Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Seulement 48 services cloud disposent de l’autorisation FedRAMP High — et les agences en subissent les conséquences

Seulement 48 services cloud disposent de l’autorisation FedRAMP High — et les agences en subissent les conséquences

par Danielle Barbour updated mars 17, 2026 Conformité réglementaire
temps de lecture: 9 minutes

La rareté des services cloud disposant de l’autorisation FedRAMP High n’est pas un simple enjeu de conformité. Elle constitue un véritable frein à l’achat, obligeant les agences fédérales à faire des compromis en matière de sécurité pour leurs données les plus sensibles.

Points clés à retenir

  1. Exigences d’autorisation FedRAMP High et écart sur le marché. L’autorisation FedRAMP High impose 421 contrôles de sécurité — soit près de 30 % de plus que FedRAMP Moderate — et seuls 48 services cloud sont entièrement autorisés à ce niveau. Début 2025, le FedRAMP Marketplace recensait environ 80 services cloud au niveau d’impact High, mais moins de la moitié bénéficiaient d’une autorisation complète. Les agences fédérales ont dépensé 11 milliards de dollars dans le cloud en 2024, les systèmes à fort impact représentant environ 40 % des dépenses. L’écart entre l’offre et la demande à ce niveau force les agences à s’appuyer sur des plateformes qui ne répondent pas aux exigences de sécurité requises pour leurs données les plus sensibles.
  2. Statut FedRAMP High In Process : étape d’exécution. Le statut FedRAMP High In Process n’est pas un objectif à atteindre, mais une étape concrète qui atteste d’un examen actif par une agence fédérale et d’une évaluation indépendante par un tiers. Le parcours d’autorisation FedRAMP se déroule en trois étapes : Ready, In Process et Authorized. « In Process » signifie que le fournisseur cloud travaille activement à l’obtention de l’autorisation avec le soutien d’une agence fédérale et que l’évaluation par le 3PAO est en cours ou terminée. Les organisations qui évaluent des prestataires doivent comprendre que cette désignation reflète des fonctions de sécurité vérifiées et soumises à un contrôle fédéral actif, et non un simple argument marketing.
  3. Préparation CMMC Niveau 2 et héritage des contrôles FedRAMP High. Seuls 46 % des acteurs de la défense se considèrent prêts pour la certification CMMC Niveau 2, alors que les contrôles FedRAMP High correspondent directement aux pratiques NIST 800-171 qui sous-tendent le CMMC. Une enquête Kiteworks et Coalfire menée auprès de 209 organisations du secteur a révélé que 57 % n’avaient pas réalisé d’analyse d’écart NIST 800-171 et que 62 % manquent de contrôles de gouvernance adéquats. Parallèlement, le rapport CyberSheath 2025 State of the DIB indique que seulement 1 % des sous-traitants de la défense se sentent pleinement préparés aux audits CMMC. L’héritage des contrôles FedRAMP High permet de réduire de 50 % ou plus les délais de conformité pour ces organisations.
  4. Accélération des menaces et défis de conformité. L’évolution des menaces dépasse la capacité de la plupart des programmes de conformité à suivre le rythme : les attaques menées par des adversaires dopés à l’IA ont augmenté de 89 % en un an, et 82 % des détections ne contiennent aucun malware. Le rapport CrowdStrike 2026 Global Threat Report fait état d’une hausse de 37 % des intrusions ciblant le cloud, dont 35 % impliquent l’exploitation de comptes valides. Parallèlement, le rapport Global Cybersecurity Outlook 2026 du Forum économique mondial révèle que 65 % des grandes entreprises considèrent désormais les vulnérabilités liées aux tiers et à la supply chain comme leur principal obstacle à la cyberrésilience. Les outils cloud généralistes autorisés au niveau Moderate n’ont pas été conçus pour faire face à ce type de menaces.
  5. Plateformes validées FedRAMP High et conformité multi-référentiels. Une plateforme qui propose environ 90 % des pratiques CMMC Niveau 2 en standard dans une architecture validée FedRAMP High change la donne pour les sous-traitants de la défense, les agences fédérales et les entreprises réglementées. Selon le rapport Kiteworks 2025 Data Forms Survey, 75 % des répondants du secteur public exigent FedRAMP pour leurs flux de données et 69 % utilisent des modules cryptographiques validés FIPS 140-3. Lorsqu’un fournisseur unique permet l’héritage des contrôles pour répondre aux exigences CMMC, HIPAA, PCI DSS, DFARS et ISO 27001, la conformité multi-référentiels devient un choix d’architecture plutôt qu’un programme distinct pour chaque référentiel.

Le programme FedRAMP classe les services cloud selon trois niveaux d’impact — Low, Moderate et High — en fonction des conséquences potentielles d’une faille de sécurité. FedRAMP High exige 421 contrôles de sécurité issus du NIST SP 800-53 Rev 5, soit près de 30 % de plus que les 325 contrôles du niveau Moderate. Ces contrôles supplémentaires couvrent les exigences avancées en matière de chiffrement, les restrictions d’accès physique, la vérification du personnel et la surveillance continue renforcée. Ils existent parce que les données de ce niveau — opérations de sécurité nationale, coordination des forces de l’ordre, services d’urgence, dossiers médicaux, infrastructures financières — ne peuvent tolérer aucun compromis.

Pourtant, début 2025, le FedRAMP Marketplace ne recensait qu’environ 80 offres cloud au niveau d’impact High. Seules 48 disposaient d’une autorisation complète. À mettre en perspective avec 11 milliards de dollars de dépenses fédérales dans le cloud en 2024, dont 40 % pour des systèmes à fort impact : le déséquilibre est flagrant. Les agences se tournent vers des outils de productivité généralistes au niveau Moderate, faute d’options autorisées High pour de nombreux cas d’usage.

Ce que signifie réellement FedRAMP High In Process — et pourquoi ce n’est pas un label marketing

La confusion autour des statuts FedRAMP est généralisée sur le marché. Les fournisseurs utilisent à tort les termes « en cours de certification FedRAMP » ou « FedRAMP-ready », d’où l’importance de bien comprendre ce que signifie précisément « In Process ».

Le parcours d’autorisation FedRAMP comporte trois étapes distinctes. FedRAMP Ready signifie qu’un organisme d’évaluation tiers certifié (3PAO) a examiné la documentation du fournisseur et que le bureau de gestion du programme FedRAMP a validé le rapport de préparation. FedRAMP In Process signifie que le fournisseur travaille activement à l’autorisation avec une agence fédérale partenaire — l’agence examine l’ensemble du dossier de sécurité et le 3PAO effectue ou a terminé l’évaluation complète. FedRAMP Authorized signifie que l’évaluation est terminée, que l’agence a délivré l’Autorisation d’Exploitation (ATO) et que le fournisseur entre en phase de surveillance continue.

La distinction est essentielle. « In Process » n’est pas un statut de planification. Il indique que les contrôles sont en place, évalués de façon indépendante par un 3PAO, et font l’objet d’un examen fédéral actif. Kiteworks Secure Gov Cloud a atteint le statut FedRAMP High Ready en février 2025 après une évaluation indépendante par Coalfire Systems et validation par le PMO FedRAMP. Depuis, la solution est passée au statut In Process, avec un partenaire fédéral examinant le dossier de sécurité. Cette progression s’appuie sur près de neuf ans d’autorisation FedRAMP Moderate ininterrompue, maintenue depuis juin 2017.

L’environnement de menaces qui rend FedRAMP High incontournable

L’exigence d’un niveau de sécurité FedRAMP High n’est pas théorique. Les données sur les menaces de l’année écoulée le démontrent concrètement.

Le CrowdStrike 2026 Global Threat Report a constaté une hausse de 89 % des attaques menées par des adversaires dopés à l’IA sur un an, avec un temps moyen de compromission eCrime tombant à 29 minutes. Les intrusions ciblant le cloud ont augmenté de 37 %, et 82 % des détections ne contenaient aucun malware — preuve que les défenses classiques basées sur les signatures ne suffisent plus. Les acteurs liés à des États, notamment des groupes affiliés à la Chine, ont accru de 38 % leurs attaques sur les équipements en périphérie, utilisant des identifiants valides et des outils natifs pour se fondre dans l’activité normale et accéder aux données sensibles.

Pour les agences opérant au niveau d’impact High, ces adversaires ciblent précisément les données que FedRAMP High vise à protéger. Le Global Cybersecurity Outlook 2026 du Forum économique mondial indique que le ransomware reste la principale préoccupation des RSSI à l’échelle mondiale, suivi par les perturbations de la supply chain. Parmi les grandes entreprises, 65 % identifient les vulnérabilités liées aux tiers et à la supply chain comme leur principal obstacle à la cyberrésilience — contre 54 % en 2025. Lorsque les agences échangent des données sensibles via des plateformes fragmentées à différents niveaux d’autorisation, chaque jonction devient une surface d’attaque.

La convergence CMMC : pourquoi l’héritage FedRAMP High est un accélérateur pour les sous-traitants de la défense

L’importance de FedRAMP High dépasse largement le cadre des agences fédérales. Pour la base industrielle de défense, il s’agit du levier de conformité le plus puissant disponible.

Le CMMC Niveau 2 exige que les organisations prouvent 110 pratiques de sécurité issues du NIST SP 800-171. Les 421 contrôles FedRAMP High proviennent du NIST SP 800-53 Rev 5, et correspondent directement aux exigences NIST 800-171 qui sous-tendent le CMMC. Lorsqu’un fournisseur obtient l’autorisation FedRAMP High, ses clients héritent de ces contrôles validés au lieu de devoir les construire et valider un à un. Cet héritage permet de réduire de 50 % ou plus les délais de conformité.

Les données de préparation montrent à quel point cette accélération est nécessaire. L’enquête Kiteworks et Coalfire auprès de 209 organisations du secteur de la défense révèle que seuls 46 % se considèrent prêts pour la certification CMMC Niveau 2. 57 % n’ont pas réalisé d’analyse d’écart NIST 800-171. Et 62 % manquent de contrôles de gouvernance adéquats. Le rapport CyberSheath 2025 State of the DIB dresse un constat encore plus sévère : seulement 1 % des sous-traitants de la défense se sentent pleinement prêts pour les audits CMMC, contre 4 % en 2024. Le score SPRS médian est de 60 — soit 50 points en dessous du seuil requis de 110. Des contrôles critiques restent largement non déployés : 79 % n’ont pas de gestion des vulnérabilités, 78 % pas de gestion des correctifs, 74 % pas de DLP, et 73 % n’ont pas mis en place l’authentification multifactorielle.

Une plateforme qui propose environ 90 % des pratiques CMMC Niveau 2 en standard, adossée à des contrôles validés FedRAMP High, transforme la démarche de conformité d’un chantier pluriannuel à une simple décision d’architecture.

Une implémentation, plusieurs référentiels : l’argument de la convergence de conformité

La véritable force d’une architecture validée FedRAMP High ne réside pas seulement dans la conformité FedRAMP ou l’accélération CMMC. C’est l’héritage des contrôles qui s’applique à tous les référentiels auxquels une organisation est soumise.

En 2026, les organisations ne font pas face à une seule obligation réglementaire. Elles doivent gérer simultanément les échéances du CMMC 2.0 pour les contrats de défense, de l’HIPAA pour les données de santé, du PCI DSS 4.0 pour les paiements, du DORA pour les services financiers de l’UE, du NIS 2 pour les infrastructures critiques, et de l’ISO 27001 comme référence mondiale. Au niveau des contrôles, le recoupement est important. L’architecture de chiffrement validée pour FedRAMP High répond aussi bien aux pratiques de chiffrement du CMMC, aux mesures techniques de l’HIPAA, aux exigences cryptographiques du PCI DSS, qu’aux contrôles de l’annexe A de l’ISO 27001.

Selon le rapport Kiteworks 2025 Data Forms Survey, les organisations du segment haute sécurité — secteur public et services financiers — exigent FedRAMP, FIPS 140-3, CMMC 2.0, PCI DSS, une localisation des données adaptée, des journaux d’audit immuables et le chiffrement de bout en bout. Ce segment est inaccessible aux fournisseurs sans certifications de niveau gouvernemental. Une plateforme validée FedRAMP High qui unifie ces contrôles dans une seule architecture élimine la redondance et la multiplication des délais liés à la gestion séparée de chaque référentiel.

Le contexte FedRAMP 20x : pourquoi il faut agir maintenant

Le programme FedRAMP évolue avec l’initiative FedRAMP 20x, et le calendrier a des conséquences majeures pour les organisations qui prennent aujourd’hui des décisions de sécurité cloud.

La phase 1 de FedRAMP 20x s’est conclue avec un pilote Low qui a permis d’obtenir l’autorisation en moins de deux mois. La phase 2, en cours jusqu’au premier trimestre 2026, porte sur un pilote Moderate avec 13 participants. Le déploiement à grande échelle pour les autorisations Low et Moderate est attendu en phase 3 (T3–T4 2026). Mais le pilote High de FedRAMP 20x n’est pas prévu avant Q1–Q2 2027, et la voie d’autorisation Rev5 actuelle devrait s’arrêter en T3–T4 2027.

Les organisations qui attendent la voie High 20x risquent de se retrouver plusieurs années sans solution cloud à haut niveau de sécurité. Pour les sous-traitants de la défense confrontés aux échéances CMMC, les agences fédérales ayant des besoins critiques d’échange de données, et les entreprises réglementées devant gérer plusieurs référentiels, la fenêtre d’action, c’est maintenant — pas quand le pilote High 20x sera lancé.

L’approche Kiteworks : une architecture pensée pour le plus haut niveau de sécurité fédéral

Kiteworks n’adapte pas un outil cloud généraliste aux exigences fédérales. L’architecture de la plateforme a été conçue dès l’origine pour l’échange de données réglementées — et sa progression vers l’autorisation FedRAMP High en est la preuve.

Kiteworks Secure Gov Cloud intègre des protections multicouches dans une appliance virtuelle durcie : pare-feu réseau embarqué, pare-feu applicatif web (WAF), détection d’intrusion, double chiffrement des données au repos avec des clés distinctes pour les fichiers et les disques, isolation à locataire unique éliminant les risques inter-locataires, et modules cryptographiques validés FIPS 140-3. Ces fonctions sont intégrées à l’architecture même, et non appliquées en tant que configurations sur un outil de productivité.

Ce qui distingue cette approche, c’est la diversité des modes d’échange de données gérés par un seul moteur de règles, un seul journal d’audit et une seule architecture de sécurité. Les agences fédérales échangent des données sensibles via la messagerie électronique, le partage de fichiers, SFTP, MFT, formulaires web, intégrations API et analyses assistées par IA. Kiteworks regroupe tous ces modes d’échange sous des contrôles FedRAMP High unifiés. Le portefeuille de validations de la plateforme inclut FedRAMP Moderate Authorized depuis juin 2017, FedRAMP High In Process, SOC 2 Type II, ISO 27001/27017/27018, évaluation IRAP et FIPS 140-3. Pour le CMMC, Kiteworks propose environ 90 % des pratiques du Niveau 2 en standard.

Que doivent faire maintenant les agences fédérales, sous-traitants de la défense et entreprises réglementées ?

Première étape : auditez votre paysage d’autorisations FedRAMP actuel. Identifiez quels services cloud sont autorisés à quels niveaux d’impact, et où vos données critiques transitent par des plateformes n’ayant qu’une autorisation Moderate ou Low. Selon le rapport Kiteworks 2025 Data Forms Survey, 75 % des répondants du secteur public exigent FedRAMP pour leurs flux de données — si vos outils d’échange ne répondent pas à ce critère, vous avez un problème d’architecture.

Deuxième étape : cartographiez le chevauchement de vos référentiels de conformité avant de lancer des programmes spécifiques. Les organisations qui poursuivent simultanément le CMMC, l’HIPAA, le PCI DSS et l’ISO 27001 doivent identifier les recoupements de contrôles et investir dans des plateformes couvrant plusieurs référentiels en une seule implémentation. Les données Kiteworks et Coalfire montrent que les organisations ayant réalisé une analyse d’écart obtiennent de bien meilleurs résultats : 77 % appliquent des standards de chiffrement documentés contre 42 % pour celles qui ne l’ont pas fait.

Troisième étape : évaluez dès maintenant les fournisseurs FedRAMP High In Process, sans attendre l’autorisation complète. Les agences et sous-traitants qui s’engagent à ce stade peuvent adapter leur architecture autour de la plateforme et bénéficier d’un avantage de précurseur. Attendre le statut « Authorized », c’est se retrouver en concurrence avec toutes les organisations qui auront également attendu.

Quatrième étape : quantifiez le risque lié à votre calendrier CMMC. Si le score SPRS médian de votre organisation est proche de la moyenne du secteur (60) et que vous n’avez pas réalisé d’analyse d’écart, un délai de certification de 6 à 18 mois suppose de démarrer maintenant avec des contrôles validés — pas de zéro. L’héritage d’un fournisseur autorisé FedRAMP High est le moyen le plus rapide de combler l’écart de 50 points.

Cinquième étape : regroupez vos canaux d’échange de données sous une gouvernance unifiée. Le rapport CrowdStrike 2026 Global Threat Report montre que 82 % des détections ne contiennent aucun malware, ce qui signifie que les attaquants exploitent les failles entre les systèmes. Chaque outil distinct pour la messagerie, le partage de fichiers, SFTP et MFT crée une faille dans votre architecture de sécurité.

Le compte à rebours de la conformité ne ralentit pas. Les exigences CMMC figurent déjà dans les contrats. L’application du DORA a débuté en janvier 2025. Les sanctions HIPAA dépassent 100 millions de dollars par an. Les organisations qui misent dès aujourd’hui sur l’héritage FedRAMP High seront celles qui pourront rivaliser, remporter des contrats et prouver à leurs régulateurs et clients la solidité de leur posture de sécurité.

Foire aux questions

L’autorisation FedRAMP High accélère la certification CMMC Niveau 2 car ses 421 contrôles correspondent directement aux pratiques NIST 800-171 qui sous-tendent le CMMC. Quand votre fournisseur de plateforme détient l’autorisation FedRAMP High, vous héritez de ces contrôles validés, sans avoir à les valider un par un. Selon l’enquête Kiteworks et Coalfire, seuls 46 % des organisations du secteur de la défense se considèrent prêtes — et l’héritage des contrôles peut réduire les délais de 50 % ou plus.

FedRAMP High impose 421 contrôles de sécurité contre 325 pour Moderate — soit près de 30 % de contrôles supplémentaires couvrant le chiffrement avancé, l’accès physique, la vérification du personnel et la surveillance renforcée. La classification High concerne les données dont la compromission aurait des conséquences graves ou catastrophiques, notamment dans les domaines de la sécurité nationale, des services d’urgence ou des forces de l’ordre. Seuls 48 services cloud disposent d’une autorisation High complète.

La gouvernance consolidée des échanges de données est essentielle car les plateformes fragmentées créent des failles de sécurité et des angles morts lors des audits. Le CrowdStrike 2026 Global Threat Report montre que 82 % des détections ne contiennent aucun malware, preuve que les attaquants exploitent les failles entre les systèmes. Une plateforme unifiée qui gère la messagerie, SFTP, MFT, le partage de fichiers, les formulaires web et les API sous un moteur de règles FedRAMP High supprime ces failles avec un seul journal d’audit et une seule architecture de sécurité.

L’héritage des contrôles FedRAMP High réduit considérablement la charge de conformité multi-référentiels car les 421 contrôles recoupent largement les exigences HIPAA, PCI DSS, CMMC, DFARS et ISO 27001. Le chiffrement, les contrôles d’accès et la journalisation validés pour FedRAMP High répondent à toutes ces exigences simultanément. Une seule implémentation permet d’obtenir plusieurs certifications, évitant la redondance de programmes distincts.

Attendre FedRAMP 20x High est risqué car le pilote High n’est pas attendu avant Q1–Q2 2027. La voie d’autorisation Rev5 actuelle reste active au moins jusqu’à mi-2027. Les organisations soumises à des échéances CMMC, ayant des besoins critiques d’échange de données ou des programmes de conformité actifs risquent de rester plusieurs années sans solution adaptée si elles attendent. S’engager dès maintenant avec des fournisseurs FedRAMP High In Process est la voie la plus rapide vers la sécurité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks