FedRAMP

Le gouvernement fédéral américain a créé le FedRAMP (Federal Risk and Authorization Management Program), un programme à l'échelle gouvernementale qui offre une approche standardisée de la sécurité et des risques en termes d'évaluation, d'autorisation et de surveillance continue pour les produits et services cloud. Tous les déploiements et modèles de services cloud des organismes fédéraux, autres que certains clouds privés sur site, doivent répondre aux exigences FedRAMP au niveau d'impact approprié (faible, modéré ou élevé).

Il existe deux approches à l'obtention d'une autorisation FedRAMP, une autorisation provisoire obtenue par le biais du Joint Authorization Board (JAB) ou une autorisation obtenue via un organisme. Dans ce dernier cas, les organismes peuvent travailler directement avec un fournisseur de services cloud (CSP) à tout moment. Les CSP qui prennent la décision métier de travailler directement avec un organisme pour obtenir une autorisation d'exploitation (ATO) travailleront avec cet organisme tout au long du processus d'autorisation FedRAMP.

Les deux approches nécessitent une évaluation par un organisme d'évaluation tiers indépendant (3PAO) qui est accrédité par le programme, ainsi qu'un examen technique strict par le FedRAMP Program Management Office (PMO).

Le FedRAMP repose sur la norme SP 800-53 Rev. 4 du National Institute of Standards and Technology (NIST), à laquelle s'ajoutent des contrôles et des renforcements de contrôle propres au FedRAMP. Les autorisations du FedRAMP sont accordées à trois niveaux d'impact (faible, moyen et élevé) sur la base de la catégorisation de sécurité FIPS 199 du NIST. Ces niveaux évaluent l'impact que la perte de confidentialité, d'intégrité ou de disponibilité pourrait avoir sur une organisation : faible (effet négatif limité), modéré (effet négatif important) et élevé (effet négatif grave ou catastrophique).