Quelle est la différence entre FISMA et FedRAMP ?
Pour fournir des services cloud au gouvernement, il est important de comprendre les normes de conformité de l'informatique fédérale adoptées par le gouvernement.
Avec sa politique du cloud d'abord, le gouvernement américain s'est engagé à accorder aux agences un pouvoir plus large pour adopter des services basés sur le cloud disponibles dans le commerce. Les principaux moteurs de cette adoption sont l'amélioration du retour sur investissement, ou ROI, pour les investissements dans l'infrastructure informatique des agences, le renforcement de la sécurité informatique du gouvernement et la fourniture de services de meilleure qualité au peuple américain.
Selon Gartner, à la mi-2018, près la moitié des organisations gouvernementales utilisaient déjà activement des services cloud. L'adoption est en hausse, les offres de cloud hybride et de multi-cloud prenant de plus en plus d'importance. Si vous envisagez de fournir des services cloud au gouvernement, il est plus important que jamais de comprendre fondamentalement les normes de conformité informatique fédérales adoptées par le gouvernement. Deux importants mandats de conformité liés à la sécurité informatique dont on parle beaucoup lorsqu'on évoque l'infrastructure informatique fédérale sont FISMA et FedRAMP.
FISMA et FedRAMP poursuivent les mêmes objectifs de haut niveau, à savoir la protection des données gouvernementales et la réduction des risques liés à la sécurité de l'information au sein des systèmes d'information fédéraux. Tous deux reposent également sur les contrôles de la publication spéciale 800-53A du NIST. Cependant, il existe une différence marquée entre les deux en termes de politique fédérale, de contrôles de sécurité et d'autorisation.
Qu'est-ce que FISMA ?
Promulguée en 2002, la loi FISMA (Federal Information Security Management Act) couvre les paramètres de conformité relatifs au stockage et au traitement des données gouvernementales. Elle exige des agences fédérales et de leurs fournisseurs du secteur privé qu'ils mettent en œuvre des contrôles de sécurité de l'information qui garantissent la protection des données des systèmes d'information fédéraux. Toutes les entreprises du secteur privé qui vendent des services au gouvernement fédéral doivent se conformer aux exigences de la FISMA.
Le cadre principal pour la conformité FISMA est NIST SP 800-53. En d'autres termes, pour que les vendeurs soient conformes à la FISMA, ils doivent mettre en œuvre les contrôles de sécurité de l'information recommandés pour les systèmes d'information fédéraux, tels qu'ils sont définis dans le document NIST SP 800-53. Les évaluations FISMA se concentrent traditionnellement sur les systèmes d'information qui soutiennent une seule agence.
Les fournisseurs conformes à la FISMA ne reçoivent l'autorisation d'opérer, ou ATO, que de la part de l'agence fédérale avec laquelle ils travaillent. Si un vendeur a des contrats commerciaux avec plusieurs agences fédérales, il doit obtenir l'ATO de chaque agence car les contrôles de sécurité peuvent différer en fonction des besoins spécifiques de chaque agence en matière de sécurité des données.
Parlons de FedRAMP
En promulguant FedRAMP, le gouvernement visait à faciliter le processus d'approvisionnement des fournisseurs de services cloud pour les agences. Au niveau le plus élémentaire, FedRAMP vise plus particulièrement les fournisseurs de services cloud. Les systèmes évalués dans le cadre de FedRAMP pour être utilisés par les agences gouvernementales sont des systèmes commerciaux basés sur le cloud (par exemple, IaaS, PaaS, SaaS) utilisés par des entreprises du secteur privé.
Les systèmes d'information évalués dans le cadre de FISMA ou de FedRAMP sont classés, conformément à FIPS 199, dans les catégories "élevé", "modéré" ou "faible" sur la base de quelques critères différents. Ensuite, sur la base de la catégorisation de la sécurité, les contrôles de sécurité applicables du NIST SP 800-53 sont appliqués au système d'information selon qu'ils ont un impact élevé, modéré ou faible. Les exigences du FedRAMP comprennent des contrôles supplémentaires par rapport aux contrôles de base standard du NIST SP 800-53 Revision 4. Ces contrôles supplémentaires portent sur les éléments uniques du cloud computing afin de garantir que toutes les données fédérales sont sécurisées dans les environnements cloud.
Les agences fédérales savent qu'un service basé sur le cloud peut être utilisé en toute sécurité une fois qu'il a obtenu le sceau d'approbation FedRAMP, et contrairement à FISMA, FedRAMP ATO qualifie un fournisseur de services cloud pour faire des affaires avec n'importe quelle agence fédérale.
En raison de son champ d'application plus large, le processus de certification FedRAMP est également beaucoup plus rigoureux. Le programme d'autorisation exige que les fournisseurs de cloud se soumettent à une évaluation de sécurité indépendante menée par une organisation d'évaluation tierce, ou 3PAO, pour vendre des services de cloud gouvernementaux aux agences fédérales.
Conclusion
Les agences fédérales qui recherchent un produit ou un service conforme à FedRAMP s'attendront probablement aussi à ce qu'il soit conforme à FISMA. Les fournisseurs de services cloud doivent se conformer aux réglementations FISMA et FedRAMP pour conserver une ATO du gouvernement américain.
Les administrations nationales et fédérales du monde entier comptent sur Palo Alto Networks pour prévenir les cyberattaques réussies, protéger les données classifiées et sensibles et optimiser les opérations de sécurité.
