Conscience et rigueur. Cadres

Comprendre la transition de FedRAMP vers les cours de certification 

by Continuum GRC 0 Commentaires
Un cadenas numérique bleu dans un cercle rouge sur un paysage numérique abstrait

Ancré dans la loi d'autorisation FedRAMP et Mémo M-24-15 de la CAMOLe programme FedRAMP subit une transformation majeure qui affecte pratiquement tous les aspects de la manière dont les fournisseurs de services cloud sollicitent, obtiennent et conservent l'autorisation fédérale. FedRAMP 20xCe programme vise à simplifier la conformité et à faciliter l'accès des produits cloud au marché fédéral.

Le plus visible de ces changements est la mise à la retraite de l'héritage Catégories de sécurité FIPS 199 (Faible, Modéré et Élevé) en faveur d'un nouveau système alphabétique : Classes de certification A à D.

Nous allons passer en revue ces nouvelles catégories et leurs implications pour les organismes qui demandent une autorisation.

 

Pourquoi les niveaux d'impact sont-ils remplacés ?

Image FedRAMP compacte. Solutions cloud autorisées jusqu'en 2025.Pendant des années, les « niveaux d'impact » de FedRAMP ont engendré une confusion persistante avec les désignations de niveaux d'impact du département de la Défense (de IL2 à IL6) et les systèmes de classification similaires utilisés par le département de la Marine. Un fournisseur de services cloud titulaire d'une autorisation FedRAMP Modérée était régulièrement interrogé sur son équivalence avec un niveau IL4 du département de la Défense, ou sur une éventuelle interchangeabilité entre un niveau FedRAMP Élevé et un niveau IL5 (ce qui n'était pas le cas). 

Plus important encore, FedRAMP se consolide autour d'une seule désignation officielle : Certifié FedRAMPUn fournisseur est soit certifié, soit il ne l'est pas. La catégorie associée à cette certification définit la portée et le niveau de détail des documents d'évaluation qu'il a soumis. Elle ne constitue pas un avis universel sur le niveau de sécurité d'un système, et chaque organisme doit toujours effectuer sa propre analyse des risques et délivrer sa propre autorisation d'exploitation. 

Pour comprendre le fonctionnement de ces cours de certification, il est important de saisir deux changements majeurs :

 

Automatisation et validation persistante

Premièrement, FedRAMP abandonne radicalement les documents narratifs rédigés par des humains au profit de preuves déterministes générées par machine. Il s'agit de données extraites directement des configurations système, des résultats d'outils et des journaux d'exploitation, qui peuvent être analysées et validées sans intervention humaine.

La pierre angulaire de ce changement est le OSCAL (langage d'évaluation des contrôles de sécurité ouverts) Obligation. Tous les fournisseurs FedRAMP Rev5 et 20x doivent convertir leurs packages d'autorisation au format lisible par machine d'OSCAL. 

Pour les fournisseurs qui visent ou maintiennent la certification de classe C dans le cadre du modèle 20x, les exigences en matière de fréquence de validation sont particulièrement strictes. La validation automatisée des ressources matérielles doit être effectuée au moins une fois tous les trois jours. 

Les exigences pratiques de ce modèle comprennent :

  • Chaînes de traitement automatisées de la collecte de preuves qui extraient les états de configuration, les résultats des analyses de vulnérabilité et les données de contrôle d'accès des systèmes de production sur un base continue.
  • Outils de documentation natifs OSCAL capable de générer et de mettre à jour des packages de sécurité lisibles par machine sans conversion manuelle à partir de documents sources Word ou PDF.
  • Intégration entre les outils de sécurité et les plateformes de conformité afin que les résultats des outils SIEM, CSPM, de gestion des vulnérabilités et de gouvernance des identités soient directement intégrés aux flux de travail de validation.
  • infrastructure de surveillance continue conçu autour d'un cycle de validation de trois jours, avec des processus d'alerte et de gestion des exceptions fonctionnant à cette cadence.
  • Implémentations de contrôle de version qui suivent les modifications apportées aux configurations de sécurité avec la même rigueur que celle appliquée au code source de l'application.

Les organisations qui s'appuient encore sur un suivi de la conformité basé sur des tableurs ou sur des dossiers narratifs élaborés par des consultants constateront que le modèle 20x est incompatible avec leurs processus actuels.

 

Indicateurs clés de sécurité

Deuxièmement, la certification délaisse les descriptions narratives des contrôles au profit d'indicateurs clés de sécurité (KSI) générés par des systèmes automatisés et intégrés à OSCAL. Les KSI ne remplacent pas les descriptions narratives des contrôles. NISTSP 800-53 exigences de sécurité, et la manière dont elles sont cartographiées et communiquées :

  • Correspondance avec les commandes : Chaque indicateur clé de sécurité (KSI) est conçu pour correspondre à plusieurs contrôles sous-jacents de la norme NIST 800-53. Au lieu de rédiger une description pour chaque contrôle individuel, les fournisseurs prouvent qu'ils ont atteint les objectifs de sécurité requis grâce à ces indicateurs consolidés.
  • Exigences de base : Le respect des contrôles NIST SP 800-53 demeure obligatoire. Cette transition fait passer le programme d'une démonstration de conformité sur papier à une démonstration de sécurité en temps réel.
  • Récit contre données : Dans le modèle traditionnel, les fournisseurs rédigeaient des descriptions narratives pour justifier la mise en œuvre des contrôles. Dans le paradigme 20x, ces documents écrits sont remplacés par des requêtes OSCAL générées par machine et des validations automatisées issues des journaux système et des outils de gestion des événements.
  • Preuve continue : Alors que le recours traditionnel aux contrôles NIST impliquait une évaluation annuelle ponctuelle, le modèle KSI exige que les systèmes fournissent une preuve continue que ces mesures de protection fonctionnent activement chaque jour.

 

Un cadenas numérique bleu dans un cercle rouge sur un paysage numérique abstrait

Classes de certification A à D

Certification de classe A : Remplace FedRAMP Ready

La classe A est une catégorie entièrement nouvelle, sans prédécesseur direct dans le cadre existant. Elle remplace la désignation FedRAMP Ready, même si, dans les faits, elle reprend bon nombre des exigences de ce niveau et les intègre au nouveau paradigme. Pour les fournisseurs exclus du marché fédéral en raison du coût et de la complexité de l'autorisation traditionnelle, la classe A représente une voie d'accès potentielle. 

À l’heure actuelle, Il n'y a pas un nombre précis de KSI à respecter pour la classe A. Au lieu de cela, les fournisseurs de services cloud doivent répondre six mandats fédéraux en ce qui concerne chiffrement, l'authentification, le signalement des incidents et les exigences connexes. 

 

Classe de certification B : Faible impact

La classe B regroupe les exigences qui relevaient auparavant du référentiel « Faible impact » et de la désignation Li-SaaS (logiciel en tant que service à faible impact). Elle constitue le référentiel pour les services traitant des données dont les conséquences d'une violation seraient limitées. Elle simplifie également la distinction entre les référentiels Li-SaaS et « Faible impact », dont la similarité rendait leur gestion distincte source de confusion sans pour autant apporter de valeur ajoutée en matière de sécurité.

Les services de classe B doivent répondre à 51 KSI. 

 

Classe de certification C : Impact modéré

La classe C correspond au niveau de référence actuel, dit « Modéré », qui a toujours été au cœur du programme FedRAMP. La grande majorité des services cloud autorisés se situent à ce niveau, et il demeure l'objectif principal pour la plupart des fournisseurs entrant sur le marché fédéral. Ce qui change radicalement avec la classe C, c'est… how La conformité est démontrée. 

Les services de classe C doivent répondre à 56 KSI.

 

Classe de certification D : Impact élevé

La classe D correspond au niveau de risque élevé et est réservée aux systèmes qui traitent, stockent ou transmettent des données dont la violation aurait des conséquences graves, voire catastrophiques. Cela inclut les données des forces de l'ordre, les dossiers médicaux et d'autres catégories pour lesquelles la tolérance au risque des pouvoirs publics est minimale. La classe D conserve les exigences d'évaluation les plus rigoureuses et, contrairement aux classes A à C, elle continue de nécessiter l'autorisation d'un organisme parrain spécifique.

Services de classe D n'ont pas annoncé de nombre de KSI à partir de mars 2026. 

 

Échéances cruciales pour 2026 et au-delà

La transition est déjà en cours et les étapes importantes se succèdent rapidement. Les dates clés sont les suivantes :

  • 2026 juin : Publication finale des règles consolidées FedRAMP pour 2026 (CR26), qui codifieront le cadre complet des classes de certification et les exigences associées.
  • Juillet 28, 2026: Le label « FedRAMP Ready » est officiellement abandonné au profit de la norme de classe A. Les fournisseurs de services cloud (CSP) bénéficiant de la désignation « Ready » ont la possibilité de passer à la classe A (après examen) d’ici novembre 2026. 
  • Septembre 30, 2026: Toutes les nouvelles demandes d'autorisation Rev5 doivent être soumises au format OSCAL lisible par machine.
  • Septembre 30, 2027: La période de grâce accordée aux fournisseurs agréés existants pour convertir leurs forfaits à OSCAL ou voir leur agrément révoqué prend fin. 

Ces dates laissent peu de marge de manœuvre, notamment pour les organisations qui n'ont pas encore adopté OSCAL ou qui fonctionnent encore avec des flux de travail documentaires traditionnels.

 

Transition vers le nouveau FedRAMP avec la conformité automatisée de Continuum GRC

Le marché du cloud public fédéral est en pleine mutation pour fonctionner à des rythmes et à des échelles fondamentalement différents. Les fournisseurs qui y prospéreront seront ceux qui intègrent dès aujourd'hui la conformité à leurs processus d'ingénierie.

Nous fournissons un soutien en matière de gestion des risques et de conformité pour chaque cadre réglementaire et de conformité majeur du marché, notamment :

Et bien plus encore. Nous sommes la seule solution de gestion des risques et de conformité autorisée par FedRAMP et StateRAMP au monde.

Continuum GRC est une cybersécurité proactive® et le seul FedRAMP et Autorisé par l'ÉtatRAMP Plateforme mondiale d'audit de cybersécurité. Appelez le 1-888-896-6207 pour discuter des besoins de votre organisation en matière de cybersécurité et découvrir comment nous pouvons vous aider à protéger vos systèmes et à garantir votre conformité.

Continuum GRC

Site Web: