Conformité FedRAMP et FISMA
Rester en sécurité en ligne n’est plus aussi simple qu’avant. De nouveaux services comme le cloud computing ont révélé des vulnérabilités qui nécessitent une gestion méticuleuse. Les agences fédérales ne sont pas étrangères aux défis liés à la protection des données. Dans le but d'aider les agences fédérales à gérer les risques liés au cloud computing, le gouvernement américain a mis en placeFedRAMPetFISMA.
Contenu [ cacher ]
- Qu’est-ce que FedRAMP ?
- Exigences de conformité FedRAMP
- Qu'est-ce que la FISMA
- Exigences de conformité FISMA
- FedRAMP vs FISMA : les similitudes
- Différences FedRAMP et FISMA
- FedRamp et FISMA : les deux faces de la médaille de la conformité à la réglementation fédérale
Qu’est-ce que FedRAMP ?
FedRAMPou laProgramme fédéral de gestion des risques et des autorisationsest un programme d'évaluation des risques organisé par la General Services Administration (GSA) qui décrit comment les services cloud doivent être évalués pour la sécurité.
Le gouvernement a publié FedRAMP pour soutenir la politique Cloud First de 2011 afin d'aider les agences à assurer la sécurité des services cloud. Aujourd'hui, les agences fédérales utilisent FedRAMP pour évaluer si les fournisseurs de services cloud répondent aux exigences de sécurité et pour vérifier si les fournisseurs sont conformes à la loi fédérale.
Les agences sont évaluées parOrganismes d’évaluation tiers(3PAO) qui ont été accrédités mais par l'American Association of Laboratory Accreditations (A2LA). Les fournisseurs de cloud deviennent agréés FedRAMP afin que les institutions fédérales puissent choisir de rechercher facilement des solutions cloud sécurisées.
Avoir des fournisseurs approuvés par FedRAMP signifie que les agences fédérales peuvent consulter une liste de fournisseurs autorisés avant d'adopter une nouvelle solution. La préautorisation des services cloud réduit également le coût des évaluations de sécurité inutiles.
Exigences de conformité FedRAMP
Les exigences auxquelles sont soumis les fournisseurs de services cloud sont plus strictes que celles de la FISMA. Les entités doivent uniquement mettre en œuvre des contrôles qui atténuent les risques du service cloud, mais revoir ces contrôles au fil du temps pour garantir une protection à long terme. Il y a un certain nombre d'éléments dont l'EFPC et les agences fédérales devraient être conscients :
- Contrôle continu– Les fournisseurs de cloud doivent surveiller en permanence les contrôles de sécurité qu'ils ont mis en place, évoluer avec les changements de l'environnement et mettre à jour les contrôles de sécurité pour faire face aux menaces émergentes. Ils doivent également remédier à toutes les vulnérabilités trouvées et créer un plan d'actions et des jalons.
- Contrôles de sécurité– Mettez en œuvre un mélange de contrôles d’accès physique, d’accès logique et d’accès au réseau. Y compris les pièces d'identité avec photo, l'authentification à deux facteurs, la gestion des changements, la gestion des risques, le plan de réponse aux incidents de sécurité, les pare-feu (avec cryptage FIPS 140-2), le service de détection d'intrusion (IDS), le service de prévention des intrusions (IPS) et une solution antivirus.
- Plan de sécurité du système– Dans le cadre du plan de sécurité du système (SSP), le CSP doit produire une description de tous les contrôles de sécurité protégeant le système. Parallèlement au SSP, les CSP doivent emporter des documents supplémentaires, notamment des politiques et procédures de sécurité de l'information, une évaluation des impacts sur la vie privée, un plan de réponse aux incidents, un résumé de mise en œuvre du contrôle, un plan de gestion de la configuration, un guide de l'utilisateur et une feuille de travail sur l'identité numérique.
- Analyse des vulnérabilités– Les CSP ont l’obligation d’effectuer régulièrement une analyse des vulnérabilités des systèmes une fois par mois. Les rapports doivent ensuite être envoyés à un JAB ou à un AO. La configuration des scanners de vulnérabilités doit être approuvée par un 3PAO. Une fois qu'une vulnérabilité a été découverte, elle doit être atténuée dans un délai de 30, 90 ou 180 jours, selon qu'elle présente un risque élevé, modéré ou faible.
Qu'est-ce que la FISMA
La loi fédérale sur la gestion de la sécurité de l'informationouFISMAest une loi fédérale adoptée en 2002 qui fixe les normes régissant la sécurité de l'information. En termes simples, la législation comprend un cadre pour protéger les données et réaliser des évaluations des risques. Plus spécifiquement, FISMA utilise leNorme fédérale de traitement des informations(FIPS)199catégoriser les systèmes d'information et propose des contrôles de sécurité dès leInstitut national des normes et de la technologie(NIST)Publication spéciale(SP800-53).
Certaines des dispositions incluent la tenue d'un inventaire des systèmes informatiques, la catégorisation des systèmes en fonction des risques, la création d'un plan de sécurité du système, l'utilisation de contrôles de sécurité, l'exécution d'une surveillance continue et la réalisation d'évaluations des risques.
La FISMA s'applique non seulement aux institutions fédérales, mais couvre également d'autres entreprises qui fournissent des services pour ces solutions. Les agences soumises à la FISMA doivent procéder à des examens annuels et communiquer les résultats au Bureau de la gestion et du budget (OMB). Le non-respect des réglementations FISMA peut entraînerfinset la résiliation des contrats existants.
Exigences de conformité FISMA
Les agences fédérales doivent être conscientes des exigences de la FISMA pour s'assurer qu'elles disposent de procédures de sécurité adéquates pour protéger leurs données. Certaines des principales exigences de la FISMA sont :
- Créer et maintenir un inventaire des systèmes informatiques– Les agences fédérales doivent créer un inventaire de tous les systèmes dont elles sont propriétaires. Ils doivent également noter les intégrations et interdépendances avec des systèmes externes qui ne sont pas directement contrôlés par l'agence (comme un service cloud).
- Catégorisation des risques– Les agences fédérales doivent catégoriser les données et les systèmes informatiques en fonction du niveau de risque. Les niveaux de risque peuvent être trouvés dans la norme FIPS 199 « Normes pour la catégorisation de la sécurité des systèmes d'information et d'information fédéraux ». Les systèmes à faible impact ne contiennent pas de données sensibles, les systèmes modérés contiennent un certain degré de données sensibles et les systèmes à fort impact incluent des données qui pourraient mettre le gouvernement en danger.
- Contrôles de sécurité– Les agences doivent mettre en œuvre les contrôles de sécurité du document NIST SP 800-53. Le document comprend des contrôles conseillés, mais il est important de noter qu’une agence n’est pas obligée de tous les mettre en œuvre. Ils doivent simplement sélectionner les contrôles les plus pertinents pour l'environnement dans lequel ils opèrent.
- Créer un plan de sécurité du système– Les agences doivent créer un plan de sécurité du système (SSP) et le mettre à jour régulièrement. Le plan doit détailler les contrôles de sécurité et un plan d'action et des jalons (POA&M).
- Évaluations des risques– Les agences doivent procéder à des évaluations des risques pour identifier les risques de sécurité. Le document NIST SP 800-30 fournit des conseils sur la manière de mener des évaluations des risques. Les agences doivent utiliser ces évaluations pour déterminer si elles doivent ajouter d'autres contrôles de sécurité.
FedRAMP vs FISMA : les similitudes
FedRAMP et FISMA partagent un certain nombre de similitudes. Il s’agit tous deux de cadres de sécurité fédéraux dont l’objectif est de protéger les données gouvernementales. Pour garder les données protégées,FedRAMP et FISMA utilisent les contrôles de sécurité décritsdans leNIST800-53(la seule différence est que FedRAMP a plus de contrôles pour les CSP).
Chaque cadre catégorise les systèmes d'information en fonction des niveaux de risque de sécurité. Plus un système est important, plus il faut de sécurité pour le protéger. Les deux frameworks incluent les contrôles suivants :
- Contrôle d'accès (CA)
- Sensibilisation et Formation (AT)
- Audit et responsabilité (AU)
- Évaluation et autorisation de sécurité (CA)
- Gestion des configurations (CM)
- Plans d'urgence (PC)
- Identification et authentification (IA)
- Réponse aux incidents (IR)
- Entretien (MA)
- Protection des médias (MP)
- Protection physique et environnementale (PE)
- Planification (PL)
- Sécurité du personnel (PS)
- Évaluation des risques (AR)
- Acquisition de systèmes et de services (SA)
- Protection des systèmes et des communications (SC)
- Intégrité des systèmes et des informations (SI)
Pour chaque réglementation, les agences doivent obtenir un ATO. En vertu de chaque ensemble de réglementations, l'ATO est délivré mais par le gouvernement une fois que la sécurité a été vérifiée par un tiers. Cependant, le processus d’autorisation pour ce faire est différent.
Différences FedRAMP et FISMA
Les réglementations FedRAMP sont centrées sur la gestion des contrôles de sécurité des services cloud et FISMA se concentre sur la sécurité informatique générale. Fondamentalement, FedRAMP a été rédigé pour permettre aux agences fédérales detrouver des fournisseurs de services cloudavec le sceau d’approbation FedRAMP.
La FISMA se concentre davantage surcontrôles généraux de sécurité informatiqueet propose des lignes directrices aux agences gouvernementales pour protéger les données qu'elles détiennent. En d’autres termes, FedRAMP est FISMA pour les fournisseurs de services cloud. L'idée derrière FedRAMP est qu'une agence gouvernementale peut vérifier si un fournisseur de cloud est approuvé par le gouvernement avant d'adopter une nouvelle solution.
Dans une certaine mesure, FedRAMP a également un niveau de sécurité plus élevé que FISMA car il ne se limite pas aux exigences du NIST et tous les contrôles de sécurité en place doivent être approuvés par un 3PAO. Pour les agences et les fournisseurs de services cloud, FedRAMP est supérieur pour protéger les services cloud car il se concentre sur les problèmes de sécurité spécifiques aux services cloud.
Une autre différence significative concerne le processus d’évaluation. Sous FedRAMP, les fournisseurs de cloud doiventréussir une évaluation de sécurité détenue par un tiersorganisme d’évaluation (3PAO). En revanche, pour obtenir l'accréditation FISMA, une agence doit effectuer une évaluation de sécurité. L'évaluation peut être réalisée directement par l'agence ou par un tiers autorisé.
Le prestataire doit alors obtenir une autorisation pour opérer ; qui se présente sous deux formes ;Autorisation provisoire d'exploitation du Conseil commun d'autorisation(JAB P-ATO) et leAgence FedRAMP ATO.
Pour obtenir le JAB P-ATO, le fournisseur obtient une autorisation approuvée par le bureau de gestion de projet FedRAMP et le Joint Authorization Board (JAB), qui comprend d'autres entités fédérales telles que la General Services Administration (GSA), le Department of Homeland Security (DHS). , et le ministère de la Défense (DoD). Le processus peut être long et coûteux.
En revanche, l’agence FedRAMP ATO est bien plus simple. Une agence fédérale parraine le fournisseur de services cloud. Habituellement, les FedRAMP ATO sont utilisés par les fournisseurs de services cloud qui conçoivent un produit pour une agence. Une fois l'accréditation obtenue, le service cloud deviendra une solution agréée FedRAMP que d'autres agences pourront utiliser.
FedRamp et FISMA : les deux faces de la médaille de la conformité à la réglementation fédérale
Lorsque l’on essaie de se conformer aux normes FedRAMP et FISMA, il est utile de se rappeler qu’elles sont les deux faces d’une même médaille. Chacun fournit des lignes directrices pour régir les risques de sécurité liés aux données fédérales. Quelle que soit la voie qu'une agence souhaite emprunter, elle doit se soumettre à un processus d'évaluation de sécurité et obtenir un ATO.
Bien que FedRAMP et FISMA partagent l’objectif de protéger les données gouvernementales, ils jouent chacun un rôle différent. FedRAMP veille à ce que les fournisseurs de services cloud soient équipés pour répondre aux besoins des agences fédérales et FISMA veille à ce que les agences fédérales utilisent un système sécurisé.
En vous assurant que vous respectez les exigences FedRAMP, vous garantissez que votre fournisseur de services cloud protège vos données. De même, le respect de la FISMA garantira que les contrôles de sécurité internes sont satisfaisants et réduira le risque de compromission ou de perte de données.
FAQ FedRAMP et FISMA
Quelle est la différence entre FedRAMP et NIST ?
Il existe une comparaison étroite entre FedRAMP et NIST 800-53. Cependant, ce ne sont pas les mêmes. Les règles du NIST offrent aux entreprises un cadre pour la sécurité des données. FedRAMP est une norme de sécurité des données que les plateformes cloud qui espèrent obtenir des contrats auprès des agences gouvernementales américaines sont censées respecter.
Le NIST 800-171 nécessite-t-il FedRAMP ?
FedRAMP nécessite NIST 800-171. Les directives du NIST expliquent comment les organisations non gouvernementales doivent traiter les informations gouvernementales et concernent spécifiquement les informations contrôlées non classifiées (CUI). NIST 800-1721 est un sous-ensemble des directives NIST 800-52. Les fournisseurs de cloud doivent démontrer que leurs procédures de sécurité sont adéquates pour protéger les données du secteur public qu'ils détiendront s'ils sont sélectionnés comme service par une agence gouvernementale.
Que signifie le niveau d’impact modéré FedRAMP ?
Lors de l'évaluation de l'utilisation d'une plate-forme cloud, les acheteurs de services informatiques d'une agence gouvernementale doivent appliquer les règles FISMA dans le cadre de l'évaluation de l'adéquation de ce service. Une étape de catégorisation des risques dans le processus d'évaluation FISMA examine l'adéquation du système à la conservation de données sensibles. Les systèmes autorisés à contenir des données sensibles sont qualifiés de « à fort impact ». Un système à faible impact ne doit être utilisé que pour traiter ou stocker des données non sensibles. Les systèmes à impact modéré se situent entre ces deux catégories.