Ne vous laissez pas tromper : Pourquoi les prétentions vides d'”équivalence FedRAMP” mettent en péril la conformité CMMC
Le 2 janvier 2024, le Département de la Défense (DoD) a émis une note d’équivalence pour le Federal Risk and Authorization Management Program (FedRAMP). Cette note fournit des directives essentielles sur l’équivalence modérée de FedRAMP pour les offres de services cloud des fournisseurs de services cloud (CSP). Elle précise les exigences spécifiques pour l’équivalence modérée de FedRAMP. En résumé, les CSP doivent se conformer pleinement aux derniers contrôles de sécurité modérés de FedRAMP et subir une évaluation par une organisation d’évaluation tierce reconnue par FedRAMP (3PAO) pour obtenir l’équivalence modérée de FedRAMP.
En émettant cette note, le DoD espère décourager les fournisseurs de CSP de prétendre être “équivalents à FedRAMP” lorsqu’ils n’ont pas rempli les exigences nécessaires pour être autorisés en mode FedRAMP.
Le processus de certification CMMC est ardu, mais notre feuille de route pour la conformité CMMC 2.0 peut vous aider.
Quels standards de conformité des données sont importants ?
Équivalence FedRAMP vs. Autorisation Modérée FedRAMP
Il existe quelques différences clés entre l’autorisation modérée de FedRAMP et l’équivalence de FedRAMP. Examinons de plus près chacune d’elles.
L’autorisation modérée de FedRAMP est un processus de certification dans lequel un fournisseur de services cloud passe par un processus d’évaluation rigoureux et reçoit une autorisation d’exploitation (ATO) d’une organisation d’évaluation tierce CMMC autorisée par FedRAMP (C3PAOs). Cela indique que le service a mis en place des contrôles de sécurité et des processus qui répondent aux exigences modérées de FedRAMP.
L’équivalence de FedRAMP, en revanche, signifie qu’un fournisseur de services cloud a une certification qui est équivalente en rigueur à FedRAMP Moderate, mais qui n’est pas réellement autorisée par FedRAMP. Les équivalents courants comprennent ISO 27001, HITRUST CSF, et l’autorisation provisoire du DoD.
FedRAMP Moderate a défini un ensemble de 325 contrôles de sécurité basés sur NIST SP 800-53. Les certifications équivalentes peuvent présenter des différences dans les ensembles de contrôles ou la rigueur qui doivent être abordées pour FedRAMP. Ainsi, bien que l’équivalence FedRAMP fournisse une base, elle ne remplace pas la nécessité d’une autorisation complète FedRAMP Moderate pour une utilisation par le gouvernement fédéral.
Équivalence FedRAMP : Ce que les entrepreneurs et sous-traitants de la défense doivent savoir
DFARS 7012 exige que les entrepreneurs n’utilisent que des fournisseurs de services cloud qui répondent à des exigences de sécurité équivalentes à FedRAMP Moderate Authorized. En obtenant l’autorisation FedRAMP Moderate, les CSP fournissent un ensemble de preuves auditées contenant de la documentation de sécurité, des rapports et des progrès continus dans la correction des résultats. Le processus de certification FedRAMP est si rigoureux que le DoD le considère comme la norme d’or pour la conformité CMMC.
Danger des revendications “équivalentes”
Les revendications vagues des fournisseurs de CSP de fournir des services cloud “équivalents à FedRAMP” sont devenues problématiques pour les entrepreneurs nécessitant une conformité CMMC. Il convient de le répéter : l’équivalence FedRAMP n’est pas la même chose que FedRAMP Moderate Authorized.
Alors que l’autorisation FedRAMP Moderate fournit une preuve définitive de contrôles de sécurité robustes, de nombreux CSP font des assertions non étayées d’équivalence sans subir d’évaluations FedRAMP réelles. Sans un examen approprié, ces revendications d’équivalence peuvent augmenter considérablement le risque de non-conformité avec les exigences DFARS 7012 et CMMC. Prendre simplement le mot d’un fournisseur concernant l’équivalence FedRAMP introduit des échecs d’audit potentiels et des menaces cybernétiques pour les CUI sensibles.
Validation de la véritable équivalence FedRAMP
Le DoD a défini dans son mémo la signification de l’équivalence à FedRAMP Moderate. Cela comprend :
- Conformité à 100% avec le contrôle de base modéré FedRAMP
- Respect des protocoles de cyberincident/réponse DFARS 7012
- Évaluation par un 3PAO accrédité avec une documentation complète, y compris le plan/rapport d’évaluation de la sécurité
En fin de compte, si les entrepreneurs souhaitent rester du bon côté de la conformité CMMC, ils doivent valider toute affirmation d’équivalence d’un CSP en exigeant des preuves d’évaluations 3PAO, une documentation des contrôles de sécurité, et une confirmation des obligations DFARS 7012.
Atteignez la conformité CMMC avec Kiteworks, votre véritable partenaire FedRAMP
En utilisant des services cloud qui ont préalablement obtenu l’autorisation FedRAMP Moderate, les entrepreneurs peuvent se conformer aux exigences DFARS 7012 et CMMC, protéger les données sensibles et éviter l’écueil courant des affirmations d’équivalence superficielle.
Une autorisation FedRAMP Moderate équipe les entrepreneurs avec des preuves réelles de contrôles de sécurité, afin qu’ils puissent accélérer avec confiance et rapidité les achats sans mettre les programmes et les informations à un risque évitable.
Kiteworks est autorisé FedRAMP Moderate depuis 2017 et permet aux agences gouvernementales, aux entrepreneurs et aux entreprises du secteur privé de partager et de stocker des informations sensibles avec les plus hauts niveaux de sécurité, de contrôle et de conformité.
Le réseau de contenu privé de Kiteworks permet aux entrepreneurs de défense de protéger les CUI avec un chiffrement AES–256 au repos et un chiffrement TLS 1.3 pour les données en mouvement. L’antivirus intégré et les intégrations de sécurité avec DLP, ATP, SSO, LDAP/AD, SIEM et MFA protègent davantage les CUI.
Des contrôles de gouvernance étendus donnent aux organisations une visibilité complète sur les fichiers entrant et sortant de l’organisation. De plus, des journaux d’audit complets qui capturent toute l’activité des fichiers, à savoir qui envoie quoi à qui et quand, permettent la conformité réglementaire avec les réglementations et normes de protection des données personnelles comme FedRAMP, CMMC, HIPAA, Cyber Essentials Plus, ITAR, et bien d’autres.
En tant que CSP autorisé par FedRAMP, Kiteworks est déployé sur un cloud privé virtuel dans AWS pour tous les traitements. Il dispose d’un serveur dédié, isolé de tous les autres clients sur Amazon Cloud. La monolocativité offre aux organisations la propriété exclusive de la clé de chiffrement et un stockage et transfert de fichiers entièrement chiffrés ; personne – pas même Kiteworks, AWS, ou les agences de la loi – n’a accès au contenu du client.
Pour en savoir plus sur Kiteworks, l’autorisation FedRAMP Moderate et la conformité CMMC, planifiez une démo personnalisée aujourd’hui.
Ressources supplémentaires
- Article de blog FedRAMP : Le chemin court vers des communications de contenu sécurisées
- Brief Répondre à l’exigence d’équivalence FedRAMP de CMMC
- Brief Comparaison Kiteworks : Sur site vs. Hébergé vs. FedRAMP
- Article de blog Transfert de fichiers géré avec conformité FedRAMP
- Article de blog Journal d’audit FedRAMP [Meilleures pratiques, solutions et conseils]