Rapport FedRAMP (Federal Risk and Authorization Management Program)
Ce rapport présente les problèmes FedRAMP détectés sur votre site. Beaucoup de vulnérabilités des applications Web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.
Pourquoi est-ce important ?
Le programme Federal Risk and Authorization Management Program (FedRAMP) offre une approche fondée sur l'analyse des risques pour l'adoption et l'utilisation des services cloud en rendant les éléments suivants disponibles aux services et agences gouvernementaux :
- Des exigences de sécurité normalisées en matière d'autorisation et de cybersécurité continue des services cloud pour les niveaux d'impact du système d'informations sélectionné.
- Un programme d'évaluation de la conformité capable de produire des évaluations indépendantes et cohérentes des contrôles de sécurité mis en œuvre par les fournisseurs de services cloud (CSP).
- Les packages d'autorisation des services cloud sont examinés par un comité d'autorisation conjoint (JAB) composé d'experts en sécurité du DHS, du DOD et de la GSA.
- Une langue contractuelle normalisée visant à permettre aux agences et aux services gouvernementaux d'intégrer les meilleures pratiques et les exigences FedRAMP en matière d'acquisition
- Un référentiel de modules d'autorisation liés aux services cloud destiné à tous les services gouvernementaux.
Les processus FedRAMP sont conçus pour aider les agences à répondre aux exigences FISMA liées aux systèmes cloud et à prendre en charge la complexité des systèmes cloud créant des demandes d'authentification uniques pour la conformité FISMA. Le programme permet plus facilement aux agences fédérales d'avoir recours à des offres et à des plateformes de fournisseurs de services cloud.
Le Bureau de la gestion et du budget a publié un mémo daté du 8 décembre 2011 indiquant que tous les services cloud à impact faible ou modéré qui sont utilisés au sein d'un ou plusieurs organismes gouvernementaux doivent être conformes aux exigences FedRAMP. Le programme FedRAMP a mis en place la fonction IOC (Initial Operating Capability) le 6 juin 2012. Les systèmes cloud en phase d'acquisition en date du 6 juin 2012 mais encore non mis en œuvre avaient jusqu'au 5 juin 2014 pour respecter les exigences FedRAMP.
Le programme FedRAMP est géré par un conseil d'autorisation commun (JAB, Joint Authorization Board) composé des responsables des technologies de l'information du Département de la sécurité intérieure des Etats-Unis (DHS), de l'Administration des services généraux (GSA) et du Ministère de la Défense des Etats-Unis (DoD). Le Conseil des responsables des technologies de l'information des Etats-Unis (CIOC), incluant le comité ISIMC (Information Security and Identity Management Committee), a approuvé le programme FedRAMP. Ce dernier est associé au comité ISIMC dans la mesure où il identifie les initiatives de gestion d'identité et de sécurité à priorité élevée et développe des recommandations pour les règles, les procédures et les normes visant à prendre en charge ces initiatives.
Le rapport de conformité FedRAMP d'AppScan détecte automatiquement les problèmes éventuels au sein de votre environnement Web de service cloud qui peuvent être liés à la conformité FedRAMP. Les principes de contrôle de sécurité FedRAMP mettent à jour les instructions de sécurité NIST minimales en incluant des paramètres applicables et des modifications appropriées spécifiques aux services cloud.
| Numéro de contrôle | Contrôle |
|---|---|
| AC-4 | Appliquer les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes connectés en fonction de [Affectation : politiques de contrôle du flux d'informations définies par l'organisation]. |
| AC-6 | Utilisez le principe du moindre privilège, en autorisant uniquement les accès autorisés aux utilisateurs (ou aux processus agissant au nom des utilisateurs) qui sont nécessaires pour accomplir les tâches organisationnelles assignées. |
| AC-7.A | Appliquer une limite de [Affectation : nombre défini par l'organisation] tentatives de connexion non valides consécutives par un utilisateur au cours d'une [Affectation : période définie par l'organisation] |
| AC-10 | Limitez le nombre de sessions simultanées pour chaque [Affectation : compte et/ou type de compte défini par l'organisation] à [Affectation : numéro défini par l'organisation] . |
| AC-12 | Terminer automatiquement une session utilisateur après [Affectation : conditions définies par l'organisation ou événements déclencheurs nécessitant une déconnexion de session] |
| AC-17.1 | Le système d'information surveille et contrôle les méthodes d'accès à distance. |
| CM-7 |
a. Configurer le système pour fournir uniquement [Affectation : capacités essentielles à la mission définie par l'organisation] ; et b. Interdire ou restreindre l'utilisation des fonctions, ports, protocoles, logiciels et/ou services suivants : [Affectation : fonctions interdites ou restreintes définies par l'organisation, ports système, protocoles, logiciels et/ou services] . |
| IA-2 | Identifiez et authentifiez de manière unique les utilisateurs de l’organisation et associez cette identification unique aux processus agissant au nom de ces utilisateurs. |
| IA-5 |
c. L'organisation gère les authentifiants du système d'information pour les utilisateurs et les appareils en s'assurant que les authentifiants disposent d'un mécanisme suffisamment puissant pour l'utilisation prévue. e. L'organisation gère les authentifiants du système d'information pour les utilisateurs et les appareils en modifiant le contenu par défaut des authentifiants lors de l'installation du système d'information. |
| SC-5 | Le système d'information protège contre les types d'attaques par déni de service suivants ou limite leurs effets : [Affectation : types d'attaques par déni de service définis par l'organisation ou référence à la source de ces informations] en employant [Affectation : mesures de sécurité définies par l'organisation] . |
| SC-8 | Le système d’information protège la [Affectation FedRAMP : confidentialité ET intégrité] des informations transmises. |
| SC-13 |
Le système d'information met en œuvre [Assignation FedRAMP : cryptographie validée FIPS ou approuvée par la NSA] conformément aux lois fédérales, décrets, directives, politiques, réglementations et normes fédéraux applicables. |
| SC-23 | Le système d'information protège l'authenticité des sessions de communication. |
| SI-3.A |
Utilise des mécanismes de protection contre les codes malveillants aux points d’entrée et de sortie du système d’information pour détecter et éradiquer les codes malveillants. |
| SI-3.B |
L'organisation met à jour les mécanismes de protection contre les codes malveillants chaque fois que de nouvelles versions sont disponibles, conformément à la politique et aux procédures de gestion de la configuration organisationnelle. |
| SI-10 | Le système d'information vérifie la validité de [Affectation : saisies d'informations définies par l'organisation] . |
| SI-11.A |
Le système d'information génère des messages d'erreur qui fournissent les informations nécessaires aux actions correctives sans révéler d'informations qui pourraient être exploitées par des adversaires. |