X
+1-8774252624
+1-8774252624
Connexion
Control Center
Accéder à la plateforme Akamai
Cloud Manager
Gérez vos ressources cloud
Essayez Akamai
Victime d'une attaque ?
Connexion
Control Center
Accéder à la plateforme Akamai
Cloud Manager
Gérez vos ressources cloud

Qu'est-ce que la certification FedRAMP ?

Le Federal Risk and Authorization Management Program (FedRAMP)® (programme fédéral de gestion des autorisations et des risques) établit une approche standardisée pour l'évaluation, l'autorisation et la surveillance des services cloud pour le gouvernement fédéral des États-Unis. Tout fournisseur de services cloud (CSP) cherchant à travailler avec des organismes fédéraux américains doit être conforme à la norme FedRAMP et obtenir une certification pour ses solutions cloud afin de démontrer son respect des normes fédérales de sécurité dans le cloud.

Géré par le FedRAMP PMO (Program Management Office) au sein de l'administration des services généraux (GSA), ce programme met en œuvre les exigences imposées par l'Office of Management and Budget (OMB) des États-Unis pour protéger les systèmes d'information fédéraux dans le cloud. Les cybermenaces ciblant de plus en plus les environnements cloud, les organismes gouvernementaux doivent évaluer minutieusement la stratégie de sécurité de chaque CSP et les contrôles qui protègent les informations fédérales. 

Fondé en 2011, le programme FedRAMP sert de processus officiel pour l'émission d'autorisations de sécurité pour les technologies cloud afin de gérer les informations contrôlées non classifiées entre les agences fédérales.

Quel est l'historique et l'objectif de la certification FedRAMP ?

Avant la mise en œuvre de FedRAMP, les fournisseurs de cloud ont dû faire face à des défis importants lorsqu'ils travaillaient avec le gouvernement :

  • Chaque agence fédérale exigeait sa propre méthodologie d'évaluation de la sécurité pour les systèmes d'information.
  • Les normes de sécurité variaient de manière incohérente entre les services.
  • Les fournisseurs remplissaient des documents et évaluations redondants.
  • Les processus d'adoption du cloud étaient lents et coûteux.
  • La visibilité de la sécurité variait d'une agence à l'autre.

Le gouvernement américain a créé le programme FedRAMP pour résoudre ces problèmes en mettant en œuvre un cadre « faire une fois, utiliser plusieurs fois » qui normalise l'évaluation de la sécurité, l'autorisation et la surveillance continue. L'OMB a rendu obligatoire la conformité FedRAMP pour les déploiements cloud des agences fédérales en 2011, et cette approche a gagné en légitimité lorsque la loi FedRAMP Authorization Act a officiellement codifié le programme en 2022.

Comment obtenir la certification FedRAMP : exigences et processus

L'autorisation FedRAMP fait partie des certifications les plus rigoureuses au monde. Le processus suit une méthodologie détaillée basée sur les contrôles de sécurité du NIST (National Institute of Standards and Technology) SP 800-53 sur trois niveaux d'impact (IL) :

  • FedRAMP impact faible : pour les systèmes à faible tolérance au risque
  • FedRAMP impact modéré : pour une tolérance modérée au risque
  • FedRAMP impact élevé : pour les systèmes avec une tolérance au risque élevée

Quelles sont les étapes importantes de la certification FedRAMP ?

  1. Évaluation de la préparation : les organisations peuvent éventuellement effectuer une évaluation de la préparation FedRAMP pour évaluer leur préparation avant de commencer le processus formel.
  2. Développement du plan de sécurité du système (SSP) : documenter tous les contrôles de sécurité et les mises en œuvre du système d'information conformément aux directives du NIST.
  3. Mise en œuvre du contrôle de sécurité : configurer les systèmes pour répondre aux exigences de conformité FedRAMP, en mettant en œuvre des contrôles techniques, opérationnels et de gestion.
  4. Préparation du package de sécurité : compiler une documentation complète, y compris le SSP, le plan d'évaluation de la sécurité et les artefacts à examiner.
  5. Évaluation 3PAO : tests indépendants réalisés par une organisation d'évaluation tierce pour vérifier que les contrôles de sécurité sont correctement mis en œuvre et fonctionnent.
  6. Création de plans d'action et d'étapes clés : élaborer des plans d'action et des étapes clés pour tous les problèmes identifiés, en établissant des délais pour les activités de résolution.
  7. Autorisation de sécurité : depuis août 2024, le programme FedRAMP a consolidé les chemins d'autorisation : les CSP peuvent soumettre un package de sécurité FedRAMP Ready directement ou par l'intermédiaire d'agences sponsors pour obtenir le statut autorisé FedRAMP.
  8. Surveillance continue : mettre en œuvre des évaluations et des rapports de sécurité continus grâce à des outils de surveillance automatisés et à une vérification régulière de la conformité.

Le PMO FedRAMP fournit des conseils tout au long de ce processus, en proposant des modèles, des ressources de documentation et des clarifications sur les exigences pour aider les organisations à atteindre le statut de conformité FedRAMP pour leurs solutions cloud.

Quelles sont les exigences de sécurité FedRAMP et DoD Cloud Computing ?

Le Département de la Défense (DoD, Department of Defense) s'appuie sur FedRAMP avec des exigences supplémentaires dans le Guide des exigences de sécurité du cloud computing (CC SRG), établissant les niveaux d'impact (IL) du DoD pour la sécurité du cloud :

  • IL2 : Informations non contrôlées et non classifiées
  • IL4 : Informations non classifiées contrôlées (CUI)
  • IL5 : CUI critiques nécessitant une protection renforcée
  • IL6 : Informations classifiées jusqu'au niveau SECRET

La relation entre ces structures démontre une approche standardisée de la sécurité :

  • FedRAMP modéré = IL2
  • FedRAMP élevé + contrôles spécifiques DoD = IL4/IL5
  • FedRAMP élevé + contrôles supplémentaires étendus = IL6

Quels sont les avantages de la certification FedRAMP pour le gouvernement et l'industrie ?

Avantages pour les organismes gouvernementaux :

  • Réduction du risque de violation de la sécurité grâce à une méthodologie d'évaluation standardisée
  • Gains de temps et de ressources grâce aux autorisations de sécurité existantes
  • Normes de sécurité cohérentes dans tous les déploiements cloud
  • Amélioration de la sécurité grâce à une surveillance continue
  • Approvisionnement plus rapide de technologies cloud sécurisées grâce aux véhicules d'acquisition GSA
  • Surveillance continue de la sécurité et de la conformité grâce à des outils automatisés

Avantages pour les fournisseurs de services cloud :

  • Processus de certification rationalisé : une seule certification, plusieurs utilisations
  • Élargissement de l'accès au marché fédéral par le biais des contrats GSA Schedule
  • Renforcement de la crédibilité et du positionnement en matière de sécurité
  • Amélioration de la sécurité globale grâce à une évaluation complète
  • Fiabilité accrue du secteur privé
  • Visibilité sur le Marketplace FedRAMP

Ressources FedRAMP.gov

Foire aux questions

Oui, l'autorisation FedRAMP est obligatoire pour tous les services cloud utilisés par les agences fédérales, conformément aux instructions de l'OMB.

Le FISMA (Federal information Security Modernization Act) établit des politiques fédérales de sécurité des informations globales, tandis que FedRAMP met en œuvre ces exigences spécifiquement pour les services cloud et les systèmes d'information.

FedRAMP élevé constitue la base du DoD IL5, mais IL5 inclut des contrôles supplémentaires spécifiques à la défense pour les informations stratégiques qui pourraient avoir un impact sur la sécurité nationale si elles sont compromises.

Pourquoi les clients choisissent-ils Akamai ?

Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège l'activité en ligne. Nos solutions de sécurité leaders du marché, nos informations avancées sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises du monde entier.

Articles de blog associés

L'attaque DDoS « PhoneHome » : tout ce que vous devez savoir
Une vulnérabilité dans la suite de collaboration d'entreprise MiCollab de la société de télécommunications Mitel a été exploitée pour des attaques par déni de service distribué (DDoS) avec un potentiel d'amplification sans précédent.
En savoir plus
Votre compagnie aérienne peut garder une longueur d'avance sur les cybercriminels qui cherchent à accéder à des données sensibles.
Votre compagnie aérienne peut garder une longueur d'avance sur les cybercriminels qui cherchent à accéder à des données sensibles.
Pourquoi les compagnies aériennes sont-elles une cible privilégiée des cyberattaques ?
Les compagnies aériennes sont des cibles de choix pour les cyberattaques. Voici comment elles peuvent améliorer leur stratégie de cybersécurité face à l'augmentation des menaces.
En savoir plus
Les mises en œuvre de l'IA reposent sur des capacités réelles qui ont fait partie de notre parcours d'innovation.
Les mises en œuvre de l'IA reposent sur des capacités réelles qui ont fait partie de notre parcours d'innovation.
Mise en œuvre stratégique et transparente de l'IA par Akamai
Découvrez comment Akamai évalue et adopte stratégiquement des innovations en matière d'IA pour exploiter leur potentiel de manière sûre et efficace.
En savoir plus

Découvrez toutes les solutions de sécurité d'Akamai

Commencez votre essai gratuit et découvrez vous-même les bénéfices de la plateforme de diffusion cloud la plus étendue et fiable au monde.

Découvrir