Conscience et rigueur. Cadres

Qu’est-ce que le cadre d’évaluation de la sécurité StateRAMP ?

by Continuum GRC 0 Commentaires
Image de conformité GRC - Solutions Continuum GRC pour la cybersécurité et l'audit Cybersécurité alimentée par l'IA 2025 Zero Trust Protection contre les rançongiciels Sécurité de la chaîne d'approvisionnement Conformité réglementaire Résilience opérationnelle

StateRAMP existe depuis près de deux ans et ce petit projet est en passe de devenir un pilier du secteur de la sécurité. Les gouvernements des États et locaux recherchent un cadre de cybersécurité solide qu’ils peuvent utiliser pour contrôler et certifier les fournisseurs de cloud avec lesquels ils peuvent travailler. 

Dans cet article, nous parlerons des bases de StateRAMP, en particulier du cadre d’évaluation de la sécurité, ainsi que des processus et documents requis.

 

Qu'est-ce que StateRAMP ?

Dans l’intérêt de la sécurité nationale et du bien-être des entreprises, des citoyens et des agences gouvernementales américaines, le Congrès et les agences de sécurité associées ont élaboré un réseau de cadres et de directives en matière de cybersécurité. Ces cadres réglementaires garantissent aux organisations qui les adoptent une meilleure protection contre les piratages informatiques et le cyberterrorisme parrainé par les États. 

Bien qu’il soit possible de mettre en œuvre des cadres de sécurité nationale que toutes les agences doivent respecter, ce n’est pas aussi simple au niveau de l’État, où les gouvernements locaux ont des exigences indépendantes – une indépendance qui peut avoir un impact significatif sur l’adoption de mesures de sécurité utiles.

Le programme StateRAMP a pour objectif de remédier à ce problème. StateRAMP a été fondé début 2020 en tant que projet du secteur privé visant à transposer les réglementations gouvernementales en matière de cybersécurité autour du cloud computing au niveau des États. 

StateRAMP tire à la fois son modèle de sécurité et son homonyme du Programme fédéral de gestion des risques et des autorisations (FedRAMP), la réglementation fédérale qui applique les exigences de sécurité aux fournisseurs de services cloud (CSP) proposant des produits aux agences fédérales. FedRAMP s'appuie sur la publication spéciale 800-53 du NIST, entre autres documents, pour élaborer une approche à plusieurs niveaux de la sécurité basée sur la sensibilité des agences gouvernementales et des données qu'elles gèrent.

De même, StateRAMP s’inspire plus largement de NISTSP 800-53 et FedRAMP pour définir son cadre de sécurité. Certains des points communs incluent :

  • Niveaux d'impact : FedRAMP utilise des niveaux d'impact pour indiquer la sensibilité de la gestion des données par le CSP et, par conséquent, les types de contrôles de sécurité qu'ils doivent mettre en œuvre. Au niveau fédéral, les niveaux d'impact sont classés comme faibles, modérés et élevés. StateRAMP utilise également des niveaux d'impact. Ces niveaux correspondent à FedRAMP comme StateRAMP Low (FedRAMP Low), StateRAMP Moderate (FedRAMP Low avec quelques contrôles modérés) et StateRAMP High (FedRAMP Moderate). 
  • Évaluation par un tiers : Les programmes FedRAMP et StateRAMP exigent tous deux qu'un évaluateur externe tiers certifie qu'une organisation répond aux exigences de la réglementation. Pour StateRAMP, un 3PAO FedRAMP accepté est considéré comme un 3PAO StateRAMP accepté. Fournisseurs et produits autorisés : FedRAMP fournit un répertoire connu sous le nom de Marché FedRAMP afin que les agences puissent rapidement déterminer si une entreprise est autorisée ou non. De même, StateRAMP a la Liste des produits autorisés, un répertoire de technologies et de solutions qui ont subi Autorisation StateRAMP

En 2022, plusieurs États ont adopté les exigences StateRAMP, notamment le Texas, la Californie et New York. De même, de grandes entreprises technologiques comme BlackBerry, Box, Zoom et Avaya ont déjà obtenu leur autorisation StateRAMP.

 

Qu’est-ce que le cadre d’évaluation de la sécurité StateRAMP ?

Image de conformité GRC - Solutions Continuum GRC pour la cybersécurité et l'audit Cybersécurité alimentée par l'IA 2025 Zero Trust Protection contre les rançongiciels Sécurité de la chaîne d'approvisionnement Conformité réglementaire Résilience opérationnelle

Le modèle de sécurité StateRAMP est basé sur la norme NIST 800-53, un document de base pour la cybersécurité nationale et un inventaire des contrôles de sécurité critiques utilisés dans des réglementations telles que FISMA, FedRAMP et autres. Le cadre s'inspire également d'un ensemble de normes NIST, notamment le cadre de gestion des risques NIST.

Plus précisément, le processus se décompose en quatre étapes :

 

Documents

À ce stade, l’agence gouvernementale locale ou d’État et le fournisseur identifient les exigences du service cloud requis, à savoir le type de données stockées et la sécurité ultérieure requise. 

Certains des composants de cette étape comprennent :

  • Déterminer le niveau d’impact : L'agence gouvernementale et le fournisseur se consulteront NISTSP 800-60 pour déterminer le niveau d'impact approprié. En outre, le CSP peut intégrer des contrôles supplémentaires provenant d'autres cadres, en fonction du type de données et/ou du secteur d'activité. Les organisations peuvent consulter l'outil de classification des données StateRAMP et les modèles de contrôle de base de sécurité pour déterminer leur niveau de contrôle approprié. 
  • Mise en œuvre des contrôles de sécurité : En fonction du niveau d'impact, le fournisseur doit mettre en œuvre les contrôles de cybersécurité appropriés. Il peut les signaler dans les modèles de rapport StateRAMP si les contrôles sont déjà mis en œuvre. Supposons que le fournisseur ne mette pas en œuvre un contrôle spécifique ou ne puisse pas le faire. Dans ce cas, il doit justifier ce manque de mise en œuvre pour approbation par le bureau de gestion de projet StateRAMP (PMO).
  • Plan de sécurité du système (SSP) : Le fournisseur doit fournir un SSP qui documente tous les systèmes et contrôles répondant aux exigences de leur niveau d’impact.

 

Évaluer

Comme son nom l'indique, cette étape implique l'évaluation du fournisseur. StateRAMP, comme FedRAMP, n'autorise pas l'auto-certification ou l'établissement de rapports ; les CSP et les agences doivent s'appuyer sur les 3PAO pour leur audit. 

Les parties cruciales de cette étape comprennent :

  • 3PAO:Un CSP qui demande une autorisation StateRAMP doit utiliser un 3PAO FedRAMP autorisé. Cette organisation remplira un rapport d'évaluation de l'état de préparation (RAR) pour déterminer si le CSP est prêt pour son évaluation (et, une fois terminé, le fournisseur sera répertorié comme prêt pour StateRAMP). 
  • Plan d'évaluation de la sécurité (SAP) : Une fois que le CSP est prêt pour l'évaluation, le 3PAO crée un plan de test définissant la manière dont il va mener son évaluation. Ce plan de test décrira la méthodologie et les techniques utilisées pour mener son évaluation.
  • Rapport d'évaluation de la sécurité (SAR) : Une fois l'évaluation terminée, le 3PAO effectuera un SAR pour déterminer la posture de risque globale du fournisseur et sa conformité. 

 

Autoriser

Une fois l’évaluation terminée, il appartient au PMO StateRAMP d’autoriser le fournisseur. 

  • Plan d'action et jalons (POA&M):Une fois que le fournisseur a reçu le rapport d'analyse d'impact, il prend en compte tous les points préoccupants (ceux qui doivent être corrigés ou mis aux normes) et crée un POA&M. Ce rapport comprend une reconnaissance du problème, le plan d'action pour corriger le problème et le calendrier de cette correction. Ce calendrier s'étendra à la phase de surveillance continue.
  • Soumission:Le fournisseur, maintenant armé de l'évaluation et de son plan d'action, va constituer son ensemble de documents à soumettre au PMO pour autorisation. Ceux-ci comprennent ceux complétés par le 3PAO (le RAR, le SAP et le SAR) et ceux complétés par le fournisseur (le SSP et le POA&M). 
  • Évaluation:Le PMO StateRAMP et le comité d'approbation examinent le dossier du fournisseur et décident d'accorder ou non l'autorisation. À ce stade, si le fournisseur est approuvé, il est alors répertorié sur la liste des produits autorisés. 

Note:Une fois le fournisseur approuvé, son statut peut être révoqué s'il ne répond pas à ses exigences. Le PMO StateRAMP ou l'organisme d'autorisation (l'organisme partenaire travaillant avec le fournisseur) peut consulter un comité d'appel pour envisager la révocation. Une fois l'autorisation révoquée, le CSP est retiré de la liste des produits autorisés.

 

Écran tactile

Tout comme les CSP agréés FedRAMP, les fournisseurs StateRAMP doivent surveiller en permanence leurs systèmes pour s'assurer qu'ils répondent toujours aux exigences StateRAMP. Cela comprend :

  • Mises à jour:Le CSP fournira des rapports sous forme de plan de surveillance mensuel, y compris un résumé mensuel et une mise à jour du POA&M (le cas échéant). En outre, le CSP fournira les résultats d'un examen annuel d'un tiers de ses contrôles de sécurité effectué chaque année par le 3PAO.
  • Changements importants : Si le CSP apporte des « modifications importantes » aux contrôles de sécurité ou à l’infrastructure, il doit les signaler au PMO et à tout organisme autorisé dans les 30 jours. 
  • Réponse à l'incident: Les fournisseurs doivent disposer de plans de réponse aux incidents dans le cadre de leur SSP. En cas d'incidents de sécurité importants affectant les composants StateRAMP, le PMO StateRAMP peut demander un examen de l'autorisation pour déterminer si elle continue à fonctionner. 

 

Préparez-vous à l'autorisation StateRAMP avec Continuum GRC

StateRAMP devient rapidement un cadre populaire pour les CSP qui souhaitent travailler sur le marché technologique en constante évolution des administrations étatiques et locales. De même, ces agences gouvernementales recherchent de plus en plus de fournisseurs capables de les aider à moderniser leurs services. 

Continuum GRC est une plateforme basée sur le cloud qui propose une approche des évaluations basée sur les risques et la conformité. Nos outils sont agréés FedRAMP et StateRAMP, et nous avons des décennies d'expérience dans le secteur de la cybersécurité gouvernementale. 

Continuum GRC est basé sur le cloud, toujours disponible et connecté à notre équipe d'experts. Nous fournissons une assistance en matière de gestion des risques et de conformité pour tous les principaux cadres réglementaires et de conformité du marché, notamment :

  • FedRAMP
  • ÉtatRAMP
  • NIST800-53
  • DFARS NIST 800-171
  • CMMC
  • SOC 1, SOC 2, SOC 3
  • HIPAA
  • PCI DSS 4.0
  • IRS 1075
  • COSO SOX
  • Série ISO 27000
  • Série ISO 9000

Et bien plus encore. Nous sommes la seule solution de gestion des risques et de conformité autorisée par FedRAMP et StateRAMP au monde.

Continuum GRC est une plateforme proactive de cybersécurité® et la seule plateforme d'audit de cybersécurité agréée FedRAMP et StateRAMP au monde. Appelez le 1-888-896-6207 pour discuter des besoins de votre organisation en matière de cybersécurité et découvrir comment nous pouvons l'aider à protéger ses systèmes et à assurer sa conformité.

Continuum GRC

Site Web: