L’autorisation FedRAMP
FedRAMP : niveau maximum de la protection et du contrôle des données sensibles
FedRAMP, ou Federal Risk and Authorization Management Program, est un dispositif mis en place à l’échelle du gouvernement pour évaluer et approuver l’utilisation des fournisseurs de services cloud par les agences fédérales. Il a été créé suite à la multiplication des services cloud utilisés par le gouvernement, afin de garantir la sécurité des services IT. FedRAMP définit un standard de la sécurité IT dans le cloud dans toutes les agences. La certification FedRAMP, ou autorisation, est exigée pour toute organisation souhaitant travailler avec le gouvernement fédéral. Elle atteste que les fournisseurs de services cloud (CSP) répondent à des exigences de sécurité strictes, mettent en œuvre une surveillance continue et se conforment aux réglementations fédérales.
Les entreprises du secteur privé choisissent de plus en plus des solutions de partage de fichiers autorisées par FedRAMP, car elles respectent les normes de sécurité les plus strictes en matière de protection des données. Avec une solution autorisée par FedRAMP, les entreprises ont la garantie que leurs données sont à l’abri de toute menace potentielle. Le réseau de contenu privé Kiteworks est autorisé par FedRAMP pour les informations de niveau d’impact modéré. Par conséquent, Kiteworks permet à de nombreuses agences fédérales d’envoyer, de partager, de recevoir et de stocker des informations non classifiées contrôlées sensibles (CUI) et des informations de contrats fédéraux (FCI). Les entreprises du secteur privé utilisent également l’autorisation FedRAMP de Kiteworks pour protéger leurs contenus les plus confidentiels, qu’ils soient partagés par email, partage de fichiers, transfert de fichiers géré ou SFTP. La plateforme Kiteworks autorisée par FedRAMP est la solution idéale pour garder le contrôle et la visibilité de ses données, car les contenus sensibles ne sont accessibles qu’aux seuls utilisateurs autorisés.
La sécurité FedRAMP : la protection maximale de vos contenus les plus sensibles
Le FedRAMP de Kiteworks est déployé sur un cloud privé virtuel dans AWS pour l’ensemble du traitement. Il dispose d’un serveur dédié, isolé de tous les autres clients sur Amazon Cloud. La location unique permet aux organisations d’avoir la propriété exclusive de la clé de chiffrement et de bénéficier d’un stockage et d’un transfert de fichiers entièrement chiffrés ; ni Kiteworks, ni AWS, ni les autorités n’ont accès au contenu. Conformément aux exigences de FedRAMP, Kiteworks est géré par des citoyens américains aux États-Unis et doit renouveler sa certification FedRAMP chaque année.
La maintenance FedRAMP : des tests en continu pour garantir le plus haut niveau de sécurité
L’autorisation FedRAMP est loin d’être une contrainte réglementaire ponctuelle. Kiteworks réalise des audits très poussés au niveau de son personnel, de ses services informatiques et de ses installations matérielles (400 contrôles annuels au total) afin de rester conforme FedRAMP. Entre les audits, l’équipe en charge de la sécurité de Kiteworks surveille en permanence et analyse les vulnérabilités pour tester et garantir la stabilité de la plateforme. Cela implique une documentation complète des processus de sécurité, des évaluations des systèmes connexes, des actions correctives et planifiées, et un suivi des interventions. Enfin, les salariés de Kiteworks participant à l’autorisation FedRAMP sont formés et certifiés en continu pour se maintenir à jour par rapport aux exigences actuelles.
Les avantages de FedRAMP : avantage concurrentiel et bien plus encore
L’autorisation FedRAMP est bien plus qu’une certification ou une exigence de conformité. Alors que les agences gouvernementales sont obligées de passer par un fournisseur de services cloud (CSP) autorisé par FedRAMP, le secteur privé considère qu’une solution de partage de fichiers autorisée par FedRAMP est une bonne pratique pour protéger les informations confidentielles. Les entreprises qui choisissent une solution autorisée par FedRAMP bénéficient en réalité d’un avantage concurrentiel indéniable. Pourquoi ? Parce qu’en utilisant une solution autorisée par FedRAMP pour partager des contenus sensibles, les entreprises démontrent à leurs interlocuteurs (clients, partenaires, salariés et décisionnaires) que la sécurité des contenus est une priorité absolue. Autres avantages, le partage de fichiers autorisé par FedRAMP — comme Kiteworks — répond également aux normes NIST 800-171, ITAR, RGPD, SOC 2 (SSAE-16), FISMA, FIPS 140-2 et EAR.
Questions Fréquemment Posées
L’autorisation FedRAMP est un programme d’évaluation de la sécurité et d’autorisation créé par le gouvernement américain pour s’assurer que les fournisseurs de services cloud (CSP) répondent à des normes de sécurité spécifiques. FedRAMP est l’acronyme de Federal Risk and Authorization Management Program (Programme fédéral de gestion des risques et des autorisations). Ce programme a été créé pour uniformiser le processus d’évaluation, d’autorisation et de contrôle des fournisseurs de services cloud par les agences fédérales.
Tout fournisseur de services cloud qui souhaite travailler pour des agences ou des départements fédéraux doit se soumettre à la procédure d’autorisation FedRAMP. Cela inclut les fournisseurs d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de logiciel en tant que service (SaaS). Tous les fournisseurs de services cloud qui souhaitent offrir des services aux agences ou départements fédéraux doivent passer par la procédure d’autorisation FedRAMP. Ils peuvent obtenir cette autorisation par différents moyens : autorisation de l’agence, l’autorisation JAB et l’autorisation de niveau d’impact du DoD. Le fait de ne pas obtenir d’autorisation peut entraîner la perte de contrats gouvernementaux.
L’autorisation FedRAMP est un processus en plusieurs étapes qui comprend l’évaluation de la sécurité, la documentation et l’autorisation. Les trois étapes doivent être achevées pour obtenir l’autorisation FedRAMP. Voici les trois informations les plus importantes concernant la procédure d’autorisation FedRAMP :
- L’étape d’évaluation de la sécurité FedRAMP implique le développement d’un plan de sécurité du système (SSP). Il s’agit de documenter la politique de sécurité de l’organisation en décrivant tous les composants du système et la mise en œuvre des contrôles de sécurité pour chacun d’entre eux.
- L’étape d’évaluation de la sécurité implique un organisme tiers d’évaluation (3PAO) qui effectue une évaluation approfondie des contrôles et des systèmes de sécurité du fournisseur de services cloud.
- L’étape de documentation implique que le fournisseur de services cloud soumette une documentation détaillée au bureau de gestion du programme FedRAMP (PMO) afin de démontrer la conformité aux normes de sécurité FedRAMP. Enfin, l’étape d’autorisation implique que le gouvernement autorise le fournisseur de services cloud à fournir des services aux agences fédérales.
L’autorisation FedRAMP rationalise l’offre de services des fournisseurs de services cloud auprès des agences fédérales, ce qui permet d’éviter les doublons et d’améliorer les possibilités de commercialisation. L’autorisation FedRAMP renforce également la confiance des agences fédérales dans la sécurité des services cloud et réduit le risque de violation des données. L’autorisation FedRAMP garantit une approche cohérente et rentable de l’évaluation de la sécurité et de l’autorisation des fournisseurs de services cloud. Enfin, elle procure aux fournisseurs de services cloud un avantage concurrentiel sur le marché, car ils ont démontré qu’ils ont mis en place un processus de sécurité et de gouvernance rigoureux pour protéger les informations du gouvernement américain.
Un organisme tiers d’évaluation (3PAO) joue un rôle clé dans la procédure d’autorisation FedRAMP. Il est chargé d’évaluation de façon objective les contrôles et systèmes de sécurité du fournisseur de services cloud afin de déterminer s’ils répondent aux normes de sécurité du FedRAMP. Il fournit ensuite son rapport au Joint Authorization Board (JAB) qui examine le dossier d’évaluation de la sécurité et la recommandation du 3PAO afin de déterminer si le CSP répond aux exigences minimales de sécurité de FedRAMP.