Qu'est-ce que FedRAMP ? Autorisation, Conformité et les Notions Qui Font Réellement la Différence
Trois termes reviennent sans cesse dans les appels d’offres fédéraux liés au cloud : FedRAMP autorisé, FedRAMP conforme et FedRAMP équivalent. Ils semblent interchangeables. Ils ne le sont pas. L’un a une reconnaissance fédérale officielle, l’autre est une expression informelle, et le dernier est une formule marketing sans définition officielle. Savoir lequel s’applique à votre fournisseur cloud détermine si votre posture de conformité est réelle — ou simplement affichée.
Ce guide explique ce qu’est FedRAMP, comment fonctionne réellement l’autorisation, ce qui a changé avec la refonte du programme en 2026, et comment évaluer les affirmations des fournisseurs — y compris la notion d’« équivalence », devenue la distinction la plus lourde de conséquences dans les achats cloud fédéraux.
Résumé exécutif
Idée principale : FedRAMP est le cadre fédéral d’autorisation de sécurité pour le cloud. « FedRAMP autorisé », « FedRAMP conforme » et « FedRAMP équivalent » se ressemblent, mais n’ont ni le même poids juridique ni la même portée opérationnelle. Connaître la différence détermine si votre fournisseur cloud satisfait réellement vos exigences de conformité — ou se contente de l’affirmer.
Pourquoi c’est important : Les évaluations CMMC 2.0 s’accélèrent. La directive opérationnelle contraignante 26-04 de la CISA a durci l’application des règles pour les agences civiles fédérales. Et FedRAMP lui-même a connu une refonte structurelle majeure avec CR26 en mai 2026. Si votre fournisseur affirme être « FedRAMP équivalent », vous devez comprendre précisément ce que cela signifie — et ce que cela ne signifie pas — avant que cela ne se révèle comme une faille lors d’un audit.
Points clés à retenir
1. FedRAMP est un programme fédéral d’autorisation de sécurité cloud, pas une certification auto-déclarée.
Le Federal Risk and Authorization Management Program exige une évaluation indépendante par un organisme d’évaluation tierce partie accrédité (3PAO), des contrôles de sécurité documentés, et une autorisation d’exploitation (ATO) délivrée par un responsable fédéral habilité. Le FedRAMP Marketplace répertorie trois statuts officiels : Autorisé, En cours, et Prêt. Ce sont les trois seuls. « Équivalent » n’y figure pas.
2. « FedRAMP autorisé » et « FedRAMP conforme » ne sont pas la même chose.
Autorisé signifie qu’un responsable fédéral a examiné une évaluation indépendante réalisée par un 3PAO et délivré une ATO — et que le service apparaît sur le FedRAMP Marketplace avec le statut Autorisé. Conforme est une expression informelle, sans définition fédérale. Un fournisseur qui se dit « FedRAMP conforme » peut détenir une autorisation, ou simplement affirmer que ses pratiques de sécurité s’apparentent aux exigences de FedRAMP. Le seul moyen de vérifier est de consulter directement le Marketplace.
3. « FedRAMP équivalent » est un terme marketing, pas un statut fédéral.
Il n’a aucune définition dans la norme NIST 800-53, aucune place dans le processus d’autorisation FedRAMP, et n’apparaît sur aucune liste du FedRAMP Marketplace. Une note du DoD datée de janvier 2024 a précisé qu’une revendication d’équivalence légitime nécessite l’implémentation à 100 % des contrôles FedRAMP Moderate, évalués par un 3PAO accrédité — un niveau d’exigence que la plupart des fournisseurs utilisant ce terme n’ont pas atteint. Lorsqu’un fournisseur revendique une équivalence, le travail de conformité qu’il a court-circuité devient votre propre faille de conformité.
4. CR26, lancé en mai 2026, restructure les niveaux d’autorisation de FedRAMP.
Les désignations familières Low/Moderate/High sont remplacées par un système de classes lettrées. La classe C correspond à l’ancien Moderate — le niveau qui couvre la majorité des charges de travail des agences fédérales et des systèmes traitant des informations non classifiées contrôlées (CUI). La classe D correspond à l’ancien High. Les exigences sont désormais publiées sous forme d’énoncés MUST/MUST NOT lisibles par machine plutôt que sous forme de documents narratifs, ce qui élimine les divergences d’interprétation entre évaluateurs et fournisseurs.
5. Utiliser une plateforme FedRAMP autorisée transfère un héritage documenté de contrôles. Utiliser une plateforme « équivalente » ne le fait pas.
Lorsque votre fournisseur cloud détient une véritable autorisation FedRAMP, votre évaluateur confirme des contrôles déjà validés par un évaluateur fédéral indépendant. Votre charge de conformité diminue de manière mesurable. Lorsqu’un fournisseur revendique une équivalence, il n’existe aucune évaluation 3PAO à laquelle se référer, aucun examen par une agence, et aucune inscription au Marketplace — le travail de conformité que le fournisseur a évité devient un travail que votre équipe doit désormais accomplir.
Ce qu’est FedRAMP et pourquoi il existe
FedRAMP a été créé par l’Office of Management and Budget en 2011, dans le cadre de la politique fédérale « Cloud First ». Le problème qu’il résolvait était bien réel : chaque agence fédérale menait ses propres évaluations de sécurité cloud de manière indépendante, produisant des résultats incohérents et dupliquant les efforts à travers des centaines de décisions d’achat.
Le principe « autoriser une fois, utiliser partout » a changé la donne. Un fournisseur cloud évalué et autorisé une seule fois pouvait être utilisé par n’importe quelle agence fédérale sans nouvelle évaluation complète. Tout service cloud qui stocke, traite ou transmet des données fédérales relève de la juridiction de FedRAMP — y compris les services utilisés par les sous-traitants de la défense manipulant des informations de défense couvertes (Covered Defense Information) en vertu de DFARS 252.204-7012.
Comment fonctionne réellement l’autorisation FedRAMP
L’autorisation se déroule en quatre étapes.
Préparation. Le fournisseur de services cloud documente sa posture de sécurité dans un System Security Plan (SSP), inventorie l’ensemble des composants du système et cartographie la mise en œuvre des contrôles de sécurité.
Évaluation. Un 3PAO accrédité — indépendant du fournisseur et reconnu au niveau fédéral — réalise une évaluation complète des contrôles de sécurité du fournisseur par rapport au référentiel FedRAMP applicable. Cette évaluation produit un Security Assessment Report documentant les constats, les écarts et les résultats de validation des contrôles.
Autorisation. Le dossier d’évaluation est transmis à un responsable fédéral habilité, qui l’examine et délivre une Authority to Operate. C’est cette étape qui rend l’autorisation réelle — c’est un responsable fédéral, et non le fournisseur, qui prend la décision.
Surveillance continue. L’autorisation n’est pas acquise une fois pour toutes. Les fournisseurs autorisés transmettent mensuellement des analyses de vulnérabilités, des résultats annuels de tests d’intrusion, et des Plans of Action and Milestones (POA&Ms) ouverts aux responsables habilités, de manière continue. Ce dossier de surveillance permanente permet aux agences de vérifier la posture de sécurité d’un fournisseur à tout moment — pas seulement au moment de l’autorisation initiale.
Une précision structurelle importante : le Joint Authorization Board (JAB), qui délivrait auparavant des ATO provisoires valables à l’échelle du gouvernement, a été suspendu en 2023 dans le cadre de la modernisation de FedRAMP. Les ATO propres à chaque agence constituent désormais la principale voie d’autorisation.
Les trois termes qui comptent vraiment
C’est la distinction que la plupart des discussions d’achat survolent, et c’est précisément là que réside le véritable risque de conformité.
FedRAMP Autorisé est le seul terme ayant une reconnaissance fédérale officielle. Il signifie qu’un 3PAO a validé de manière indépendante les contrôles de sécurité du fournisseur, qu’un responsable fédéral habilité a examiné l’évaluation et délivré une ATO, et que le service figure sur marketplace.fedramp.gov avec le statut Autorisé. La surveillance continue est active, documentée et communicable. Lorsqu’une agence ou un sous-traitant a besoin de preuves de la posture de sécurité d’un fournisseur — délais de correctifs, résultats d’analyses de vulnérabilités, constats en cours — un fournisseur autorisé peut les fournir.
FedRAMP Conforme est une expression informelle, sans définition fédérale officielle. Certains fournisseurs l’utilisent pour signifier qu’ils détiennent une autorisation. D’autres l’utilisent pour signifier que leur programme de sécurité s’apparente aux exigences de FedRAMP. Le terme en lui-même ne vous apprend rien. Lorsque vous voyez « conforme », vérifiez sur le Marketplace s’il y a « autorisé ».
FedRAMP Équivalent est une formule marketing apparue parce que l’obtention d’une véritable autorisation FedRAMP est coûteuse et longue — une autorisation Moderate complète nécessite généralement 12 à 24 mois et plusieurs millions de dollars en évaluation, remédiation et documentation. De nombreux fournisseurs, notamment les plus petits sans pratique fédérale dédiée, ont trouvé plus simple de décrire leur posture de sécurité comme « équivalente » plutôt que de poursuivre une véritable autorisation. Cette formule n’a aucune définition dans la norme NIST 800-53, aucune place dans le processus d’autorisation FedRAMP, et n’apparaît sur aucune liste du Marketplace.
Une note du DoD de janvier 2024 a directement abordé ce point. Elle a précisé qu’une revendication d’équivalence légitime — celle qui satisferait DFARS 7012 — exige qu’un fournisseur de services cloud implémente 100 % des contrôles de sécurité FedRAMP Moderate en vigueur, se soumette à une évaluation par un 3PAO reconnu par FedRAMP, et fournisse un dossier de preuves complet incluant le SSP, le SAP, le SAR et le POA&M. Atteindre une équivalence réelle selon cette norme est souvent plus compliqué que d’obtenir une véritable autorisation FedRAMP Moderate, car l’équivalence ne dispose d’aucun processus standardisé et nécessite un examen sur mesure. La plupart des fournisseurs utilisant ce terme n’ont satisfait aucune de ces exigences.
La conséquence pratique : lorsqu’un fournisseur revendique une équivalence plutôt que de détenir une autorisation, le travail de conformité qu’il a évité devient votre propre travail. Il n’existe aucune évaluation 3PAO à laquelle se référer, aucun examen d’agence, aucune validation par le PMO, et aucune inscription au Marketplace. Il existe un livre blanc du fournisseur affirmant que ses contrôles sont probablement comparables au référentiel FedRAMP Moderate. Ce mot — probablement — pèse lourd dans votre posture de conformité lorsqu’un évaluateur C3PAO est dans la salle.
Pour un aperçu plus approfondi de la façon dont cela se joue dans les évaluations CMMC et sous BOD 26-04, consultez FedRAMP Équivalent vs. Autorisé : ce qui est en jeu et Pourquoi les revendications creuses d’équivalence FedRAMP mettent en péril la conformité CMMC.
Ce que CR26 a changé pour FedRAMP en 2026
FedRAMP a lancé les Consolidated Rules 2026 (CR26) en préversion publique le 4 mai 2026, avec une sortie finale prévue pour fin juin. Il s’agit du changement structurel le plus important pour le programme depuis sa création.
Le changement le plus profond concerne la manière dont les exigences sont formulées. FedRAMP a toujours été fondé sur des exigences précises, mais celles-ci résidaient dans des fichiers Word, des PDF et des tableurs que les évaluateurs et les fournisseurs interprétaient différemment — générant des incohérences entre les évaluations et allongeant les délais d’autorisation. CR26 remplace ce texte narratif par des énoncés déclaratifs MUST/MUST NOT publiés sous forme de données structurées et lisibles par machine sur GitHub. Les exigences sont désormais versionnées et interrogeables ; évaluateurs et fournisseurs ne peuvent plus diverger sur leur signification.
La structure des niveaux change également. Low/Moderate/High est remplacé par des classes A à D. La classe C est le niveau opérationnel pour la majorité des déploiements cloud fédéraux — elle correspond à l’ancien Moderate et couvre la majorité des systèmes traitant des CUI et des charges de travail des agences civiles. La classe D correspond à l’ancien High. La structure est cumulative : chaque classe inclut tous les contrôles de la classe précédente, plus des exigences supplémentaires.
Pour les organisations disposant déjà d’une autorisation FedRAMP Moderate, les contrôles ne changent pas fondamentalement — la tâche consiste à faire correspondre la documentation SSP actuelle à la structure de la classe C. Pour les organisations qui évaluent des fournisseurs, « autorisé classe C » est l’équivalent de ce qui était auparavant « FedRAMP Moderate Autorisé ».
Une implication à noter : le terme « FedRAMP équivalent » devient encore moins pertinent sous CR26. Il n’existe aucune voie d’équivalence dans le système de classes. Le Marketplace continue de lister Autorisé, En cours et Prêt — et rien d’autre.
Pour tous les détails sur CR26 et ce que cela signifie pour votre feuille de route d’autorisation, consultez FedRAMP CR26 : ce que cela signifie réellement pour votre autorisation.
Ce que signifient les niveaux d’autorisation FedRAMP pour votre organisation
Le niveau d’autorisation adapté dépend de la sensibilité des données concernées et de l’impact que causerait une violation.
FedRAMP Moderate (Classe C) couvre la majorité des cas d’usage cloud fédéraux — environ 80 % — impliquant des données sensibles mais non classifiées, pour lesquelles une violation causerait un préjudice grave. Cela inclut les CUI, les dossiers courants des agences, les données personnelles (PII), et la plupart des systèmes destinés aux sous-traitants traitant des données de chaîne d’approvisionnement, des schémas et des informations d’achat. C’est également le niveau d’autorisation exigé par DFARS 252.204-7012 pour les services cloud traitant des Covered Defense Information, et le socle sur lequel s’appuie CMMC 2.0 pour les sous-traitants de la défense.
FedRAMP High (Classe D) est réservé aux données non classifiées les plus sensibles du gouvernement — des systèmes où une compromission pourrait entraîner une perte de vies humaines, des menaces pour la sécurité nationale, ou des dommages catastrophiques. Cela inclut les services d’urgence, le renseignement des forces de l’ordre, les spécifications d’armements réglementées par l’ITAR, et les systèmes financiers de niveau national.
Pour les sous-traitants de la défense en particulier : DFARS 252.204-7012 exige que tout service cloud traitant des Covered Defense Information respecte les exigences FedRAMP Moderate. CMMC 2.0 étend cette exigence par une évaluation obligatoire par un tiers. Utiliser un fournisseur avec des revendications d’équivalence non vérifiées crée une faille de conformité qui se révèle lors de l’évaluation C3PAO — et dans le cadre de la Civil Cyber Fraud Initiative du DoD, les fausses déclarations en matière de cybersécurité exposent à des poursuites au titre du False Claims Act.
Pour les organisations réglementées du secteur privé — santé, services financiers, juridique — FedRAMP Moderate est devenu un référentiel de sécurité de facto, même en l’absence d’obligation fédérale. Le régime d’évaluation indépendante et de surveillance continue offre une assurance qu’aucune auto-déclaration ne peut reproduire.
Comment vérifier le statut FedRAMP d’un fournisseur
Trois étapes, dans l’ordre.
Vérifiez directement sur le Marketplace. Rendez-vous sur marketplace.fedramp.gov. Recherchez le fournisseur. Autorisé, En cours et Prêt sont les trois seules catégories existantes. Si le service du fournisseur n’apparaît pas sous Autorisé, il n’est pas FedRAMP autorisé — quoi que prétendent ses supports marketing.
Confirmez l’offre de service précise, pas seulement le nom de l’entreprise. Un fournisseur peut détenir une autorisation pour un service mais pas pour un autre. La fiche du Marketplace précise l’offre de service cloud spécifique, le niveau d’autorisation, l’agence habilitante et la date d’autorisation. Vérifiez que le service que vous évaluez est bien celui qui est référencé.
Demandez la documentation d’évaluation. Un fournisseur autorisé peut produire le Security Assessment Report, le System Security Plan actuel, et son dossier de surveillance continue. Un fournisseur revendiquant une équivalence en est généralement incapable. Si un fournisseur hésite à fournir la documentation qu’une évaluation 3PAO aurait générée, cette hésitation est en soi révélatrice.
L’approche de Kiteworks en matière de FedRAMP
Kiteworks détient l’autorisation FedRAMP Moderate — évaluée de manière indépendante par Coalfire et sous surveillance continue depuis juin 2017 — et a obtenu le statut FedRAMP High En cours pour son Secure Gov Cloud depuis février 2025.
L’autorisation Moderate couvre 325 contrôles NIST SP 800-53 Rev. 5 ciblant les CUI et les données à risque modéré sur l’ensemble des canaux d’échange de Kiteworks : e-mail sécurisé, partage de fichiers sécurisé, transfert de fichiers géré, SFTP, et formulaires web sécurisés. Le Secure Gov Cloud High En cours couvre 421 contrôles ciblant les données hautement sensibles et critiques — services d’urgence, forces de l’ordre et communications de défense réglementées par l’ITAR.
Distinctions clés au-delà du niveau d’autorisation lui-même : Kiteworks se soumet à un audit annuel rigoureux de plus de 300 contrôles pour maintenir son autorisation. Un chiffrement validé FIPS 140-3 est appliqué à l’ensemble des données au repos et en transit. Les clés de chiffrement appartenant au client font que Kiteworks est techniquement incapable de déchiffrer les données du client. Et pour les organisations engagées dans une démarche CMMC, l’héritage des contrôles FedRAMP Moderate réduit le périmètre des évaluations C3PAO — remplaçant des revendications de fournisseurs non vérifiées par des preuves documentées de façon indépendante.
Chez Kiteworks, l’autorisation n’est pas une étape ponctuelle. L’analyse mensuelle des vulnérabilités, la surveillance continue et la certification permanente des employés constituent le socle opérationnel, non des exceptions. Ce dossier continu est ce que les agences et sous-traitants peuvent invoquer lorsqu’ils doivent démontrer la posture de sécurité de leur fournisseur cloud — pas seulement au moment de l’achat, mais à tout moment durant le contrat.
Pour découvrir comment l’autorisation FedRAMP de Kiteworks s’applique à vos exigences de conformité spécifiques, consultez la page Autorisation FedRAMP de Kiteworks ou planifiez une démonstration personnalisée.
Questions fréquentes
FedRAMP autorisé a une définition fédérale précise : un 3PAO a évalué le service cloud de manière indépendante, un responsable fédéral habilité a examiné l’évaluation et délivré une Authority to Operate, et le service figure sur le FedRAMP Marketplace avec le statut Autorisé. FedRAMP conforme est une expression informelle, sans définition fédérale officielle. Un fournisseur qui se dit « FedRAMP conforme » peut détenir une autorisation ou simplement affirmer que ses pratiques de sécurité s’alignent sur les exigences de FedRAMP. Le seul moyen de le confirmer est de vérifier le statut Autorisé sur marketplace.fedramp.gov. Si le service n’y figure pas, le fournisseur n’est pas FedRAMP autorisé, quel que soit le vocabulaire employé.
« FedRAMP équivalent » est un terme marketing sans aucune valeur dans le processus d’autorisation fédéral. Il n’a aucune définition dans la norme NIST 800-53, aucune place dans le processus d’autorisation FedRAMP, et n’apparaît sur aucune liste du FedRAMP Marketplace. Ce terme est apparu parce que l’obtention d’une véritable autorisation FedRAMP Moderate nécessite généralement 12 à 24 mois et plusieurs millions de dollars — un obstacle que de nombreux petits fournisseurs ont choisi de contourner en qualifiant leur posture de sécurité d’« équivalente ». Une note du DoD de janvier 2024 a précisé qu’une revendication d’équivalence légitime au titre de DFARS 7012 exige l’implémentation à 100 % des contrôles FedRAMP Moderate, évalués par un 3PAO reconnu par FedRAMP — un niveau d’exigence que la plupart des fournisseurs utilisant ce terme n’ont pas atteint. Pour les sous-traitants de la défense utilisant une plateforme « équivalente » non vérifiée pour traiter des CUI, la faille de conformité se révèle lors de l’évaluation C3PAO. Consultez FedRAMP Moderate Equivalency : présentation, exigences et limites pour une analyse complète.
Les Consolidated Rules 2026 (CR26) de FedRAMP, lancées en mai 2026, ont remplacé la structure de niveaux Low/Moderate/High par un système de classes lettrées : Classe A à Classe D. La classe C est le niveau opérationnel pour la majorité des déploiements cloud fédéraux et correspond à l’ancien Moderate. La classe D correspond à l’ancien High. CR26 a également remplacé la documentation de conformité narrative par des exigences lisibles par machine, au format MUST/MUST NOT, publiées sur GitHub, éliminant les divergences d’interprétation entre évaluateurs et fournisseurs. Pour les organisations disposant déjà d’une autorisation Moderate, les contrôles sous-jacents ne changent pas de manière significative — la tâche consiste à faire correspondre la documentation actuelle à la structure de la classe C. Pour plus de détails, consultez FedRAMP CR26 : ce que cela signifie réellement pour votre autorisation.
Les sous-traitants de la défense n’ont pas besoin d’obtenir eux-mêmes une autorisation FedRAMP, mais DFARS 252.204-7012 exige que tout service cloud qu’ils utilisent pour stocker, traiter ou transmettre des Covered Defense Information respecte les exigences FedRAMP Moderate — soit par une véritable autorisation FedRAMP Moderate, soit par une équivalence réelle telle que définie par la note du DoD de janvier 2024. CMMC 2.0 s’appuie sur cette exigence et ajoute une évaluation obligatoire par un tiers via les C3PAO. Utiliser une plateforme autorisée FedRAMP Moderate constitue la voie la plus sûre : des contrôles validés de manière indépendante se transfèrent à votre programme de conformité par héritage documenté, réduisant le périmètre de l’évaluation C3PAO. Utiliser une plateforme « équivalente » non vérifiée crée une faille que les évaluateurs identifieront. Consultez la conformité CMMC de Kiteworks pour en savoir plus sur le fonctionnement concret de l’héritage d’autorisation.
Rendez-vous sur marketplace.fedramp.gov et recherchez le service du fournisseur. Le Marketplace répertorie trois catégories officielles — Autorisé, En cours et Prêt. Autorisé est le seul statut qui signifie qu’un responsable fédéral habilité a délivré une ATO. Vérifiez que l’offre de service précise que vous évaluez est bien celle qui est référencée, et pas seulement le nom de l’entreprise. Demandez ensuite au fournisseur son Security Assessment Report et son System Security Plan actuel — un fournisseur autorisé peut fournir les deux. Si un fournisseur ne peut pas ou ne veut pas fournir la documentation d’évaluation 3PAO, cette hésitation mérite d’être prise au sérieux.