Programme FedRAMP (Federal Risk and Authorization Management Program)

Vue d’ensemble de FedRAMP

Le programme FedRAMP (Federal Risk and Authorization Management Program) des États-Unis a été établi pour fournir une approche normalisée pour l’évaluation, la surveillance et l’autorisation des produits et services cloud computing dans le cadre de la loi FISMA (Federal Information Security Management Act) et pour accélérer l’adoption de solutions cloud sécurisées par les agences fédérales.

La Office gestion et le budget exige désormais que toutes les agences fédérales de direction utilisent FedRAMP pour valider la sécurité des services cloud. (D’autres agences l’ont également adopté, ce qui est utile dans d’autres secteurs du secteur public.) Le National Institute of Standards and Technology (NIST) SP 800-53 définit les normes obligatoires, établit des catégories de sécurité de systèmes d’information (confidentialité, intégrité et disponibilité) pour évaluer l’impact potentiel sur une organisation en cas de compromission de ses systèmes d’information et d’information. FedRAMP est le programme qui certifie qu’un fournisseur de services cloud (CSP) répond à ces normes.

Les CSP qui veulent vendre des services à une agence fédérale peuvent prendre trois chemins pour démontrer la conformité FedRAMP :

  • Obtenez une autorité provisoire d’exploitation (P-ATO) auprès du Comité d’autorisation commun (JAB). Le JAB est le principal organisme de gouvernance et de prise de décision pour FedRAMP. Les représentants du département de la Défense, du département de la sécurité de LaSerr et de l’administration des services généraux sont membres du conseil d’administration. Le conseil accorde un P-ATO aux CSP qui ont démontré la conformité FedRAMP.
  • Recevoir une autorité de fonctionnement (ATO) d’une agence fédérale.
  • Ou, travaillez indépendamment pour développer un package fourni par le programme CSP qui répond aux exigences du programme.

Chacun de ces chemins d’accès nécessite un examen technique strict par le Office de gestion du programme FedRAMP (PMO) et une évaluation par une organisation tierce indépendante agréée par le programme.

Les autorisations FedRAMP sont accordées à trois niveaux d’impact basés sur les directives NIST : faible, moyen et élevé. Ces niveaux classent l’impact de la perte de confidentialité, d’intégrité ou de disponibilité sur une organisation : faible (effet limité), moyen (effet gravement négatif) et élevé (impact grave ou catastrophique).

Microsoft et FedRAMP

Les services cloud du gouvernement de Microsoft, y compris Azure Government, Dynamics 365 Government et Office 365 U.S. Government répondent aux exigences strictes du programme fedramp (Federal Risk and Authorization Management Program) des États-Unis, ce qui permet aux agences fédérales américaines de bénéficier des économies et d’une sécurité rigoureuse de Microsoft Cloud.

Les services cloud du secteur public de Microsoft offrent aux clients du secteur public un riche éventail de services compatibles avec FedRAMP, ainsi que des conseils et des outils d’implémentation robustes, notamment le plan FedRAMP High,qui aide les clients à déployer un ensemble de stratégies pour toute architecture déployée par Azure qui doit implémenter des contrôles FedRAMP élevés.

Plateformes cloud et services Microsoft dans l’étendue

  • Azure et Azure Government
  • Dynamics 365 U.S. Government
  • Intune
  • Office 365 Gouvernement américain, Office 365 gouvernement américain - Haut, Office 365 gouvernement américain - Défense pour le gouvernement américain
  • Service Cloud Power BI en tant que service autonome, ou inclus dans un plan ou une suite Office 365

Azure, Dynamics 365 et FedRAMP

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne, voir l’offre Azure FedRAMP.

Office 365 et FedRAMP

  • Office 365 et Office 365 gouvernement américain ont un ATO du département américain de la Santé et des Services sociaux (DHHS).
  • Office 365 U.S. Government Defense has a P-ATO from the US Defense Information Systems Agency (DISA). Tout client souhaitant déployer Office 365 pour le gouvernement américain peut utiliser la DISA P-ATO pour générer une agence ATO afin de documenter son acceptation.
  • Office 365 (plans d’entreprise et d’entreprise) et Office 365 gouvernement des États-Unis ont un ATO de l’agence FedRAMP au niveau d’impact modéré de la Office DHHS de l’inspecteur général. Office 365 Le gouvernement américain a été le premier service de collaboration et de messagerie basé sur le cloud à obtenir cette autorisation.

Environnements cloud Office 365

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section traite des environnements cloud Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial)  : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
GCC Service informations sur les activités, Bing Services, Réservations, Delve, Exchange Online, Exchange Online Protection, Infrastructure, Services intelligents, Microsoft Teams, portail client Office 365, Office Service en ligne, Office, rapports d’utilisation Office, OneDrive Entreprise, carte de visite, SharePoint Online, Skype Entreprise, Windows Ink
GCC High Service informations sur les activités, Bing Services, Réservations, Exchange Online, Exchange Online Protection, Services intelligents, Microsoft Teams, portail client Office 365, Office Online, service Office Infrastructure, Office d’utilisation, OneDrive Entreprise, carte de visite, SharePoint Online, Skype Entreprise, Windows Ink
DOD Service informations sur les activités, Bing Services, Réservations, Exchange Online Protection, Exchange Online, Services intelligents, Microsoft Teams, portail client Office 365, Office Online, service Office Infrastructure, Office d’utilisation, OneDrive Entreprise, carte de visite, SharePoint Online, Skype Entreprise, Windows Ink

Audits, rapports et certificats Office 365

Microsoft doit certifier à nouveau ses services Cloud chaque année pour conserver ses P-ATO et ATO. Pour ce faire, Microsoft doit surveiller et évaluer ses contrôles de sécurité en permanence, et démontrer que la sécurité de ses services reste conforme.

Questions fréquentes (FAQ)

Les services cloud de Microsoft sont-ils conformes à la loi FISMA (Federal Information Security Management Act) ?

LA LOI FISMA est la loi fédérale qui exige que les agences fédérales des États-Unis et leurs partenaires procurent des systèmes d’information et des services uniquement aux organisations qui respectent les exigences fiSMA. La plupart des agences et leurs fournisseurs qui indiquent qu’elles respectent la norme FISMA font référence à la façon dont elles répondent aux contrôles identifiés par le NIST dans la publication spéciale 800-53 rev 4. Le processus FISMA (mais pas les normes sous-jacentes elles-mêmes) a été remplacé par FedRAMP en 2011.

À qui fedramp s’applique-t-il ?

« FedRAMP est obligatoire pour les déploiements cloud et les modèles de service des agences fédérales aux niveaux d’impact faible et modéré. » Toute agence fédérale qui souhaite impliquer un programme CSP peut être tenue de respecter les spécifications fedramp. En outre, les sociétés qui utilisent des technologies cloud dans des produits ou des services utilisés par le gouvernement fédéral peuvent être tenues d’obtenir un ATO.

Où mon agence commence-t-elle son propre effort de conformité ?

Pour obtenir une vue d’ensemble des étapes que les agences fédérales doivent suivre pour naviguer avec succès dans FedRAMP et répondre à ses exigences, accédez à Obtenir l’autorisation : Autorisation de l’agence.

Puis-je utiliser la conformité Microsoft dans le processus d’autorisation de mon agence ?

Oui. Vous pouvez utiliser les certifications des services cloud de Microsoft comme base pour tout programme ou initiative nécessitant un ATO d’une agence gouvernementale fédérale. Toutefois, vous devez obtenir vos propres autorisations pour les composants en dehors de ces services.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risques

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources