FedRAMP
Qu'est-ce que FedRAMP ?
FedRAMPProgramme du gouvernement américain qui standardise l'évaluation de sécurité, l'autorisation et la surveillance continue des services cloud utilisés par les agences fédérales.
Le Federal Risk and Authorization Management Program (FedRAMP) a été créé en 2011 et inscrit dans la loi par le FedRAMP Authorization Act de 2022. Il fournit une autorisation de sécurité unique et réutilisable pour les offres cloud (CSO) vendues aux agences fédérales. Les fournisseurs cloud sont évalués par un 3PAO accrédité sur la base des référentiels NIST SP 800-53 (Low, Moderate, High) et obtiennent soit une P-ATO du Joint Authorization Board, soit une ATO délivrée par une agence. Les services autorisés figurent sur le FedRAMP Marketplace et doivent assurer surveillance continue, mises à jour mensuelles des POA&M et signalement d'incidents à la CISA. Géré par la GSA sous supervision de l'OMB, il réduit la duplication des audits.
● Exemples
- 01
Un éditeur SaaS visant une ATO FedRAMP Moderate pour vendre aux agences fédérales.
- 02
Une agence réutilisant une P-ATO FedRAMP High existante pour intégrer un service cloud collaboratif.
● Questions fréquentes
Qu'est-ce que FedRAMP ?
Programme du gouvernement américain qui standardise l'évaluation de sécurité, l'autorisation et la surveillance continue des services cloud utilisés par les agences fédérales. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie FedRAMP ?
Programme du gouvernement américain qui standardise l'évaluation de sécurité, l'autorisation et la surveillance continue des services cloud utilisés par les agences fédérales.
Comment se défendre contre FedRAMP ?
Les défenses contre FedRAMP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de FedRAMP ?
Noms alternatifs courants : Federal Risk and Authorization Management Program.