Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les allégations d’équivalence FedRAMP ne résistent pas à l’examen du BOD 26-04. Seule une véritable autorisation le permet.

Les allégations d’équivalence FedRAMP ne résistent pas à l’examen du BOD 26-04. Seule une véritable autorisation le permet.

par Paul Sechser updated juin 23, 2026 Conformité CMMC
temps de lecture: 15 minutes

Les agences du Federal Civilian Executive Branch (FCEB) qui évaluent les fournisseurs de services cloud font face à un marché désormais scindé en deux catégories : les fournisseurs disposant d’une véritable autorisation FedRAMP – une certification rigoureuse, évaluée de manière indépendante et surveillée en continu, délivrée par le programme officiel FedRAMP – et ceux qui revendiquent une « équivalence FedRAMP », une auto-attestation sans aucune reconnaissance officielle dans le FedRAMP Marketplace ni vérification indépendante. Jusqu’à récemment, l’écart entre ces deux catégories relevait d’une subtilité de conformité. La directive opérationnelle contraignante 26-04 de la CISA en fait désormais un risque opérationnel.

BOD 26-04 s’applique exclusivement aux agences FCEB. Elle impose des délais précis pour le déploiement de correctifs concernant les vulnérabilités exploitées connues et renforce les exigences d’autorisation continue pour les services cloud utilisés par ces agences. Pour les équipes sécurité et achats des agences FCEB, cette directive crée une pression à laquelle seuls les fournisseurs disposant d’une autorisation FedRAMP peuvent répondre – car la surveillance continue, la documentation de la rapidité de déploiement des correctifs et les cadences de réponse aux incidents font partie intégrante de l’autorisation FedRAMP. Les fournisseurs revendiquant une équivalence n’ont pris aucun engagement auprès d’une autorité indépendante. Lorsqu’une agence FCEB demande à un fournisseur cloud de prouver sa conformité à BOD 26-04, « équivalent » n’est pas une réponse satisfaisante.

Il ne s’agit pas d’une abstraction liée aux achats, mais d’une réalité du marché. De nombreux fournisseurs de services cloud actifs sur le marché fédéral ont choisi de ne pas poursuivre l’autorisation FedRAMP en raison de l’investissement requis – organismes d’évaluation tiers, obligations de surveillance continue, documentation de la réponse aux incidents, tests d’intrusion annuels. À la place, ils s’adressent aux clients fédéraux avec des formulations telles que « équivalent FedRAMP », « prêt pour FedRAMP » ou « conforme aux standards FedRAMP ». Aucune de ces affirmations ne correspond à ce que délivre réellement le programme FedRAMP : une Autorisation d’Exploitation (ATO) ou une Autorisation Provisoire d’Exploitation (P-ATO) par un responsable fédéral. BOD 26-04 renforce les conséquences pratiques de cette distinction pour les agences FCEB qui s’appuyaient sur des revendications d’équivalence.

Pour les sous-traitants DIB opérant sous CMMC, BOD 26-04 relève d’une autorité distincte et n’ajoute aucune exigence de conformité supplémentaire. La conformité DIB dépend du DoD et du 32 CFR Part 170, et non de la CISA. Pour les clients concernés par la CMMC, la référence est NIST 800-171 SI-2, qui impose déjà des délais pour l’application des correctifs – les critères fédéraux d’application définissent désormais ce que « dans les temps » signifie concrètement. Cet article se concentre sur le volet FCEB.

Résumé des points clés

1. BOD 26-04 favorise l’autorisation FedRAMP vérifiée

Les services cloud FCEB sont désormais soumis à des exigences de délais pour les correctifs et d’autorisation continue auxquelles seuls les fournisseurs réellement autorisés FedRAMP peuvent répondre opérationnellement.

2. L’équivalence FedRAMP n’a aucune valeur officielle

Le FedRAMP Marketplace distingue trois catégories – Autorisé, En cours, et Prêt – et l’équivalence n’en fait pas partie, ce qui en fait une simple revendication marketing sans vérification indépendante.

3. L’autorisation prouve la surveillance continue

Les CSP autorisés FedRAMP soumettent des scans de vulnérabilité mensuels, des résultats de tests d’intrusion annuels et des POA&M ouverts aux responsables d’autorisation ; les fournisseurs revendiquant une équivalence ne tiennent aucun de ces registres.

4. Les entrées du catalogue KEV déclenchent des exigences documentées sur la rapidité des correctifs

Lorsqu’une vulnérabilité exploitée connue apparaît dans le catalogue de la CISA, les agences FCEB doivent fournir la preuve du délai de correction de leur fournisseur cloud – preuve que seule l’autorisation FedRAMP peut garantir.

5. Les équipes achats doivent vérifier directement le statut sur le Marketplace

Consulter marketplace.fedramp.gov et confirmer le statut autorisé avant qu’un écart de conformité BOD 26-04 n’apparaisse constitue une meilleure gestion des risques que de découvrir le problème sous la pression d’un audit.

Feuille de route de la conformité CMMC 2.0 pour les sous-traitants DoD

Pour en savoir plus :

Ce que requiert réellement l’autorisation FedRAMP

Le processus de conformité FedRAMP n’est pas une simple liste de contrôle. Il s’agit d’un engagement opérationnel permanent, et cette distinction est essentielle pour évaluer ce que prouve réellement l’autorisation.

L’autorisation FedRAMP impose aux fournisseurs cloud de faire appel à un organisme d’évaluation tiers (3PAO) – un évaluateur accrédité et indépendant du fournisseur – pour examiner les mesures de sécurité mises en œuvre selon le référentiel FedRAMP (Low, Moderate ou High, selon le niveau d’impact des données traitées). L’évaluation donne lieu à un rapport de sécurité examiné par un responsable fédéral avant la délivrance d’une Autorisation d’Exploitation. Une P-ATO du Joint Authorization Board FedRAMP offre une autorisation valable à l’échelle gouvernementale, utilisable par chaque agence.

Après l’autorisation, les obligations de surveillance continue s’appliquent. Les CSP autorisés doivent soumettre des rapports mensuels de scans de vulnérabilité, des notifications trimestrielles de changements majeurs et des évaluations de sécurité annuelles. Ils tiennent à jour un POA&M documentant les vulnérabilités connues, les délais de remédiation et leur statut. Les responsables d’autorisation des agences et le bureau de gestion du programme FedRAMP examinent cette documentation. Ce n’est pas une auto-attestation – elle est vérifiée de façon indépendante et peut faire l’objet d’un audit.

Le processus d’évaluation 3PAO distingue à lui seul les fournisseurs autorisés des revendications d’équivalence. Un 3PAO doit être accrédité par l’American Association for Laboratory Accreditation (A2LA) dans le cadre du programme d’accréditation FedRAMP 3PAO. L’équipe d’évaluation examine les plans de sécurité du système, teste les mesures techniques, interroge le personnel et produit des conclusions indépendantes. Le fournisseur ne peut pas rédiger son propre rapport d’évaluation. Cette indépendance – la garantie que les conclusions ne sont pas filtrées par les intérêts du fournisseur – constitue la solidité de l’autorisation. Elle est totalement absente dans toute revendication d’équivalence, même si la documentation d’auto-évaluation du fournisseur est détaillée.

Cette infrastructure opérationnelle est précisément ce que testent les exigences de délai de correction de BOD 26-04. Un CSP autorisé dispose de preuves documentées concernant la fréquence de ses scans de vulnérabilité, la rapidité de déploiement des correctifs et ses plans d’action pour les constats ouverts. Lorsqu’une agence FCEB interroge un fournisseur MFT sécurisé ou Kiteworks partage sécurisé de fichiers autorisé FedRAMP sur sa capacité à démontrer la conformité à BOD 26-04, le fournisseur peut fournir le dossier de surveillance continue qui répond à la question. Un fournisseur revendiquant une équivalence ne le peut pas.

Le référentiel FedRAMP Moderate authorization couvre 325 mesures issues de NIST 800-53 Rev 5. Ces mesures couvrent le contrôle d’accès, la sensibilisation et la formation, l’audit et la responsabilité, la gestion de la configuration, la planification de la continuité, l’identification et l’authentification, la réponse aux incidents, la maintenance, la protection des supports, la sécurité physique et environnementale, la planification, la sécurité du personnel, l’évaluation des risques, la protection des systèmes et des communications, et l’intégrité des systèmes et des informations. Les mesures SI-2 de remédiation des failles – les plus directement liées aux délais de correction BOD 26-04 – sont évaluées par le 3PAO et documentées dans le dossier de surveillance continue. Un fournisseur revendiquant une équivalence et affirmant « respecter les standards FedRAMP Moderate » n’a fait tester aucune de ces mesures de façon indépendante.

ABAC et les journaux d’audit sont deux domaines de contrôle supplémentaires où la différence entre autorisation et équivalence a des conséquences opérationnelles directes pour les agences FCEB. Les plateformes autorisées conservent des journaux d’audit selon des formats et des durées de conservation validés par les exigences fédérales. Les implémentations ABAC sont testées selon le référentiel de contrôle d’accès. Il ne s’agit pas d’exercices de documentation – ce sont des contrôles opérationnels évalués et vérifiés de façon indépendante. Les revendications d’équivalence ne peuvent remplacer cette vérification, et les implications d’audit de BOD 26-04 rendent cet écart déterminant.

Le marché de l’équivalence et son évolution

La catégorie « équivalence FedRAMP » est apparue parce que l’autorisation FedRAMP est coûteuse et chronophage. Une autorisation FedRAMP Moderate complète nécessite généralement 12 à 24 mois et plusieurs millions de dollars en coûts d’évaluation, de remédiation et de documentation. De nombreux fournisseurs cloud – notamment les plus petits et ceux sans activité fédérale dédiée – ont préféré présenter leur posture de sécurité comme équivalente aux exigences FedRAMP sans passer par le processus d’autorisation.

Le FedRAMP Marketplace publie la liste officielle des services autorisés, en cours d’évaluation et ayant obtenu la désignation FedRAMP Ready. « FedRAMP Ready » signifie qu’un 3PAO a validé que les fonctions de sécurité du fournisseur sont cohérentes avec les exigences FedRAMP et que le fournisseur est susceptible d’obtenir l’autorisation – il s’agit d’une désignation de préparation au marché, pas d’une autorisation. Les services n’apparaissant dans aucune de ces catégories sur le Marketplace officiel n’ont aucun statut FedRAMP officiel, quelle que soit la teneur de leurs supports marketing.

Le problème pour les agences FCEB est que les processus d’achat ne distinguent pas toujours cette nuance. Un acheteur qui examine la documentation d’architecture zero trust d’un fournisseur et ses attestations de sécurité n’a pas toujours le temps de vérifier le statut Marketplace de chaque service cloud envisagé. Les revendications d’équivalence sont conçues pour passer ce filtre. Elles sont rédigées pour ressembler à des revendications d’autorisation sans en être.

Plusieurs dynamiques de marché ont renforcé cette tendance au fil des années. D’abord, l’arriéré d’autorisations FedRAMP – à certains moments, la file d’attente pour la revue du Joint Authorization Board s’étendait sur des années – a poussé les agences à accepter des solutions non autorisées pendant que les fournisseurs attendaient leur autorisation. Certains fournisseurs ont profité de cette période pour établir des relations avec les agences sur la base de revendications d’équivalence, puis ont laissé ces relations perdurer après la résorption de l’arriéré, sans finaliser le processus d’autorisation. Ensuite, la complexité du système d’achats fédéral crée des opportunités pour que des revendications ambiguës passent entre les mailles du filet. Un appel d’offres exigeant la « conformité FedRAMP » peut être satisfait par une revendication d’équivalence si l’acheteur ne sait pas vérifier le Marketplace. Enfin, certaines revendications d’équivalence s’accompagnent de documentations de sécurité détaillées – rapports SOC 2 Type II, certifications ISO 27001, résultats de tests d’intrusion – qui donnent une impression de rigueur sans répondre aux exigences spécifiques du programme FedRAMP.

Aucune de ces documentations ne remplace l’autorisation FedRAMP. SOC 2 évalue les contrôles liés aux engagements de service et aux exigences système du fournisseur, pas le référentiel FedRAMP. ISO 27001 est une norme de système de gestion de la sécurité de l’information avec un périmètre et des exigences différents. Les tests d’intrusion non réalisés par un 3PAO accrédité selon les directives FedRAMP ne sont pas équivalents à ceux exigés par FedRAMP. L’argumentaire FedRAMP Moderate equivalency utilisé par certains fournisseurs n’y change rien – les revendications d’équivalence fondées sur d’autres référentiels de conformité n’ont toujours aucune valeur dans le programme FedRAMP, et ne produisent pas non plus le dossier de surveillance continue exigé pour la conformité BOD 26-04.

BOD 26-04 modifie les conséquences opérationnelles de l’écart d’équivalence. Les délais de correction obligatoires pour les agences FCEB deviennent également obligatoires pour les services cloud sur lesquels ces agences s’appuient. Une agence ne peut pas respecter les exigences de correctifs de BOD 26-04 si son fournisseur cloud ne peut pas démontrer la rapidité de déploiement des correctifs dans les délais requis. Un fournisseur revendiquant une équivalence ne s’engage pas sur ces délais. Un fournisseur autorisé FedRAMP, si – et dispose de preuves documentées qu’il maintient les processus opérationnels nécessaires pour les respecter.

Comment BOD 26-04 modifie la logique d’achat fédérale

Les directives opérationnelles contraignantes de la CISA s’appliquent aux agences FCEB et créent des obligations opérationnelles qui s’étendent à la pile technologique de l’agence. Une agence FCEB qui reçoit une exigence BOD 26-04 pour corriger une vulnérabilité exploitée connue ne peut pas la corriger sur un système géré par un fournisseur cloud dépourvu de documentation de surveillance continue et de processus de gestion des correctifs.

Le catalogue des vulnérabilités exploitées connues de la CISA – qui fixe les délais de correction BOD – a déjà inclus des failles dans des logiciels d’entreprise largement déployés, notamment des plateformes de transfert de fichiers et de collaboration de contenu. En juin 2026, une vulnérabilité critique dans SolarWinds Serv-U MFT a été ajoutée au catalogue KEV avec exploitation active confirmée. Les agences FCEB utilisant une plateforme MFT sécurisé ou Kiteworks messagerie sécurisée doivent pouvoir s’assurer que la gestion des correctifs de leur fournisseur respecte les délais imposés par BOD.

Pour les fournisseurs autorisés FedRAMP, la réponse figure dans leur dossier de surveillance continue. Les journaux d’audit des scans de vulnérabilité, des déploiements de correctifs et des plans d’action constituent un registre vivant examiné par les responsables d’autorisation des agences. Pour les fournisseurs revendiquant une équivalence, la réponse dépend de ce que le fournisseur choisit de fournir à la demande de l’agence.

L’implication pour les achats est claire. La conformité FedRAMP – l’autorisation réelle, pas l’équivalence revendiquée – constitue désormais la base techniquement défendable pour l’achat cloud FCEB dans un contexte BOD 26-04. Les agences qui s’appuyaient sur des revendications d’équivalence doivent revoir leur portefeuille de services cloud à la lumière du FedRAMP Marketplace officiel et identifier les services dépourvus d’autorisation officielle.

Le risque opérationnel lié aux revendications d’équivalence non vérifiées va au-delà des délais de correction. BOD 26-04 renforce également les exigences d’autorisation continue – ce qui signifie que les agences FCEB doivent veiller à ce que leurs services cloud conservent leur autorisation tout au long du cycle de vie du service, et pas seulement lors de l’achat initial. Une revendication d’équivalence faite lors de l’attribution du contrat ne prévoit aucun mécanisme de revalidation. L’autorisation FedRAMP, à l’inverse, impose des obligations continues de surveillance. Si la posture de sécurité d’un fournisseur autorisé FedRAMP se dégrade, cela apparaîtra dans le dossier de surveillance continue. Si celle d’un fournisseur revendiquant une équivalence se dégrade, l’agence n’a aucun moyen indépendant de le détecter.

Les auditeurs fédéraux et les Inspecteurs Généraux ont commencé à inclure le statut d’autorisation des services cloud dans leurs revues des programmes de sécurité des agences. Découvrir qu’une agence exécute des opérations critiques sur des services cloud non autorisés – qui n’apparaissent sur aucune liste officielle et n’ont pris aucun engagement vérifiable envers les standards fédéraux de sécurité – expose à des risques d’audit que les RSSI et responsables d’autorisation des agences sont de moins en moins enclins à accepter. La combinaison du risque d’audit, de l’application de BOD et de l’augmentation du catalogue KEV renforce considérablement l’intérêt d’une autorisation FedRAMP vérifiée par rapport à il y a deux ans.

La conformité CMMC 2.0 et l’autorisation FedRAMP relèvent de référentiels et de clientèles différents – mais reposent sur un principe commun : seule la vérification indépendante des mesures de sécurité distingue un engagement d’une simple affirmation. Pour les agences FCEB, l’autorisation FedRAMP constitue cette vérification indépendante. C’est le seul document qui prouve qu’un fournisseur cloud a respecté le standard fédéral, que cette évaluation a été vérifiée de façon indépendante, et que cette posture est maintenue sous supervision continue.

L’écart de surveillance continue

La différence la plus significative sur le plan opérationnel entre l’autorisation FedRAMP et l’équivalence revendiquée ne réside pas dans l’évaluation initiale. Elle tient à l’infrastructure de surveillance continue exigée par l’autorisation et totalement absente des revendications d’équivalence.

Les exigences de surveillance continue de FedRAMP imposent aux CSP autorisés de tenir un inventaire à jour de la mise en œuvre de leurs mesures de sécurité, d’identifier et de documenter les vulnérabilités par des scans réguliers, de produire des rapports mensuels pour examen par l’agence, et de mettre à jour leurs plans d’action selon une cadence définie. Cela crée un registre auditable de la posture de sécurité du fournisseur dans le temps – et non à un instant T seulement.

Pour une agence FCEB répondant à une exigence BOD 26-04, ce dossier de surveillance continue constitue une preuve. Il démontre que les processus de gestion des correctifs du fournisseur cloud sont réels, documentés et soumis à supervision. Il permet au responsable d’autorisation de l’agence d’évaluer la crédibilité des engagements de délai de remédiation du fournisseur. Et il fournit la documentation attendue par les auditeurs fédéraux et les Inspecteurs Généraux lors de l’examen de la posture de sécurité cloud de l’agence.

Les fournisseurs revendiquant une équivalence n’ont aucun dossier de surveillance continue car ils n’ont aucune autorisation à maintenir. Toute documentation de sécurité qu’ils produisent est générée en interne, sans revue indépendante, ni vérification continue. Cela crée un profil de risque radicalement différent de celui des services autorisés – et les délais imposés par BOD 26-04 rendent cette différence tangible.

L’écart de surveillance continue a des implications pratiques au-delà de BOD 26-04. Les obligations de gouvernance des données, les exigences de gestion CUI et les référentiels de conformité ITAR reposent tous sur la capacité de l’agence à prouver que les plateformes traitant des CUI sensibles et des données soumises à contrôle à l’export fonctionnent sous des mesures de sécurité vérifiées. L’autorisation FedRAMP – avec son infrastructure de surveillance continue – permet cette démonstration. Les revendications d’équivalence ne le permettent pas. Lorsqu’un programme interne de gouvernance des données exige de tracer les flux de données sensibles et les mesures de sécurité associées, « notre fournisseur revendique une équivalence » ne suffit pas. Les programmes de classification des données qui identifient où résident les données gouvernementales sensibles sont indispensables pour garantir que seules des plateformes autorisées FedRAMP encadrent chaque flux de données nécessitant ce niveau de protection.

L’infrastructure de surveillance continue soutient également les exigences d’architecture zero trust que les agences FCEB mettent en œuvre dans le cadre de la stratégie fédérale zero trust. Le zero trust exige une vérification continue de l’état des appareils et des utilisateurs – ce qui suppose que la plateforme cloud sous-jacente maintienne des mesures de sécurité à jour, des configurations documentées et une posture en temps réel validée de façon indépendante. L’architecture de surveillance continue de FedRAMP s’aligne sur les principes zero trust, là où une auto-évaluation ponctuelle d’équivalence ne peut rivaliser.

Kiteworks détient la conformité FedRAMP au niveau Moderate – une véritable Autorisation d’Exploitation, et non une équivalence revendiquée. Kiteworks est également certifié CMMC Niveau 2 pour le volet CMMC (clients DIB), offrant une posture de sécurité indépendante et vérifiée pour le référentiel DoD. L’autorisation FedRAMP Moderate signifie que Kiteworks maintient l’infrastructure de surveillance continue, la documentation de gestion des correctifs et les rapports d’évaluation tiers exigés pour la conformité BOD 26-04. Les agences FCEB évaluant des plateformes d’échange de contenu – MFT sécurisé, Kiteworks messagerie sécurisée et Kiteworks partage sécurisé de fichiers – peuvent vérifier le statut d’autorisation de Kiteworks directement sur le FedRAMP Marketplace, et non dans les supports marketing du fournisseur. L’architecture Réseau de données privé qui sous-tend ces fonctions repose sur la même infrastructure vérifiée de façon indépendante, offrant des contrôles d’accès et une journalisation alignés FedRAMP sur chaque canal de communication de contenu.

Étapes pratiques pour les agences FCEB afin de vérifier l’autorisation cloud

L’écart entre autorisation FedRAMP et revendications d’équivalence n’est pas toujours visible dans les supports des fournisseurs. Les équipes achats souhaitant anticiper un constat d’audit BOD 26-04 disposent d’une démarche de vérification simple.

Première étape : consulter directement le Marketplace. Tout service cloud disposant d’un statut FedRAMP – Autorisé, En cours ou Prêt – figure sur marketplace.fedramp.gov. Les agences doivent vérifier que l’offre du fournisseur apparaît dans la catégorie Autorisé, et non simplement En cours ou Prêt, et que le niveau d’impact (Low, Moderate ou High) correspond aux données à traiter. Un fournisseur autorisé FedRAMP Moderate n’est pas habilité à opérer au niveau d’impact High. Un fournisseur n’apparaissant qu’en En cours ne dispose pas encore d’une autorisation satisfaisant les exigences FedRAMP.

Deuxième étape : demander la lettre d’autorisation. Ce document identifie le responsable d’autorisation – soit le Joint Authorization Board pour une P-ATO, soit un responsable d’agence pour une ATO – et la date d’effet. Un fournisseur incapable de fournir une lettre d’autorisation signée par un responsable fédéral n’a pas d’autorisation FedRAMP, quelle que soit la teneur de ses supports marketing.

Troisième étape : examiner la posture de surveillance continue. Pour la conformité BOD 26-04, les agences doivent demander le POA&M le plus récent du fournisseur et le dernier résumé de scan de vulnérabilité. Ces documents montrent la posture actuelle de gestion des vulnérabilités du fournisseur – constats ouverts, délais de remédiation, respect des échéances. Un fournisseur incapable de fournir un POA&M à jour n’a pas respecté les obligations de surveillance continue imposées par l’autorisation FedRAMP, ce qui est un problème distinct de la question d’équivalence.

Quatrième étape : vérifier le périmètre de l’autorisation. Les autorisations FedRAMP sont limitées à des systèmes et offres de service précis. Un fournisseur disposant d’une plateforme autorisée FedRAMP mais proposant un produit ou service distinct hors du périmètre autorisé n’a pas étendu son autorisation à cette offre. Les agences doivent s’assurer que le service acheté relève bien du périmètre autorisé documenté dans le dossier d’autorisation du fournisseur.

Cinquième étape : intégrer des engagements contractuels sur le maintien de la surveillance continue. L’autorisation FedRAMP n’est pas permanente – elle impose le respect continu des obligations de surveillance. Les agences doivent inclure dans le contrat une clause exigeant du fournisseur le maintien du statut d’autorisation FedRAMP pendant toute la durée du contrat, l’obligation d’informer l’agence en cas de suspension ou retrait de l’autorisation, et la fourniture des livrables de surveillance continue au responsable d’autorisation selon le calendrier FedRAMP. Appliquer les principes de gestion des risques supply chain au statut d’autorisation cloud – y compris une revérification périodique sur le Marketplace – permet d’éviter une dérive d’équivalence silencieuse au fil du contrat.

Ces étapes ne sont pas de la paperasserie. Elles constituent le socle opérationnel permettant à une agence de prouver sa conformité BOD 26-04 lorsque les auditeurs demandent si les services cloud de l’environnement sont dûment autorisés. Les journaux d’audit, les dossiers de surveillance continue et la documentation d’autorisation sont les preuves attendues – et seule l’autorisation FedRAMP produit ces preuves sous supervision indépendante.

Pour en savoir plus sur la façon dont l’autorisation FedRAMP Moderate répond aux exigences de conformité BOD 26-04 pour les agences FCEB, réservez votre démo sans attendre !.

Foire aux questions

Le programme FedRAMP reconnaît trois catégories officielles. FedRAMP Authorized signifie qu’un service cloud a reçu soit une Autorisation Provisoire d’Exploitation (P-ATO) du Joint Authorization Board, soit une Autorisation d’Exploitation (ATO) d’un responsable fédéral, après une évaluation complète de sécurité par un organisme d’évaluation tiers accrédité. FedRAMP Ready signifie qu’un 3PAO a validé la préparation du fournisseur à obtenir l’autorisation et que le PMO FedRAMP a confirmé que le service est susceptible d’être autorisé – il s’agit d’une désignation de préparation au marché, pas d’une autorisation. Les deux catégories figurent sur le FedRAMP Marketplace officiel. « FedRAMP Equivalent » n’a aucune valeur officielle. Ce n’est pas une désignation du programme FedRAMP. Il s’agit d’une revendication marketing de fournisseurs n’ayant pas suivi le processus d’autorisation. Les fournisseurs revendiquant une équivalence n’ont pas été évalués par un 3PAO, n’ont reçu aucune autorisation d’un responsable fédéral, ne tiennent aucun dossier de surveillance continue et n’ont aucun statut sur le FedRAMP Marketplace. Pour les agences FCEB, cette distinction est essentielle dans le cadre de BOD 26-04, car la documentation sur la rapidité des correctifs et la surveillance continue requise pour la conformité BOD n’existe que pour les fournisseurs autorisés. La conformité FedRAMP pour les plateformes d’échange de contenu signifie une autorisation réelle, vérifiable sur le Marketplace. Comprendre les revendications FedRAMP Moderate equivalency implique de reconnaître qu’aucun autre référentiel de conformité – SOC 2, ISO 27001 ou auto-attestation NIST – ne remplace l’évaluation indépendante et la surveillance continue du programme FedRAMP. Les organisations doivent également consulter la présentation du programme FedRAMP pour comprendre comment les niveaux d’autorisation correspondent à la sensibilité des données et à la tolérance au risque de l’agence.

Non. Les directives opérationnelles contraignantes de la CISA s’appliquent exclusivement aux agences du Federal Civilian Executive Branch. Elles ne concernent pas les sous-traitants DoD, les organisations DIB ni les entités régulées par la CMMC. La conformité des sous-traitants DIB est régie par le DoD et le 32 CFR Part 170, soit le programme CMMC. L’exigence de gestion des correctifs pertinente pour la conformité CMMC 2.0 est NIST 800-171 Rev 2, SI-2, qui impose aux organisations traitant des CUI d’identifier, signaler et corriger les failles des systèmes d’information, d’installer les mises à jour logicielles de sécurité dans les délais définis par l’organisation, et d’intégrer la remédiation des failles dans la gestion de configuration. Le résultat pratique est similaire – la correction rapide des vulnérabilités connues est exigée dans les deux référentiels – mais l’autorité, le mécanisme d’application et la documentation de conformité sont totalement distincts. Les organisations ne doivent pas revendiquer la conformité BOD 26-04 auprès des clients DIB/CMMC, ni utiliser le vocabulaire BOD 26-04 dans les évaluations CMMC. Le bon référentiel pour les clients DIB est NIST 800-171 SI-2. Pour les exigences de conformité ITAR qui recoupent les deux volets, l’autorité compétente est l’International Traffic in Arms Regulations – distincte de BOD 26-04 et de la CMMC, même si les plateformes autorisées FedRAMP assurant la gouvernance des données sur les contenus soumis à contrôle à l’export servent à la fois les clients FCEB et ITAR.

Le catalogue des vulnérabilités exploitées connues de la CISA constitue la source de référence des vulnérabilités dont la CISA a confirmé l’exploitation active. Pour les agences FCEB, BOD 26-04 impose des délais de correction obligatoires liés aux entrées du catalogue KEV – les agences doivent corriger les vulnérabilités listées dans le catalogue dans des délais précis. Pour les achats cloud, cela signifie qu’une agence FCEB ne peut pas respecter ses obligations BOD pour une vulnérabilité KEV affectant une plateforme cloud si son fournisseur ne peut pas prouver le déploiement du correctif dans les délais. Les fournisseurs autorisés FedRAMP tiennent des dossiers de surveillance continue – incluant les résultats de scans de vulnérabilité et les historiques de déploiement des correctifs – qui fournissent la documentation attendue par les agences FCEB. Lorsqu’une vulnérabilité est ajoutée au catalogue KEV, comme celle de SolarWinds Serv-U MFT en juin 2026, les agences FCEB utilisant des plateformes MFT sécurisées peuvent vérifier le statut de correction de leur fournisseur via le dossier de surveillance continue. Les journaux d’audit tenus par les CSP autorisés FedRAMP constituent une preuve vérifiable du calendrier de déploiement des correctifs – c’est la preuve exigée pour la conformité BOD 26-04. Les fournisseurs revendiquant une équivalence n’ont aucune documentation équivalente. Vérifier le statut d’autorisation FedRAMP sur le Marketplace avant qu’une entrée KEV ne pose problème est une meilleure gestion des risques que d’attendre la découverte d’un écart de conformité lors d’un audit. Les agences doivent aussi vérifier que les exigences d’autorisation FedRAMP High s’appliquent à tout système traitant des données de police, de services d’urgence ou à fort impact – les délais de correction KEV s’appliquent à tous les niveaux.

Les équipes achats FCEB doivent commencer par une vérification directe sur le FedRAMP Marketplace à l’adresse marketplace.fedramp.gov. Le Marketplace liste tous les services FedRAMP Authorized (P-ATO et Agency ATO), les services En cours d’évaluation et ceux ayant la désignation FedRAMP Ready. Tout fournisseur revendiquant un statut FedRAMP sans figurer dans l’une de ces catégories sur le Marketplace avance une revendication non officielle sans valeur dans le processus d’autorisation fédéral. Pour les services autorisés, les équipes achats doivent demander la lettre d’autorisation, qui identifie le responsable d’autorisation et la date d’autorisation, ainsi que le dernier résumé de surveillance continue, qui montre la posture actuelle de gestion des vulnérabilités du fournisseur. Pour la conformité BOD 26-04, il faut demander au fournisseur son POA&M à jour et les derniers résultats de scan de vulnérabilité, deux livrables de surveillance continue que les fournisseurs autorisés FedRAMP tiennent à jour. Les plateformes d’échange de contenu – Kiteworks messagerie sécurisée, MFT sécurisé, Kiteworks partage sécurisé de fichiers – doivent être soumises à la même exigence de vérification que tout autre service cloud. Les équipes achats doivent également vérifier que les exigences d’architecture zero trust mises en œuvre par l’agence sont bien prises en charge par la configuration autorisée FedRAMP de la plateforme, et non sur la seule base des affirmations du fournisseur concernant la compatibilité zero trust. Les implémentations ABAC et les journaux d’audit doivent être vérifiés par rapport au périmètre d’autorisation FedRAMP pour s’assurer qu’ils relèvent bien du système autorisé. Un examen du plan de sécurité du système permet de confirmer la définition du périmètre et la mise en œuvre des mesures documentées par le fournisseur.

Les niveaux d’autorisation FedRAMP reflètent le niveau d’impact des données traitées. FedRAMP Low concerne les systèmes où la perte de confidentialité, d’intégrité ou de disponibilité aurait des effets limités. FedRAMP Moderate authorization s’applique aux systèmes où l’impact serait sérieux – y compris la plupart des données opérationnelles des agences gouvernementales, les informations personnelles identifiables, les données financières et les informations sensibles mais non classifiées. FedRAMP High concerne les systèmes où une faille aurait des effets graves ou catastrophiques, notamment les systèmes traitant des données de police, de services d’urgence ou de systèmes financiers. La plupart des plateformes d’échange de contenu utilisées par les agences FCEB pour le partage de documents, le transfert de fichiers et la communication fonctionnent au niveau d’impact Moderate. La conformité FedRAMP Moderate signifie que la plateforme a été évaluée selon l’ensemble des mesures du référentiel Moderate – 325 mesures – par un 3PAO accrédité, autorisée par un responsable fédéral et soumise à une surveillance continue selon ce même référentiel. FedRAMP Moderate authorization est la norme applicable pour les plateformes d’échange de contenu sécurisé utilisées dans les environnements FCEB traitant des informations sensibles mais non classifiées, des données soumises à contrôle à l’export et des dossiers opérationnels d’agence. Les exigences d’architecture zero trust mises en œuvre dans le cadre de la stratégie fédérale zero trust sont également alignées sur le référentiel Moderate pour les services cloud. Les programmes de gouvernance des données exigeant le suivi des flux de données sensibles doivent utiliser le niveau d’impact FedRAMP comme seuil – les données traitées à sensibilité Moderate requièrent une plateforme autorisée au niveau Moderate ou supérieur, et les revendications d’équivalence ne remplacent pas cette autorisation, quel que soit le niveau d’impact revendiqué.

Ressources complémentaires

  • Article de blog
    Conformité CMMC pour les petites entreprises : défis et solutions
  • Article de blog
    Guide de conformité CMMC pour les fournisseurs DIB
  • Article de blog
    Exigences d’audit CMMC : ce que les évaluateurs attendent pour évaluer votre préparation CMMC
  • Guide
    Cartographie de la conformité CMMC 2.0 pour les communications de contenu sensible
  • Article de blog
    Le vrai coût de la conformité CMMC : ce que les sous-traitants de la défense doivent prévoir dans leur budget

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks