Accéder à
Autorisation provisoire délivrée par l'agence américaine Defense Information Systems Agency

Autorisation provisoire délivrée par l'agence américaine Defense Information Systems Agency

L'Agence américaine Defense Information Systems Agency (DISA) gère l'évaluation et l'autorisation des services cloud pour le ministère de la Défense des États-Unis (DoD). L'assistance Cloud Service de la DISA a accordé à Google Cloud une autorisation DoD provisoire de niveau 5 (IL5). Une autorisation de niveau IL5 permet le traitement et le stockage d'informations non classées contrôlées et d'informations du système de sécurité nationale à l'aide de produits spécifiques Google Cloud.

Les autorisations provisoires DISA IL2, IL4 et IL5 de Google Cloud obligent les clients à utiliser Assured Workloads et l'assistance Premium. L'autorisation provisoire DISA IL4 de Google Workspace oblige les clients à utiliser Assured Workloads et l'assistance Assured. Pour plus d'informations sur le processus de configuration, veuillez contacter notre équipe commerciale.

Conformité DISA IL de Google Cloud

La DISA est une agence du ministère américain de la Défense (DoD) chargée du développement et de la maintenance du Guide des exigences de sécurité sur le cloud computing du DoD (SRG, Security Requirements Guide). Le SRG sur le cloud computing définit les exigences de sécurité de base utilisées par le DoD pour évaluer la stratégie de sécurité d'une offre de services cloud (CSO, cloud service offering), ce qui soutient la décision d'accorder une autorisation provisoire (AP) du DoD qui autorise un fournisseur de services cloud (CSP, cloud service provider) à héberger des missions du DoD. Il intègre, remplace et annule le modèle de sécurité cloud (CSM, Cloud Security Model) du DoD précédemment publié, et s'inscrit dans le cadre du framework de gestion des risques du DoD (RMF, Risk Management Framework).

La DISA guide les agences et les services du DoD dans la planification et l'autorisation d'utiliser une offre de services cloud. Elle évalue également la conformité des offres de services cloud avec le SRG lors d'un processus d'autorisation selon lequel les fournisseurs de services cloud peuvent fournir des documents décrivant leur conformité avec les normes du DoD. Le cas échéant, il délivre des autorisations provisoires du DoD. Ainsi, les agences et les organisations d'assistance du DoD peuvent utiliser les services cloud sans avoir à suivre un processus d'approbation complet, ce qui représente un gain de temps et d'énergie.

En 2022, Google Cloud a reçu l'agrément provisoire IL5, ce qui en fait l'un des premiers hyperscalers à recevoir l'approbation de la DISA pour un cloud communautaire défini par logiciel. Une approche d'isolation définie par logiciel offre plus de flexibilité que les clouds gouvernementaux traditionnels en termes de déploiement régional, d'évolutivité et de coût.

Demandes de packages ILx Les packages ILx DoD sont basés sur des packages FedRAMP (niveau d'impact élevé) avec des contrôles supplémentaires spécifiques au DoD. Les packages ILx ne sont pas autorisés à être partagés par Google et doivent être fournis par la DISA à d'autres parties. Si un organisme gouvernemental souhaite obtenir plus d'informations sur le package AP DoD susmentionnés pour savoir ce qui est couvert par le package P-ATO FedRAMP, il est possible de contacter la division d'évaluation cloud à l'adresse suivante : disa.meade.re.mbx.cloud-team@mail.mil

Google Cloud et IL2

Les données IL2 comprennent les informations non classifiées non contrôlées, qui sont toutes autorisées en vue d'une diffusion publique, ainsi que certaines informations non classifiées de faible confidentialité qui ne sont pas désignées comme informations non classifiées contrôlées (CUI, controlled unclassified information). Ce niveau d'impact accepte une catégorisation non-CUI basée sur la norme CNSSI 1253Classification et contrôle de sécurité pour les systèmes de sécurité nationaux jusqu'à une confidentialité faible et une intégrité modérée (L-M-x).

La note destinée aux DSI du 15 décembre 2014 du DoD concernant la mise à jour des consignes sur l'acquisition et l'utilisation de services de cloud computing grand public stipule que : "Le FedRAMP servira de niveau de référence de sécurité minimal pour tous les services cloud du DoD." Le SRG utilise le niveau de référence modéré du FedRAMP pour toutes les informations IL et prend en compte le niveau de référence élevé pour certaines.

La section 5.1.1, intitulée Utilisation des contrôles de sécurité FedRAMP par le DoD du SRG sur le cloud computing, décrit que les informations IL2 peuvent être hébergées dans une offre de services cloud qui détient au minimum une autorisation provisoire FedRAMP de niveau modéré ou élevé. Seuls les contrôles FedRAMP au niveau de référence modéré ou élevé seront évalués pour les AP DoD IL2. Pour une AP IL2, le DoD autorise la réciprocité totale avec l'agrément d'exploitation à niveau d'impact modéré ou élevé du FedRAMP (P-ATO) délivré par la commission JAB (Joint Authorization Board) de FedRAMP. Pour en savoir plus sur la conformité de Google Cloud avec FedRAMP, veuillez consulter notre page FedRAMP

Héberger des charges de travail IL4 ou IL5 sur Google Cloud

Les charges de travail IL4 et IL5 sont déployables via Assured Workloads, ce qui permet des contrôles de sécurité répondant à des exigences élevées de résidence des données et d'assistance. Assured Workloads applique également des garde-fous pour les développeurs qui aident les grandes organisations à rester en conformité.

Une fois que vous avez sélectionné les services pour lesquels vous souhaitez obtenir une autorisation IL4 ou IL5, Google peut vous aider à configurer votre solution au moyen de guides de configuration propres aux services ou d'un contact direct avec des experts IL4 et IL5 de notre équipe PSO (Professional Services Organization). De plus, Google fournit aux clients un guide de déploiement de Springboard IL4 avec du code Terraform.

Les clients souhaitant déployer leurs solutions à l'aide de Google Cloud dans leurs environnements IL4 et IL5 doivent utiliser Assured Workloads. Assured Workloads permet aux clients de sécuriser et de configurer en toute confiance des charges de travail sensibles pour répondre aux exigences de conformité et de sécurité à l'aide des services Google Cloud. Assured Workloads ne s'appuie pas sur une infrastructure physique distincte de ses centres de données cloud publics. Au lieu de cela, ce produit fournit un cloud communautaire défini par logiciel qui offre des avantages en termes de coût, de rapidité et d'innovation. 

Les services autorisés par IL4 et IL5 et accessibles via Assured Workloads mettent en œuvre les contrôles de sécurité IL4 et IL5 et permettent aux clients d'utiliser les fonctionnalités de Google Cloud pour répondre aux besoins de leur organisation. Assured Workloads offre également une visibilité sur l'état de conformité IL4 et IL5 des charges de travail via la surveillance Assured Workloads. Cet outil peut vous aider à détecter et à corriger les cas de non-conformité, et à fournir des attestations de contrôle aux auditeurs qui vérifient votre état de conformité.

En plus des contrôles effectués par l'infrastructure Google Cloud bénéficiant de l'autorisation provisoire de niveau IL5, Assured Workloads met en œuvre par défaut les contrôles clés suivants de niveau IL4 et IL5 pour les clients qui gèrent des données gouvernementales au niveau IL4 et IL5 :

  1. Définissez des garde-fous pour restreindre l'emplacement des données client IL4 et IL5 aux États-Unis.
  2. Limitez l'assistance technique au personnel désigné par les niveaux IL4 et IL5 et basé aux États-Unis.
  3. Appliquez le chiffrement conforme à la norme FIPS-140-2 au repos et en transit.
  4. Mettez en œuvre les contrôles d'accès du personnel requis par les niveaux IL4 et IL5 pour les personnes accédant régulièrement aux données client.
  5. Contraignez les développeurs à utiliser uniquement des produits et services conformes IL4 et IL5.
  6. Réalisez une segmentation logique des limites de conformité couvertes pour répondre aux exigences IL4 et IL5.

Google Workspace et IL4

L'édition Google Workspace Enterprise Plus a obtenu l'autorisation de niveau d'impact 4 du ministère de la Défense des États-Unis. Les clients souhaitant déployer Google Workspace pour leur solution de productivité et de collaboration doivent utiliser la fonctionnalité produit supplémentaire Assured Controls qui permettra aux organisations de contrôler avec précision l'accès des fournisseurs de services cloud.

Google Workspace Enterprise Plus avec Assured Controls inclut des contrôles de sécurité intégrés et des ensembles de fonctionnalités qui permettent aux clients du DoD de respecter les exigences de niveau IL4 et d'émettre leur propre agrément d'exploitation (ATO). Voici les principales fonctionnalités de Google Workspace compatibles avec IL4 :

  • Possibilité de limiter les données aux régions des États-Unis uniquement à l'aide de régions de données
  • Possibilité de limiter les actions d'assistance du personnel Google aux seuls résidents des États-Unis qui utilisent Assured Controls Access Management
  • Chiffrement avancé des données au repos et en transit pour répondre aux besoins de chiffrement des données sensibles. Pour en savoir plus, consultez notre article sur le chiffrement dans Google Workspace.
  • Le centre de sécurité Google Workspace, qui fournit des informations et des données analytiques avancées concernant la sécurité pour résoudre les problèmes de sécurité affectant votre domaine

Les clients du ministère de la Défense peuvent demander une documentation Google Workspace IL4 via eMASS ou via leur agent DISA. Veuillez noter que Google Workspace n'est pas en mesure de fournir ces documents directement aux clients.

Services couverts

Google Cloud

BigQuery

Cloud HSM

Cloud Identity

Cloud Logging

Cloud Key Management Service

Cloud Storage

Compute Engine

Dataflow

Console d'administration Google

GKE

Identity and Access Management

Persistent Disk

Cloud privé virtuel

Artifact Registry

Cloud Composer

Cloud DNS

Cloud Functions

Cloud Interconnect

Cloud Monitoring

Cloud Router

Cloud Run

Cloud SQL

Cloud Tasks

Cloud VPN

Eventarc

Memorystore pour Redis

Pub/Sub

Google Cloud

BigQuery

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Logging

Cloud Monitoring

Cloud Pub/Sub

Cloud Router

Cloud Storage

Cloud SQL

Cloud VPN

Compute Engine

Dataflow

Dataproc

Console d'administration Google

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Cloud privé virtuel

Agenda

Docs

Drive

Forms

Gmail

Google Chat (y compris le bot Google Drive et le bot Meet)

Google Meet

Sheets

Slides

Les clients peuvent se reporter aux consignes d'implémentation pour obtenir la liste des services Workspace approuvés pour IL4.

Drawings

Nouvelle version de Sites

Agenda

Docs

Drive

Gmail

Google Meet

Sheets

Slides

Vault

App Engine

BigQuery

Cloud Bigtable

Cloud Composer

Cloud Functions

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud NAT

Cloud Run

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud VPN

Cloud Router

Compute Engine

Dataflow

Dataproc

Filestore

Firestore

Console d'administration Google

Google Kubernetes Engine (GKE)

Identity & Access Management

Memorystore for Memcache

Memorystore pour Redis

Persistent Disk

Pub/Sub

Sensitive Data Protection (y compris Cloud Data Loss Prevention)

Speech-to-Text

Text-to-Speech

Cloud privé virtuel

Veuillez consulter notre page sur la conformité FedRAMP pour obtenir la liste des services couverts par IL2.

Cloud Load Balancing (L4 ILB)

Cloud Load Balancing (L7 ILB/XLB)

Cloud Load Balancing (équilibrage de la charge réseau)

Cloud Vision

Firestore

Questions fréquentes

L'un des avantages de Google Cloud pour vos charges de travail en lien avec des administrations publiques est qu'un certain nombre de contrôles requis sont déjà pris en charge dans notre infrastructure sous-jacente et dans Assured Workloads. Ainsi, lorsque vous soumettez votre package IL4 ou IL5 pour autorisation, vous devez également inclure le plan de sécurité système de Google, qui décrit les contrôles gérés par Google Cloud. Veuillez contacter votre équipe commerciale pour obtenir une copie du plan de sécurité système de Google Cloud (nécessite un NDA).

Dans Google Cloud, les clients peuvent exploiter les fonctionnalités de chiffrement déjà présentes sur les produits autorisés pour les données associées, aussi bien au repos qu'en cours d'utilisation, et dont la mise en œuvre ne nécessite que peu ou pas d'action dans la plupart des cas. Le réseau et le système de stockage de Google Cloud disposent tous deux des clés de chiffrement IL4 et IL5, ce qui réduit le niveau de responsabilité que les clients Google Cloud doivent gérer.

Les données stockées au repos dans des systèmes autorisés sont automatiquement chiffrées à l'aide de bibliothèques certifiées FIPS 140-2 (c'est-à-dire les certificats n° 3678, n° 3383 et n° 3384). Les clés de chiffrement utilisées dans ce système sont également stockées et protégées conformément à la norme NIST 800-57. Elles font également l'objet d'une sécurité au sein du système KMS propriétaire de Google. Les clients peuvent contrôler ce système via Cloud KMS.

La transmission de données au sein d'un VPC Google Cloud est également autorisée via IL4 et IL5, et automatiquement protégée par le chiffrement, l'authentification et l'autorisation. Aucune autre action n'est requise pour les connexions au sein d'un VPC. Les connexions aux API Google utilisent TLS 1.2 ou une version ultérieure pour le chiffrement du trafic. Les clients sont responsables des autres connexions à l'intérieur et à l'extérieur de l'environnement (niveau 3 ou 7) qui passent par des ressources contrôlées par le client (par exemple, Cloud Load Balancer ou Cloud VPN).

Google est l'un des premiers fournisseurs de cloud hyperscale grand public à avoir obtenu les niveaux IL4 et IL5 pour une offre commerciale de cloud public. C'est à l'heure actuelle l'un des plus grands fournisseurs de services IL4 et IL5.

Ressources associées

  • NIST SP 800-37 Framework de gestion des risques pour les systèmes d'information et les organisations : une approche du cycle de vie du système pour la sécurité et la protection de la vie privée
  • NIST SP 800-53 Contrôles de sécurité et de confidentialité pour les organisations et les systèmes d'information
  • NIST SP 800-59 Directive pour l'identification d'un système d'information en tant que système de sécurité nationale
  • NIST SP 800-171 Protéger les informations non classifiées contrôlées dans les organisations et les systèmes non fédérés
  • CNSSI 1253 Classification et contrôle de sécurité pour les systèmes de sécurité nationaux

Produits et services associés

NIST 800-53
NIST 800-53
Découvrez les services Google Cloud qui ont été soumis à une évaluation tierce indépendante et certifiés conformes aux contrôles NIST 800-53.
NIST 800-171
NIST 800-171
Découvrez les services Google Cloud qui ont été soumis à une évaluation tierce indépendante et certifiés conformes au NIST 800-171.
FedRAMP
FedRAMP
Google Cloud détient un agrément provisoire d'exploitation (ou P-ATO) FedRAMP (niveaux d'impact modéré et élevé) pour les produits Google Cloud et Google Workspace.

Passez à l'étape suivante

Commencez à créer des applications sur Google Cloud avec 300 $ de crédits offerts et plus de 20 produits toujours gratuits.

Essai gratuit

Passez à l'étape suivante

Démarrez votre prochain projet, consultez des tutoriels interactifs et gérez votre compte.

Contacter le service commercial