Programme FedRAMP (Federal Risk and Authorization Management Program)
Vue d’ensemble de FedRAMP
Le Programme fédéral de gestion des risques et des autorisations (FedRAMP) des États-Unis a été créé pour fournir une approche standardisée pour l’évaluation, la surveillance et l’autorisation des produits et services de cloud computing en vertu de la Loi fédérale sur la gestion de la sécurité de l’information (FISMA), et pour accélérer l’adoption de solutions cloud sécurisées par les agences fédérales.
Le Bureau de la gestion et du budget exige désormais que toutes les agences fédérales exécutives utilisent FedRAMP pour valider la sécurité des services cloud. (D’autres organismes l’ont également adopté, de sorte qu’il est utile dans d’autres secteurs du secteur public également.) Le National Institute of Standards and Technology (NIST) SP 800-53 définit les normes obligatoires, établit les catégories de sécurité des systèmes d’information (confidentialité, intégrité et disponibilité) afin d’évaluer l’impact potentiel sur un organization si ses systèmes d’information et d’information sont compromis. FedRAMP est le programme qui certifie qu’un fournisseur de services cloud (CSP) répond à ces normes.
Les CSP souhaitant vendre des services à une agence fédérale peuvent suivre trois voies pour démontrer la conformité fedRAMP :
- Obtenir une autorisation provisoire d’exploitation (P-ATO) auprès de la Commission mixte d’autorisation (JAB). Le JAB est le principal organisme de gouvernance et de prise de décision pour FedRAMP. Des représentants du ministère de la Défense, du ministère de la Sécurité intérieure et de l’Administration des services généraux siègent au conseil d’administration. Le conseil accorde un P-ATO aux CSP qui ont démontré leur conformité à FedRAMP.
- Recevoir une autorisation d’exploitation (ATO) d’un organisme fédéral.
- Vous pouvez également travailler indépendamment pour développer un package fourni par csp qui répond aux exigences du programme.
Chacun de ces parcours nécessite un examen technique rigoureux par le Bureau de gestion du programme FedRAMP (PMO) et une évaluation par un organization tiers indépendant accrédité par le programme.
Les autorisations FedRAMP sont accordées à trois niveaux d’impact basés sur les recommandations du NIST : faible, moyen et élevé. Ces niveaux classent l’impact que la perte de confidentialité, d’intégrité ou de disponibilité pourrait avoir sur un organization : faible (effet limité), moyen (effet négatif grave) et élevé (effet grave ou catastrophique).
Microsoft et FedRAMP
Les services cloud du secteur public de Microsoft, notamment Azure Government, Dynamics 365 Government et Office 365 gouvernement des États-Unis répondent aux exigences strictes du Programme fédéral de gestion des risques et des autorisations des États-Unis (FedRAMP), ce qui permet aux agences fédérales américaines de bénéficier des économies de coûts et de la sécurité rigoureuse de Microsoft Cloud.
Les services cloud Microsoft government offrent aux clients du secteur public un large éventail de services conformes à FedRAMP, ainsi que des conseils et des outils d’implémentation robustes, y compris le blueprint FedRAMP High, qui aide les clients à déployer un ensemble de stratégies de base pour toute architecture déployée par Azure qui doit implémenter des contrôles FedRAMP High.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure et Azure Government
- Dynamics 365 gouvernement des États-Unis
- Intune
- Office 365 (U.S. Government, U.S. Government - High, U.S. Government Defense)
- Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365
- Windows 365 (U.S. Government, U.S. Government - High)
Azure, Dynamics 365 et FedRAMP
Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure FedRAMP.
Office 365 et FedRAMP
- Office 365 et Office 365 gouvernement des États-Unis ont un ATO du Ministère américain de la Santé et des Services humains (DHHS).
- Office 365 U.S. Government Defense dispose d’un P-ATO de l’Us Defense Information Systems Agency (DISA). Tout client souhaitant déployer Office 365 U.S. Government Defense peut utiliser le DISA P-ATO pour générer une agence ATO afin de documenter son acceptation.
- Office 365 (plans d’entreprise et d’affaires) et Office 365 gouvernement des États-Unis ont une Agence FedRAMP ATO au niveau d’impact modéré du Bureau de l’inspecteur général du DHHS. Office 365 gouvernement des États-Unis a été le premier service de messagerie et de collaboration basé sur le cloud à obtenir cette autorisation.
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer les données client dans d’autres régions au sein de la même zone géographique (par exemple, le États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Office 365 Secteur Public Community Cloud (GCC) : répertorié sur la place de marché FedRAMP en tant que Office 365 (Commercial) et également appelé Office 365 multilocataire et l’environnement GCC. Office 365 service cloud GCC est disponible pour États-Unis gouvernements fédéraux, d’État, locaux et tribaux, ainsi que pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter les conseillers juridiques pour toute question concernant la conformité réglementaire de votre organization.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
GCC | Service de flux d’activité, Services Bing, Bookings, Delve, Exchange Online, Exchange Online Protection, Infrastructure, Services intelligents, Microsoft Teams, portail client Office 365, Office Online, service Office, rapports d’utilisation Office, OneDrive Entreprise, Carte Personnes, SharePoint Online, Skype Entreprise, Windows Ink |
GCC High | Service de flux d’activité, Services Bing, Bookings, Exchange Online, Exchange Online Protection, Intelligent Services, Microsoft Teams, Office 365 Portail client, Office Online, Infrastructure du service Office, Rapports d’utilisation Office, OneDrive Entreprise, Personnes Carte, SharePoint Online, Skype Entreprise, Windows Ink |
DOD | Service de flux d’activité, Services Bing, Bookings, Exchange Online Protection, Exchange Online, Services intelligents, Microsoft Teams, Office 365 Portail client, Office Online, Infrastructure du service Office, rapports d’utilisation d’Office, OneDrive Entreprise, Personnes Carte, SharePoint Online, Skype Entreprise, Windows Ink |
Audits, rapports et certificats Office 365
Microsoft doit certifier à nouveau ses services Cloud chaque année pour conserver ses P-ATO et ATO. Pour ce faire, Microsoft doit surveiller et évaluer ses contrôles de sécurité en continu, et démontrer que la sécurité de ses services reste conforme.
Forum aux questions
Les services cloud Microsoft sont-ils conformes à la loi FISMA (Federal Information Security Management Act) ?
LA FISMA est la loi fédérale qui oblige les agences fédérales américaines et leurs partenaires à se procurer des systèmes d’information et des services uniquement auprès d’organisations qui respectent les exigences de la FISMA. La plupart des agences et de leurs fournisseurs qui indiquent qu’ils sont conformes à la FISMA font référence à la façon dont ils respectent les contrôles identifiés par le NIST dans la publication spéciale 800-53 rev 4. Le processus FISMA (mais pas les normes sous-jacentes elles-mêmes) a été remplacé par FedRAMP en 2011.
À qui s’applique FedRAMP ?
« FedRAMP est obligatoire pour les déploiements cloud des agences fédérales et les modèles de service aux niveaux d’impact de risque faible et modéré. » Toute agence fédérale qui souhaite faire appel à un FOURNISSEUR de solutions Cloud peut être tenue de respecter les spécifications FedRAMP. En outre, les entreprises qui utilisent des technologies cloud dans les produits ou services utilisés par le gouvernement fédéral peuvent être tenues d’obtenir un ATO.
Où mon agence commence-t-elle ses propres efforts de conformité ?
Pour obtenir une vue d’ensemble des étapes que les agences fédérales doivent suivre pour naviguer correctement dans FedRAMP et répondre à ses exigences, accédez à Obtenir l’autorisation : Autorisation de l’agence.
Puis-je utiliser la conformité Microsoft dans le processus d’autorisation de mon agence ?
Oui. Vous pouvez utiliser les certifications des services cloud Microsoft comme base pour tout programme ou initiative qui nécessite un ATO d’un organisme gouvernemental fédéral. Toutefois, vous devez obtenir vos propres autorisations pour les composants en dehors de ces services.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.