Quelle est la différence entre FISMA et FedRAMP ?
Pour fournir des services cloud au gouvernement, il est important de comprendre les normes de conformité de l'informatique fédérale adoptées par le gouvernement.
Avec sa politique du cloud d'abord, le gouvernement américain s'est engagé à accorder aux agences un pouvoir plus large pour adopter des services basés sur le cloud disponibles dans le commerce. Les principaux moteurs de cette adoption sont l'amélioration du retour sur investissement, ou ROI, pour les investissements dans l'infrastructure informatique des agences, le renforcement de la sécurité informatique du gouvernement et la fourniture de services de meilleure qualité au peuple américain.
Selon Gartner, à la mi-2018, prÚs la moitié des organisations gouvernementales utilisaient déjà activement des services cloud. L'adoption est en hausse, les offres de cloud hybride et de multi-cloud prenant de plus en plus d'importance. Si vous envisagez de fournir des services cloud au gouvernement, il est plus important que jamais de comprendre fondamentalement les normes de conformité informatique fédérales adoptées par le gouvernement. Deux importants mandats de conformité liés à la sécurité informatique dont on parle beaucoup lorsqu'on évoque l'infrastructure informatique fédérale sont FISMA et FedRAMP.
FISMA et FedRAMP poursuivent les mĂȘmes objectifs de haut niveau, Ă savoir la protection des donnĂ©es gouvernementales et la rĂ©duction des risques liĂ©s Ă la sĂ©curitĂ© de l'information au sein des systĂšmes d'information fĂ©dĂ©raux. Tous deux reposent Ă©galement sur les contrĂŽles de la publication spĂ©ciale 800-53A du NIST. Cependant, il existe une diffĂ©rence marquĂ©e entre les deux en termes de politique fĂ©dĂ©rale, de contrĂŽles de sĂ©curitĂ© et d'autorisation.
Qu'est-ce que FISMA ?
PromulguĂ©e en 2002, la loi FISMA (Federal Information Security Management Act) couvre les paramĂštres de conformitĂ© relatifs au stockage et au traitement des donnĂ©es gouvernementales. Elle exige des agences fĂ©dĂ©rales et de leurs fournisseurs du secteur privĂ© qu'ils mettent en Ćuvre des contrĂŽles de sĂ©curitĂ© de l'information qui garantissent la protection des donnĂ©es des systĂšmes d'information fĂ©dĂ©raux. Toutes les entreprises du secteur privĂ© qui vendent des services au gouvernement fĂ©dĂ©ral doivent se conformer aux exigences de la FISMA.
Le cadre principal pour la conformitĂ© FISMA est NIST SP 800-53. En d'autres termes, pour que les vendeurs soient conformes Ă la FISMA, ils doivent mettre en Ćuvre les contrĂŽles de sĂ©curitĂ© de l'information recommandĂ©s pour les systĂšmes d'information fĂ©dĂ©raux, tels qu'ils sont dĂ©finis dans le document NIST SP 800-53. Les Ă©valuations FISMA se concentrent traditionnellement sur les systĂšmes d'information qui soutiennent une seule agence.
Les fournisseurs conformes à la FISMA ne reçoivent l'autorisation d'opérer, ou ATO, que de la part de l'agence fédérale avec laquelle ils travaillent. Si un vendeur a des contrats commerciaux avec plusieurs agences fédérales, il doit obtenir l'ATO de chaque agence car les contrÎles de sécurité peuvent différer en fonction des besoins spécifiques de chaque agence en matiÚre de sécurité des données.
Parlons de FedRAMP
En promulguant FedRAMP, le gouvernement visait Ă faciliter le processus d'approvisionnement des fournisseurs de services cloud pour les agences. Au niveau le plus Ă©lĂ©mentaire, FedRAMP vise plus particuliĂšrement les fournisseurs de services cloud. Les systĂšmes Ă©valuĂ©s dans le cadre de FedRAMP pour ĂȘtre utilisĂ©s par les agences gouvernementales sont des systĂšmes commerciaux basĂ©s sur le cloud (par exemple, IaaS, PaaS, SaaS) utilisĂ©s par des entreprises du secteur privĂ©.
Les systÚmes d'information évalués dans le cadre de FISMA ou de FedRAMP sont classés, conformément à FIPS 199, dans les catégories "élevé", "modéré" ou "faible" sur la base de quelques critÚres différents. Ensuite, sur la base de la catégorisation de la sécurité, les contrÎles de sécurité applicables du NIST SP 800-53 sont appliqués au systÚme d'information selon qu'ils ont un impact élevé, modéré ou faible. Les exigences du FedRAMP comprennent des contrÎles supplémentaires par rapport aux contrÎles de base standard du NIST SP 800-53 Revision 4. Ces contrÎles supplémentaires portent sur les éléments uniques du cloud computing afin de garantir que toutes les données fédérales sont sécurisées dans les environnements cloud.
Les agences fĂ©dĂ©rales savent qu'un service basĂ© sur le cloud peut ĂȘtre utilisĂ© en toute sĂ©curitĂ© une fois qu'il a obtenu le sceau d'approbation FedRAMP, et contrairement Ă FISMA, FedRAMP ATO qualifie un fournisseur de services cloud pour faire des affaires avec n'importe quelle agence fĂ©dĂ©rale.
En raison de son champ d'application plus large, le processus de certification FedRAMP est également beaucoup plus rigoureux. Le programme d'autorisation exige que les fournisseurs de cloud se soumettent à une évaluation de sécurité indépendante menée par une organisation d'évaluation tierce, ou 3PAO, pour vendre des services de cloud gouvernementaux aux agences fédérales.
Conclusion
Les agences fédérales qui recherchent un produit ou un service conforme à FedRAMP s'attendront probablement aussi à ce qu'il soit conforme à FISMA. Les fournisseurs de services cloud doivent se conformer aux réglementations FISMA et FedRAMP pour conserver une ATO du gouvernement américain.
Les administrations nationales et fédérales du monde entier comptent sur Palo Alto Networks pour prévenir les cyberattaques réussies, protéger les données classifiées et sensibles et optimiser les opérations de sécurité.
