Rapport FedRAMP (Federal Risk and Authorization Management Program)

Ce rapport présente les problèmes FedRAMP détectés sur votre site. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.

Pourquoi est-ce important

Le programme Federal Risk and Authorization Management Program (FedRAMP) offre une approche fondée sur l'analyse des risques pour l'adoption et l'utilisation des services cloud en rendant les éléments suivants disponibles aux services et agences gouvernementaux :

  • Des exigences de sécurité normalisées en matière d'autorisation et de cybersécurité continue des services cloud pour les niveaux d'impact du système d'informations sélectionné.
  • Un programme d'évaluation de conformité pouvant générer des évaluations tierces, indépendantes et cohérentes des contrôles de sécurité mis en œuvre par les fournisseurs de service cloud (CSP)
  • Des modules d'autorisations de services cloud validés par le conseil d'autorisation commun (JAB, Joint Authorization Board) composé d'experts en sécurité du Département de la sécurité intérieure des Etats-Unis, du Ministère de la Défense des Etats-Unis et de l'Administration des services généraux
  • Une langue contractuelle normalisée visant à permettre aux agences et aux services gouvernementaux d'intégrer les meilleures pratiques et les exigences FedRAMP en matière d'acquisition
  • Un référentiel de modules d'autorisation liés aux services cloud destiné à tous les services gouvernementaux.

Les processus FedRAMP sont conçus pour aider les agences à répondre aux exigences FISMA liées aux systèmes cloud et à prendre en charge la complexité des systèmes cloud créant des demandes d'authentification uniques pour la conformité FISMA. Le programme permet plus facilement aux agences fédérales d'avoir recours à des offres et à des plateformes de fournisseurs de services cloud.

Le Bureau de la gestion et du budget a publié un mémo daté du 8 décembre 2011 indiquant que tous les services cloud à impact faible ou modéré qui sont utilisés au sein d'un ou plusieurs organismes gouvernementaux doivent être conformes aux exigences FedRAMP. Le programme FedRAMP a mis en place la fonction IOC (Initial Operating Capability) le 6 juin 2012. Les systèmes cloud en phase d'acquisition en date du 6 juin 2012 mais encore non mis en œuvre avaient jusqu'au 5 juin 2014 pour respecter les exigences FedRAMP.

Le programme FedRAMP est géré par un conseil d'autorisation commun (JAB, Joint Authorization Board) composé des responsables des technologies de l'information du Département de la sécurité intérieure des Etats-Unis (DHS), de l'Administration des services généraux (GSA) et du Ministère de la Défense des Etats-Unis (DoD). Le Conseil des responsables des technologies de l'information des Etats-Unis (CIOC), incluant le comité ISIMC (Information Security and Identity Management Committee), a approuvé le programme FedRAMP. Ce dernier est associé au comité ISIMC dans la mesure où il identifie les initiatives de gestion d'identité et de sécurité à priorité élevée et développe des recommandations pour les règles, les procédures et les normes visant à prendre en charge ces initiatives.

Le rapport de conformité FedRAMP d'AppScan détecte automatiquement les problèmes éventuels au sein de votre environnement Web de service cloud qui peuvent être liés à la conformité FedRAMP. Les principes de contrôle de sécurité FedRAMP mettent à jour les instructions de sécurité NIST minimales en incluant des paramètres applicables et des modifications appropriées spécifiques aux services cloud.