GovRAMP

GovRAMP a été développé à l'intention des responsables des achats et de l'informatique, afin de combler le fossé entre ces deux services et de fournir un cadre de normes de cybersécurité aux entrepreneurs publics. Trop souvent, les responsables des achats sont confrontés à la difficulté de se procurer les meilleurs services et logiciels cloud au meilleur prix, sans disposer des outils ni des ressources nécessaires pour vérifier la conformité en matière de cybersécurité.

Bien que les gouvernements des États et locaux aient commencé à prendre des mesures pour sécuriser leurs propres bases de données, peu de mesures ont été prises pour valider la surveillance et la protection des fournisseurs de services cloud tiers avec lesquels ils font affaire.

Les modules comprennent:

  • Plan de sécurité du système (SSP) Élevé-Moyen-Faible
  • Plan de sécurité du système (PSS)
  • Rapport d'évaluation de la sécurité (SAR)
  • Plan d'évaluation de la sécurité (SAP)
  • Plan d'action et jalons (POA&M)
  • Matrice de responsabilité du client
  • Plan d'authentification électronique (E-Authentication)
  • Évaluation des facteurs relatifs à la vie privée (PIA)
  • Règles de comportement (RoB)
  • Plan d'urgence des systèmes d'information (PISI)
  • CIS pour les lignes de base SSP faibles, modérées ou élevées
  • Cahier d'inventaire intégré
  • Politiques et procédures de sécurité des systèmes d'information
  • Plan de gestion de la configuration (CM)
  • Résumé de la mise en œuvre du contrôle (CIS)
  • Feuille de travail CIS
  • Plan d'urgence informatique (PC)
  • Plan de réponse aux incidents (IRP)
  • Règles de comportement (ROB)
  • Contrôle d'accès CA
  • Sensibilisation et formation aux AT
  • Audit et responsabilité de l'UA
  • Certification, accréditation et évaluation de la sécurité CA
  • Gestion de la configuration CM
  • Planification d'urgence CP
  • Identification et authentification IA
  • Réponse aux incidents IR
  • Maintenance MA
  • Protection des médias MP
  • PE Protection physique et environnementale
  • Planification PL
  • Sécurité du personnel de PS
  • Évaluation des risques liés à l'AR
  • Acquisition de systèmes et de services SA
  • Protection des systèmes et des communications SC
  • Intégrité des systèmes et de l'information SI
  • Gestion de projet PM

    ConMon

    • Activités et livrables de surveillance continue : Continu
    • Activités de surveillance continue et livrables : hebdomadaires
    • Activités et livrables de surveillance continue : 10 jours
    • Activités et livrables de surveillance continue : mensuels
    • Activités et livrables de surveillance continue : 60 jours
    • Activités de surveillance continue et produits livrables : Trimestriel (90 jours)
    • Activités et livrables de surveillance continue : Annuel
    • Activités et livrables de surveillance continue : tous les 2 ans
    • Activités et livrables de surveillance continue : tous les 3 ans
    • Activités et livrables de surveillance continue : tous les 5 ans
    • Formulaire de demande de changement important StateRAMP
    • Formulaire de demande de changement important StateRAMP : Annexe A

    Les politiques et les procédures

    • AC – Politique de contrôle d’accès
    • AC – Procédure de contrôle d’accès
    • AT – Politique de sensibilisation et de formation
    • AT – Procédure de sensibilisation et de formation
    • AU – Politique d’audit et de responsabilité
    • AU – Procédure d’audit et de reddition de comptes
    • CA – Politique d’évaluation et d’autorisation de sécurité
    • CA – Procédure d’évaluation et d’autorisation de sécurité
    • CM – Politique de gestion de la configuration
    • CM – Procédure de gestion de la configuration
    • CP – Politique de planification d’urgence
    • CP – Procédure de planification d’urgence
    • IA – Politique d’identification et d’authentification
    • IA – Procédure d’identification et d’authentification
    • IR – Politique de réponse aux incidents
    • IR – Procédure de réponse aux incidents
    • MA – Politique de maintenance
    • MA – Procédure de maintenance
    • MP – Politique de protection des médias
    • MP – Procédure de protection des médias
    • PE – Politique physique et environnementale
    • PE – Procédure physique et environnementale
    • PL – Politique d’urbanisme
    • PL – Procédure de planification
    • PS – Politique du personnel
    • PS – Procédure Personnelle
    • RA – Politique d’évaluation des risques
    • RA – Procédure d’évaluation des risques
    • SA – Politique d’acquisition de systèmes et de services
    • SA – Procédure d’acquisition de systèmes et de services
    • SC – Politique de protection des systèmes et des communications
    • SC – Procédure de protection du système et des communications
    • SI – Politique d’intégrité des systèmes et des informations
    • SI – Procédure d'intégrité des systèmes et des informations

    Composantes clés de l'évaluation GovRAMP

    Cette forme d'évaluation de la cybersécurité a été conçue pour garantir que les fournisseurs de services cloud collaborant avec les gouvernements des États et locaux respectent des normes spécifiques en matière de sécurité des données sensibles. GovRAMP s'inspire de FedRAMP, les normes de sécurité cloud exigées par le gouvernement fédéral.

    A évaluation par un tiers La stratégie commence par l'examen des actifs clés de l'organisation et la hiérarchisation de leur valeur pour l'entreprise. Ces éléments couvrent l'analyse des failles de sécurité, la collecte de données, la sécurité globale du cloud, la formation des employés, etc.

    Des modifications sont recommandées pour respecter les normes de sécurité, et une surveillance continue est mise en place pour les maintenir. Une documentation complète est également requise.

    Processus d'évaluation GovRAMP

    Des recherches préliminaires sont nécessaires pour comprendre les exigences GovRAMP. Trouver un évaluateur tiers comme Continuum GRC Cela peut faciliter le processus. Une évaluation de l'état de préparation est facultative, mais elle permettra de mieux identifier les failles de sécurité à corriger en matière de conformité.

    Différents niveaux de rapport doivent être traités, détaillant les contrôles et procédures de sécurité spécifiques, les plans d'action, les services cloud sécurisés, etc. Une documentation complète est également requise, suivie d'un résumé analytique pour examen par le gouvernement. Un évaluateur tiers expérimenté peut accompagner votre organisation avec expertise dans ce processus complexe pour obtenir cette importante certification.

    Pourquoi nous choisir?

    Continuum GRC possède des années d'expérience dans le traitement des exigences en constante évolution des certifications de haut niveau. Nous connaissons et comprenons les petits détails qui peuvent perturber et ralentir le processus. Nous anticipons ces difficultés pour garantir leur bon déroulement. 

    Tout programme de certification ou de conformité impliquant le gouvernement exige une rigueur et un soin exceptionnels. Nous possédons l'expertise nécessaire pour évaluer votre situation, formuler des recommandations judicieuses, vous aider à les mettre en œuvre, puis vous assister dans le suivi et la documentation nécessaires. S'en charger seul est coûteux, chronophage et gourmand en ressources. Confiez-nous cette tâche.

    QFP

    Sélectionnez le parcours d'autorisation adapté à votre organisation. Choisissez un auditeur tiers agréé comme Continuum GRC pour superviser l'évaluation. Rassemblez la documentation : politiques, plans et procédures relatifs à la sécurité de l'information. Confiez l'évaluation de conformité aux exigences StateRAMP à votre évaluateur tiers. Soumettez le dossier à la certification et assurez la conformité grâce à des évaluations régulières.

    Le processus de conformité StateRAMP dure environ trois à six mois. Il comprend le dépôt de la demande et la documentation requise, une évaluation de sécurité et la résolution des problèmes signalés. Certaines organisations étatiques et locales nécessitant une autorisation modérée ou élevée peuvent bénéficier d'une procédure accélérée d'un à deux mois.

    Experts en certifications de tous types, Continuum GRC accompagne les organisations et les prestataires de services dans ce processus parfois complexe. Nous maîtrisons la documentation requise, savons mener une évaluation efficace et mettre en œuvre les correctifs nécessaires. Nous savons également mettre en place les processus de surveillance nécessaires pour garantir votre conformité.

    Un organisme d'évaluation tiers est un organisme autorisé à accompagner une organisation, publique ou privée, dans les tests et évaluations nécessaires à l'obtention de certifications de toutes sortes. Continuum GRC maîtrise parfaitement les tenants et aboutissants des différents contrôles de sécurité de haut niveau.

    Il s'agit de deux cadres de cybersécurité pour le traitement des informations sensibles. Les directives StateRAMP sont destinées aux administrations locales et étatiques ; les directives FedRAMP sont destinées au niveau fédéral. La conformité à FedRAMP est obligatoire et imposée par la General Services Administration, tandis que les critères StateRAMP sont volontaires et gérés par chaque État.

    Qu'attendez-vous?

    Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

    Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

    Téléchargez notre brochure d'entreprise.

    Am

    À propos de la norme

    GovRAMP, anciennement StateRAMP, est une organisation à but non lucratif dont la mission est de normaliser et de rationaliser la conformité en matière de cybersécurité pour les fournisseurs de services cloud (FSC) desservant les administrations publiques des États, des collectivités locales, des tribus et de l'éducation (SLTT). Inspiré du programme fédéral FedRAMP, GovRAMP offre un cadre unifié pour l'évaluation, l'autorisation et la surveillance continue des services cloud afin de garantir une sécurité renforcée des données gouvernementales. Vous trouverez ci-dessous un aperçu complet de la conformité GovRAMP, notamment son objectif, ses principaux composants, ses exigences et ses processus.

    Objectif de GovRAMP

    GovRAMP vise à simplifier la conformité en matière de cybersécurité pour les CSP et les agences gouvernementales en :

    • Normalisation des processus d’évaluation de la sécurité pour réduire la redondance.
    • Fournir un modèle « vérifier une fois, servir plusieurs fois », permettant aux CSP d'atteindre la conformité une fois et de servir plusieurs entités gouvernementales.
    • Protection des données gouvernementales sensibles et des infrastructures critiques.
    • Faciliter l’adoption d’un cloud sécurisé pour les gouvernements étatiques et locaux.
    • Réduire les charges et les coûts de conformité pour les CSP et les agences gouvernementales.

    En février 2025, le programme a été rebaptisé « StateRAMP » en « GovRAMP » afin de refléter sa mission plus large d'unification des normes de cybersécurité à différents niveaux de gouvernement, notamment au niveau des États, des collectivités locales, des tribus et des établissements d'enseignement. En avril 2025, plus d'une vingtaine d'États et d'établissements d'enseignement public, comme l'Alabama, l'Arizona, la Californie et d'autres, avaient adopté GovRAMP.

    Composants clés de la conformité GovRAMP

    1. Cadre NIST 800-53:
      • GovRAMP s'appuie sur la publication spéciale 800-53 Révision 5 du National Institute of Standards and Technology (NIST), qui fournit un catalogue complet de contrôles de sécurité et de confidentialité.
      • Il couvre environ 380 des 420 contrôles NIST 800-53, adaptés pour répondre aux besoins de sécurité spécifiques au cloud des gouvernements étatiques et locaux.
      • Le cadre garantit une protection contre les cybermenaces, les menaces internes et les violations de données tout en préservant la confidentialité des données, en particulier pour les informations personnelles identifiables (PII).
    2. Niveaux d'impact:
      • GovRAMP catégorise les services cloud en fonction de la sensibilité des données et de la criticité du système en quatre niveaux d'impact :
        • Faible:Données accessibles au public, non sensibles, avec des contrôles de base.
        • Faible+:Données sensibles limitées avec contrôles renforcés (hybride faible-modéré).
        • Modérée:Données confidentielles et systèmes critiques nécessitant des contrôles complets.
        • Élevée:Systèmes sensibles et critiques avec des contrôles stricts, équivalents à FedRAMP High.
      • Les CSP doivent aligner leurs contrôles de sécurité sur le niveau d'impact approprié en fonction d'une évaluation des risques et d'une classification des données, souvent à l'aide de l'outil de classification des données de GovRAMP.
    3. Organismes d'évaluation tiers (3PAO):
    4. Contrôle continu:
      • La surveillance continue est la pierre angulaire de la conformité GovRAMP, garantissant une sécurité continue grâce à :
        • Analyses et rapports mensuels de vulnérabilité.
        • Cotisations annuelles par les 3PAO.
        • Rapports d'incidents et plans de remédiation (Plan d'actions et jalons, POA&M).
      • Cela garantit que les CSP maintiennent la conformité et s’adaptent à l’évolution des menaces.
    5. Statuts de sécurité:
      • GovRAMP attribue des statuts aux CSP en fonction de leur progression en matière de conformité, répertoriés sur la liste des produits autorisés (APL) :
        • Offres vérifiées:
          • Core: Conforme aux 60 contrôles NIST 800-53 de niveau modéré (introduits en mai 2025), idéal pour les fournisseurs plus récents ou plus petits. Nécessite une surveillance trimestrielle.
          • Prêt à fonctionner:Répond aux exigences minimales de sécurité avec l'évaluation 3PAO.
          • Provisoire:Dépasse les exigences minimales et comprend un parrain gouvernemental.
          • Autorisé:Entièrement conforme à tous les contrôles requis, au parrainage gouvernemental et à la surveillance continue.
        • Offres progressives:
          • Actif: En route vers le statut Prêt.
          • En cours: En cours d'obtention du statut autorisé.
          • En Attente:Package de sécurité soumis, en attente d'examen par le PMO.
      • Les statuts autorisés et provisoires nécessitent un sponsor gouvernemental, bien que le comité d'approbation GovRAMP puisse agir en tant que sponsor si nécessaire.

    Processus d'autorisation

    Le processus d'autorisation GovRAMP comprend plusieurs étapes pour garantir que les CSP respectent les normes de sécurité :

    1. Devenez membre de GovRAMP:Les CSP doivent rejoindre GovRAMP pour accéder aux ressources et lancer le processus.
    2. Réaliser un instantané de sécurité:Une auto-évaluation initiale pour évaluer la posture de sécurité du CSP.
    3. Identifier le niveau d'impact et le statut souhaité:Déterminez le niveau d’impact approprié (faible, faible+, modéré, élevé) et l’état cible (par exemple, prêt, autorisé).
    4. Sélectionnez un 3PAO:Faites appel à un 3PAO accrédité pour une validation indépendante.
    5. Préparer la documentation: Les documents clés comprennent :
      • Plan de sécurité du système (PSS): Détaille les contrôles de sécurité et l'architecture du système.
      • Rapport d'évaluation de la sécurité (SAR):Évalue l’efficacité du contrôle de sécurité.
      • Plan d'actions et jalons (POA&M):Décrit les mesures correctives à prendre pour combler les lacunes identifiées.
      • Rapport d'évaluation de l'état de préparation (RAR):Confirme la préparation à l’évaluation formelle.
      • Matrice des contrôles de sécurité:Mappe les contrôles selon les exigences NIST 800-53.
    6. Soumettre une demande d'examen de sécurité:Le dossier de sécurité est soumis au Bureau de gestion du programme GovRAMP (PMO) pour examen.
    7. Contrôle continu:Après l’autorisation, les CSP doivent maintenir la conformité grâce à un suivi et des rapports réguliers.

    Différences entre GovRAMP et FedRAMP

    Bien que GovRAMP reflète FedRAMP, les principales différences incluent :

    • Domaine:GovRAMP se concentre sur les entités étatiques, locales, tribales et éducatives, tandis que FedRAMP cible les agences fédérales.
    • Sponsoring:GovRAMP permet une autorisation sans sponsor gouvernemental (via le Comité d'approbation), contrairement à FedRAMP, qui nécessite un sponsor d'agence fédérale.
    • Souplesse:GovRAMP offre des voies de conformité plus flexibles et est considéré comme plus rentable et agile.
    • Fast Track:Les CSP disposant du statut FedRAMP Ready peuvent contourner certaines étapes d'audit GovRAMP, accélérant ainsi l'autorisation.

    Avantages de la conformité GovRAMP

    • Crédibilité améliorée:L’inclusion sur la liste des produits autorisés renforce la confiance parmi les clients, les partenaires et les parties prenantes du gouvernement.
    • Posture de sécurité plus forte:Les contrôles NIST 800-53 protègent contre les cybermenaces, réduisant ainsi les risques de violation et de perte de données.
    • Économies de coûts:La conformité standardisée réduit les évaluations redondantes, ce qui permet d’économiser du temps et des ressources.
    • Amélioration de l'efficacité des achats:Les gouvernements peuvent se procurer des services plus rapidement grâce à des CSP pré-vérifiés.
    • Alignement inter-cadres:GovRAMP chevauche FedRAMP, SOC 2 et ISO 27001, facilitant la conformité à plusieurs normes.
    • Prise en charge de la sécurité de l'IA:En avril 2025, GovRAMP a lancé un groupe de travail sur la sécurité de l'IA pour répondre aux risques de cybersécurité dans les services cloud basés sur l'IA.

    Défis de conformité

    • Fardeau de la documentation:La préparation de documents complets tels que les SSP et les SAR prend du temps et nécessite beaucoup de ressources.
    • Coût et temps:La mise en conformité, en particulier pour les niveaux d’impact les plus élevés, peut prendre de 6 à 24 mois et nécessite un investissement important.
    • Contrôle continu:Les évaluations et les rapports continus exigent des efforts et des ressources soutenus.
    • Exigences variables selon les États:Bien que GovRAMP normalise les processus, certains États peuvent avoir des exigences uniques, ce qui ajoute de la complexité.

    GovRAMP Core : une nouvelle voie de conformité

    Lancé en mai 2025, GovRAMP Core est une option de conformité simplifiée pour les CSP récents ou de petite taille. Il exige le respect de 60 contrôles NIST 800-53 de niveau modéré et une surveillance trimestrielle, constituant une étape intermédiaire vers une autorisation complète. Cela facilite la conformité tout en maintenant des normes de sécurité rigoureuses.

    Étapes pratiques pour la conformité

    1. Évaluer la sensibilité des données:Utilisez l’outil de classification des données de GovRAMP pour déterminer le niveau d’impact approprié.
    2. Engagez un 3PAO tôt: Associez-vous à un 3PAO accrédité pour guider le processus d’évaluation.
    3. Développer une documentation solide: Investissez dans la création de SSP, SAR et POA&M détaillés pour démontrer la conformité.
    4. Mettre en œuvre les contrôles du NIST: Aligner les systèmes sur les contrôles NIST 800-53, en se concentrant sur le niveau d’impact pertinent.
    5. Plan de surveillance continue:Établir des processus pour les analyses mensuelles, les évaluations annuelles et la réponse aux incidents.
    6. Tirer parti de la procédure accélérée (le cas échéant):Les CSP disposant de l'autorisation FedRAMP peuvent utiliser le programme Fast Track pour accélérer la conformité GovRAMP.

    Conclusion

    GovRAMP fournit un cadre structuré, basé sur le NIST, pour garantir la sécurité des services cloud aux administrations étatiques et locales. En standardisant les évaluations de sécurité, en exigeant des audits 3PAO et en appliquant une surveillance continue, il renforce la confiance et l'efficacité des marchés publics. Les prestataires de services de communication (PSC) conformes à GovRAMP bénéficient d'un avantage concurrentiel sur le marché des SLTT, tandis que les gouvernements bénéficient d'une cybersécurité renforcée et de processus simplifiés. Pour obtenir des conseils détaillés, les PSC et les agences peuvent consulter les ressources du site web officiel de GovRAMP (govramp.org) ou consulter des experts en conformité tels que Continuum GRC or Alliance Lazare.

    Avantages étonnants

    Vignette YouTubeYouTube icône