Respecter les normes de sécurité fédérales d’aujourd’hui tout en se préparant aux défis de demain
Les agences fédérales ont besoin de solutions robustes pour la protection des données sensibles. Kiteworks répond à ces exigences avec l’autorisation FedRAMP Moderate et le statut High Ready, garantissant que les agences maintiennent la conformité tout en protégeant les informations critiques pour la mission contre les menaces émergentes.
Kiteworks Renforce la Posture de Sécurité Fédérale
Kiteworks a renforcé ses capacités de sécurité cloud fédérales en obtenant le statut FedRAMP High Ready pour son Secure Gov Cloud le 20 février 2025. Cette étape s’appuie sur son service Federal Cloud autorisé FedRAMP Moderate, qui maintient son autorisation depuis juin 2017. La désignation High Ready indique que les capacités de sécurité améliorées de Kiteworks ont été validées par un évaluateur indépendant et approuvées par le PMO de FedRAMP. Cette approche à deux niveaux permet à Kiteworks de servir des agences avec des besoins de sécurité variés, allant de la gestion des données CUI à la protection des informations critiques pour la mission où les violations pourraient gravement affecter les opérations gouvernementales.
Sécurité FedRAMP : Sécurité Maximale pour Vos Contenus les Plus Sensibles
Le FedRAMP de Kiteworks est déployé sur un cloud privé virtuel dans AWS pour tout le traitement. Il dispose d’un serveur dédié, isolé de tous les autres clients sur Amazon Cloud. Le modèle à locataire unique offre aux organisations la propriété exclusive de la clé de chiffrement et un stockage et un transfert de fichiers entièrement chiffrés ; ni Kiteworks, ni AWS, ni les agences de la loi n’ont accès au contenu. Le FedRAMP de Kiteworks est, selon les exigences FedRAMP, soutenu aux États-Unis par des citoyens américains et doit subir un processus d’audit rigoureux chaque année pour conserver la certification FedRAMP.
Maintenance FedRAMP : Tests Continus pour Garantir le Plus Haut Niveau de Sécurité
L’autorisation FedRAMP est loin d’être une exigence de conformité ponctuelle. Kiteworks subit un audit rigoureux de la sécurité du personnel, de l’informatique et de la sécurité physique—plus de 300 contrôles au total—chaque année pour maintenir la conformité FedRAMP. Entre les audits, l’équipe de sécurité de Kiteworks s’engage dans une surveillance continue et des analyses de vulnérabilité pour tester et garantir la stabilité de la plateforme. Cela inclut la documentation complète des processus de sécurité et des évaluations des systèmes connexes, ainsi que des remédiations proactives rigoureuses et un plan d’action et des jalons pour le suivi de la médiation. Enfin, les employés de Kiteworks qui soutiennent l’autorisation FedRAMP suivent une formation et une certification continues pour rester à jour avec les exigences actuelles.
Avantages de FedRAMP Faites Plus Avec l’Autorisation FedRAMP
L’autorisation FedRAMP est bien plus qu’une certification ou une exigence de conformité. Bien que les agences gouvernementales soient tenues d’utiliser un fournisseur de services cloud (CSP) autorisé par FedRAMP, le secteur privé considère qu’une solution de partage de fichiers autorisée par FedRAMP est une meilleure pratique pour protéger les informations confidentielles. Les entreprises qui utilisent une solution autorisée par FedRAMP obtiennent en fait un avantage concurrentiel distinct. Pourquoi ? En utilisant une solution autorisée par FedRAMP pour partager des contenus sensibles, les entreprises démontrent à leurs parties prenantes—clients, partenaires, employés et directeurs—que la sécurité des contenus est primordiale. Il y a des avantages supplémentaires. Utiliser une solution de partage de fichiers autorisée par FedRAMP comme Kiteworks satisfait aux exigences de conformité pour NIST 800-171 et ITAR, et soutient la conformité RGPD, SOC 2 (SSAE-16), FISMA, FIPS 140-3, et EAR.
Questions Fréquemment Posées
L’autorisation FedRAMP est un programme d’évaluation de la sécurité et d’autorisation créé par le gouvernement américain pour s’assurer que les fournisseurs de services cloud (CSP) répondent à des normes de sécurité spécifiques. FedRAMP est l’acronyme de Federal Risk and Authorization Management Program (Programme fédéral de gestion des risques et des autorisations). Ce programme a été créé pour uniformiser le processus d’évaluation, d’autorisation et de contrôle des fournisseurs de services cloud par les agences fédérales.
Tout fournisseur de services cloud qui souhaite travailler pour des agences ou des départements fédéraux doit se soumettre à la procédure d’autorisation FedRAMP. Cela inclut les fournisseurs d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de logiciel en tant que service (SaaS). Tous les fournisseurs de services cloud qui souhaitent offrir des services aux agences ou départements fédéraux doivent passer par la procédure d’autorisation FedRAMP. Ils peuvent obtenir cette autorisation par différents moyens : autorisation de l’agence, l’autorisation JAB et l’autorisation de niveau d’impact du DoD. Le fait de ne pas obtenir d’autorisation peut entraîner la perte de contrats gouvernementaux.
L’autorisation FedRAMP est un processus en plusieurs étapes qui comprend l’évaluation de la sécurité, la documentation et l’autorisation. Les trois étapes doivent être achevées pour obtenir l’autorisation FedRAMP. Voici les trois informations les plus importantes concernant la procédure d’autorisation FedRAMP :
- L’étape d’évaluation de la sécurité FedRAMP implique le développement d’un plan de sécurité du système (SSP). Il s’agit de documenter la politique de sécurité de l’organisation en décrivant tous les composants du système et la mise en œuvre des contrôles de sécurité pour chacun d’entre eux.
- L’étape d’évaluation de la sécurité implique un organisme tiers d’évaluation (3PAO) qui effectue une évaluation approfondie des contrôles et des systèmes de sécurité du fournisseur de services cloud.
- L’étape de documentation implique que le fournisseur de services cloud soumette une documentation détaillée au bureau de gestion du programme FedRAMP (PMO) afin de démontrer la conformité aux normes de sécurité FedRAMP. Enfin, l’étape d’autorisation implique que le gouvernement autorise le fournisseur de services cloud à fournir des services aux agences fédérales.
L’autorisation FedRAMP rationalise l’offre de services des fournisseurs de services cloud auprès des agences fédérales, ce qui permet d’éviter les doublons et d’améliorer les possibilités de commercialisation. L’autorisation FedRAMP renforce également la confiance des agences fédérales dans la sécurité des services cloud et réduit le risque de violation des données. L’autorisation FedRAMP garantit une approche cohérente et rentable de l’évaluation de la sécurité et de l’autorisation des fournisseurs de services cloud. Enfin, elle procure aux fournisseurs de services cloud un avantage concurrentiel sur le marché, car ils ont démontré qu’ils ont mis en place un processus de sécurité et de gouvernance rigoureux pour protéger les informations du gouvernement américain.
Un organisme tiers d’évaluation (3PAO) joue un rôle clé dans la procédure d’autorisation FedRAMP. Il est chargé d’évaluation de façon objective les contrôles et systèmes de sécurité du fournisseur de services cloud afin de déterminer s’ils répondent aux normes de sécurité du FedRAMP. Il fournit ensuite son rapport au Joint Authorization Board (JAB) qui examine le dossier d’évaluation de la sécurité et la recommandation du 3PAO afin de déterminer si le CSP répond aux exigences minimales de sécurité de FedRAMP.
RESSOURCES EN VEDETTE
Cartographie de la conformité CMMC 2.0 pour les communications de contenu sensible
Cartographie de la conformité CMMC 2.0 pour les communications de contenu sensible
Maîtriser les réglementations NIS-2, DORA et autres – Mettre en place une stratégie gagnante de mise en conformité
