Vue d'ensemble de FedRAMP et pourquoi vous devriez vous en préoccuper
En 2017, la Maison Blanche a signé un ordre exécutif visant à renforcer la cybersécurité des réseaux fédéraux et des infrastructures critiques. Avec cette directive, combinée à la Modernizing Government Technology Act, les agences fédérales américaines se concentrent sur la modernisation de leur infrastructure informatique tout en faisant de la sécurité une priorité absolue. Un élément clé de cette modernisation est l'accélération de l'adoption de services sécurisés et basés sur le cloud. Le programme fédéral de gestion des risques et des autorisations, ou FedRAMP, a été conçu comme un moyen de minimiser les risques de cybersécurité pour les agences fédérales lors de leur passage au cloud.
FedRAMP prescrit une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance constante pour l'utilisation par les agences gouvernementales américaines de produits et services basés sur le cloud. Les agences fédérales dépendent de ce programme pour protéger la confidentialité et l'intégrité de leurs données lorsqu'elles adoptent des technologies de sécurité, d'infrastructure ou de plateforme en tant que service du secteur privé, abrégées respectivement SaaS, IaaS et PaaS. Les fournisseurs de services cloud - ce que le programme appelle les fournisseurs de services cloud, ou CSP - suivent des chemins prescrits pour obtenir la certification. Les organisations d'évaluation tierces effectuent des évaluations approfondies tandis que le bureau de gestion du programme FedRAMP offre une supervision et des conseils en plus d'examiner les soumissions et de prendre des décisions d'autorisation.
Avantages de FedRAMP pour les agences fédérales
Le programme offre un cadre normalisé, "faire une fois, utiliser plusieurs fois", qui permet aux agences fédérales d'économiser du temps, des efforts et de l'argent lors de l'évaluation de la sécurité. Dans le même temps, les agences gardent le contrôle du niveau de risque de cybersécurité qu'elles sont prêtes à accepter pour un service cloud particulier. Les agences peuvent évaluer les progiciels de soumission des fournisseurs de cloud autorisés et décider elles-mêmes si le niveau de risque est acceptable pour leurs besoins ou si elles souhaitent apporter des modifications.
Autres parties susceptibles d'être intéressées par FedRAMP
Un service cloud autorisé par FedRAMP a une applicabilité au-delà des agences fédérales, y compris les gouvernements étatiques et locaux ainsi que les entreprises qui font des affaires avec les agences fédérales, qui ont des exigences similaires autour de la sécurité des données et de la cybersécurité. De plus, elles ont souvent des objectifs similaires : simplifier les opérations, réduire les frais généraux opérationnels et améliorer l'agilité en déplaçant les services vers le cloud. Un service cloud qui reçoit l'autorisation FedRAMP a répondu à des critères rigoureux en matière de normes de sécurité, et le secteur public au sens large et les entreprises affiliées au secteur public peuvent en toute confiance profiter d'un tel service, sachant qu'il s'agit d'une alternative sécurisée à l'utilisation de leurs propres ressources pour gérer et déployer l'infrastructure.
Plus d'informations
Vous trouverez FAQs et des conseils détaillés pour les agences, les fournisseurs de services cloud et les organisations d'évaluation tierces sur le site web du FedRAMP. Pour plus d'informations sur Palo Alto Networks® et FedRAMP, lisez notre annonce ou visitez la page Palo Alto Networks Government.
