Certification et conformité FedRAMP : ce qu'elle est et pourquoi elle est importante

Le gouvernement des États-Unis est devenu un champion de l'informatique en nuage, qui améliore l'accès à l'information, simplifie la communication et accélère le partage d'informations. Cependant, chaque avantage est accompagné d'un risque, et le Bureau de la gestion et du budget (OMB) a créé le Programme fédéral de gestion et d'autorisation des risques (FedRAMP) pour répondre à ces risques. La certification FedRAMP prouve qu'un fournisseur de services de nuage (CSP) répond aux normes de sécurité requises pour protéger l'information. Pour obtenir la certification FedRAMP, les CSP doivent rassembler les documents nécessaires, réaliser une évaluation FIPS 199, passer une évaluation de préparation 3PAO, élaborer un plan d'action et de jalons (POA&M), choisir la voie d'autorisation et assurer une surveillance continue. À compter d'août 2024, il n'y aura qu'un niveau de certification : FedRAMP Autorisé. Auparavant, il y avait deux processus d'autorisation : l'autorisation d'agence et l'autorisation JAB. Le processus d'autorisation d'agence sera la norme à l'avenir, offrant flexibilité et rapidité, mais nécessitant une relation étroite avec le sponsor 3PAO. La voie d'autorisation JAB devient obsolète, car toutes les certifications deviennent FedRAMP Autorisées. Pour naviguer les rapports de sécurité avec Legit Security, les CSP peuvent utiliser des outils qui automatisent les rapports pour la conformité FedRAMP, améliorant les pratiques de sécurité et maintenant l'information en sécurité.