

Kiteworks détient l’autorisation FedRAMP, et la transition CR26 correspond à la façon dont la plateforme est conçue : conformité appliquée par programmation plutôt que documentée sous forme narrative et revue périodiquement. Le moteur de politiques de données de Kiteworks applique les contrôles de gouvernance du contenu au niveau système — en gérant qui peut accéder à quelles données, via quels canaux de communication, et sous quelles conditions. Les règles sont définies, appliquées automatiquement et consignées pour audit. À mesure que FedRAMP évolue vers des exigences MUST/MUST NOT vérifiables par machine, l’alignement entre la façon dont Kiteworks applique les contrôles et la façon dont CR26 exprime les exigences est direct.

Les journaux d’audit enregistrent chaque accès, transfert et partage de fichier. Ce niveau de visibilité est requis par la documentation de conformité Classe C, et c’est ce dont les clients des agences ont besoin pour maintenir leur propre posture d’autorisation. Le serveur SFTP, la MFT et tous les autres canaux d’échange produisent la même traçabilité unifiée avec chiffrement validé FIPS 140-3.

La période de commentaires sur CR26 se termine fin juin. Les organisations disposant d’autorisations FedRAMP — ou en cours de démarche — doivent dès maintenant cartographier leur documentation SSP vers la nouvelle structure de classes, déposer des commentaires substantiels sur GitHub si certaines exigences impactent leur architecture de contrôle, et planifier la publication de la version finale avant de réécrire leurs packages d’autorisation.

Pour en savoir plus sur l’autorisation FedRAMP et la protection de vos données les plus sensibles, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

FedRAMP CR26 (Consolidated Rules 2026) a été lancé en préversion publique le 4 mai 2026, remplaçant les directives narratives de conformité par des exigences déclaratives MUST/MUST NOT publiées sous forme de données structurées sur GitHub. La version finale est prévue pour fin juin 2026. Les règles s’appliquent jusqu’au 31 décembre 2028 — soit une fenêtre de planification stable de trente mois. Ne réécrivez pas vos packages d’autorisation sur la base de la préversion avant la publication de la version finale. La plateforme de conformité FedRAMP de Kiteworks est conçue pour s’aligner sur ces exigences en évolution.

La classe C est l’équivalent fonctionnel de l’ancienne désignation Moderate, couvrant la majorité des déploiements cloud fédéraux, y compris les systèmes traitant des CUI. La classe D correspond à l’ancien niveau High. La structure de classes est cumulative — chaque classe inclut tous les contrôles de la précédente. Pour les organisations disposant déjà d’une autorisation FedRAMP Moderate, la tâche principale consiste à cartographier la documentation actuelle vers la structure de la classe C avant la clôture de la période de commentaires.

La désignation FedRAMP Ready prend fin le 28 juillet 2026 et devient Legacy FedRAMP Ready. Son poids commercial diminuera à mesure que les équipes d’achats fédérales adopteront le nouveau cadre. Les organisations qui l’utilisent comme argument commercial doivent dès maintenant planifier l’obtention de l’autorisation complète selon la structure de classes CR26. Comprendre FedRAMP pour le secteur privé peut aider les organisations non gouvernementales à saisir l’importance d’une autorisation complète au-delà des contrats fédéraux.

Chaque exigence devient un enregistrement GitHub versionné et interrogeable, et non plus un extrait de document — les équipes de conformité peuvent créer des pipelines de validation sur des exigences précises au lieu d’interpréter de la prose. Le langage SSP doit être cartographié vers la nouvelle structure de classes avec des contrôles alignés sur les déclarations MUST/MUST NOT. Les plateformes appliquant les contrôles par programmation peuvent générer automatiquement ces preuves. Les journaux d’audit sont le principal moyen de démontrer que les contrôles déclarés fonctionnent comme requis.

Cartographiez la documentation SSP actuelle vers la nouvelle structure de classes pour identifier les écarts ; déposez des commentaires substantiels sur GitHub si certaines exigences créent des conflits avec l’architecture de contrôle actuelle ; et évitez de réécrire les packages d’autorisation sur la base de la préversion. Les organisations visant la conformité CMMC en parallèle de l’autorisation FedRAMP doivent examiner comment les deux feuilles de route s’alignent dans le nouveau cadre — NIST 800-171 et les exigences de la classe C se recoupent largement.

Ressources complémentaires

  • Article de blog Comment protéger les données d’essais cliniques dans la recherche internationale
  • Article de blog Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction compte
  • Article de blog Protection des données Zero Trust : stratégies de mise en œuvre pour plus de sécurité
  • Article de blog Protection des données dès la conception : comment intégrer les contrôles RGPD à votre programme MFT
  • Article de blog Comment prévenir les fuites de données avec le partage sécurisé de fichiers à l’international

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks