Mise en œuvre du FedRAMP

Le Programme fédéral de gestion des risques et des autorisations (FedRAMP, Federal Risk and Authorization Management Program) est une initiative du gouvernement américain qui fournit un processus normalisé pour évaluer, autoriser et surveiller en permanence la sécurité des produits et services cloud utilisés par les agences fédérales. Son objectif est de garantir que les solutions cloud utilisées par les agences fédérales américaines répondent à des normes de sécurité rigoureuses et cohérentes, offrant ainsi une aide pour protéger les données gouvernementales sensibles stockées dans le cloud.

Défis liés à la mise en œuvre des exigences FedRAMP SSP, POAM et OSCAL

Les fournisseurs de services cloud (CSP) qui souhaitent servir les agences fédérales américaines via l’autorisation FedRAMP se heurtent à plusieurs obstacles importants. Ces défis sont dus aux normes de sécurité strictes du programme, à la complexité du processus d’autorisation et à la condition requise de conformité continue.

  • Charge documentaire importante

    • Les rapports SSP (System Security Plan, plan de sécurité du système) et POAM (Plan of Action and Milestones, plan d’action et d’étapes clés) sont volumineux et détaillés, et nécessitent des centaines de points de données répartis dans plusieurs sections et contrôles.

    • La mise à jour manuelle de ces documents prend beaucoup de temps et est source d’erreurs, en particulier lors des cycles mensuels (POAM) ou d’autorisation (SSP).

  • Fragmentation des données entre les outils et les équipes

    • Les données sur les vulnérabilités proviennent d’analyses de sécurité, de rapports d’évaluation de la sécurité (SAR), de conclusions manuelles et de questionnaires.

    • Chaque source utilise des formats, une terminologie et une structure différents, ce qui rend difficile la consolidation et la normalisation des données pour la génération de rapports.

  • Manque de normalisation des analyses de sécurité

    • Les CSP doivent effectuer au moins trois types d’analyses de sécurité, souvent à l’aide d’outils provenant de différents fournisseurs tels que Tenable, Rapid7 et Qualys.

    • Ces analyses génèrent des fichiers CSV dont les noms de colonnes et les structures sont incohérents, ce qui nécessite un mappage personnalisé pour chaque fournisseur.

  • Risques liés à la saisie manuelle des données et à la duplication

    Sans automatisation, les équipes copient et collent manuellement les données dans des modèles FedRAMP, ce qui augmente le risque d’erreurs humaines, de duplication des vulnérabilités et d’enregistrements incomplets.

  • Suivi complexe de la mise en œuvre des contrôles

    • Chaque contrôle FedRAMP nécessite des preuves détaillées de mise en œuvre, des revues générales et des métadonnées.

    • Le suivi de centaines de contrôles et la garantie de leur exhaustivité constituent un défi opérationnel important.

  • Conformité continue et génération de rapports mensuels

    • Le rapport POAM doit être soumis chaque mois, ce qui nécessite un suivi précis des vulnérabilités et du statut de la remédiation.

    • Les CSP doivent tenir à jour un inventaire des vulnérabilités et garantir des mises à jour et des exportations en temps opportun.

  • Exigences de format OSCAL

    • FedRAMP impose de plus en plus des formats lisibles par machine tels que l’OSCAL (Open Security Control Assessment Language), ce qui ajoute à la complexité du processus d’exportation.

    • Les CSP doivent s’assurer que leurs données sont correctement structurées pour répondre aux exigences du schéma OSCAL.

  • Coordination entre les équipes de sécurité et de conformité

    • L’élaboration de la documentation FedRAMP nécessite la contribution de plusieurs parties prenantes : les équipes de sécurité pour les données d’analyse, les équipes de conformité pour les plans de remédiation et les responsables de projet pour les revues générales.

    • Assurer la collaboration et la responsabilisation entre les équipes est essentiel, mais difficile.

Personnes impliquées dans la mise en œuvre de FedRAMP

Les personnes impliquées dans la mise en œuvre de FedRAMP sont les suivantes :

  • CSP et cabinet de conseil FedRAMP

  • Organisme d’évaluation tiers (3PAO)

  • Professionnels de la sécurité et de la conformité

  • Agences fédérales et de parrainage

  • Comité d’autorisation conjoint (JAB)

  • Organismes d’évaluation tiers (3PAO)

Guides solution FedRAMP

Mise en œuvre de FedRAMP, SSP, POAM et du kit de ressources de reporting OSCAL

Configurez le kit de ressources FedRAMP pour automatiser les rapports SSP, POAM et OSCAL.

Mise en œuvre du flux de travail SSP

Utilisez le robot d’automatisation SSP pour créer et exporter votre plan de sécurité du système.

Mise en œuvre du flux de travail POAM

Exécutez les robots POAM pour collecter, examiner et exporter les données de vulnérabilité.