FedRAMP
Le gouvernement fédéral des États-Unis a mis en place le FedRAMP (Federal Risk and Authorization Management Program), un programme qui fournit une approche standardisée de l'évaluation de la sécurité, des autorisations et de la surveillance continue des produits et services cloud. En 2022, le Congrès a codifié le FedRAMP en tant que "programme gouvernemental qui fournit une approche standardisée et réutilisable de l'évaluation et de l'autorisation de sécurité pour les produits et services de cloud computing qui traitent des informations non classifiées utilisées par des autorités administratives".
Tous les déploiements et modèles de service cloud des agences fédérales, à l'exception de certains clouds privés sur site, doivent répondre aux exigences du FedRAMP correspondant à leur niveau d'impact (faible, modéré ou élevé).
Les clients qui souhaitent utiliser les services Google Cloud en adéquation avec les niveaux d'impact modéré et élevé du FedRAMP doivent utiliser Assured Workloads et l'assistance Assured (niveau d'assistance élevé uniquement).
Liens rapides
-
FedRAMP Marketplace
-
Conseils concernant les tests d'intrusion relatifs au FedRAMP
-
Guide de mise en œuvre du programme FedRAMP sur Google Cloud
-
Cybersecurity Framework du National Institute of Standards and Technology (NIST) et Google Cloud
-
Modèles FedRAMP
-
Configurer des réseaux pour FedRAMP et le département de la Défense dans Google Cloud
Conformité de Google Cloud au programme FedRAMP
La commission FedRAMP (anciennement "Commission mixte d’autorisation" [JAB ; Joint Authorization Board]) est l'organisme gouvernemental principal du programme FedRAMP. Elle comprend le département de la Défense (DoD), le département de la Sécurité intérieure (DHS) et l'Administration générale des services (GSA) et d'autres agences, tel que déterminé par l'administrateur GSA et le responsable FedRAMP.
La commission FedRAMP a attribué des autorisations d’exploitation (ATO ; Authority to Operate) aux niveaux d'impact modéré et élevé à l'infrastructure Google Cloud et à des offres de services Google Cloud spécifiques (CSO). Google Cloud soumet régulièrement à la commission FedRAMP des services supplémentaires en vue d'obtenir les autorisations au niveau d'impact modéré et élevé.
Google Cloud peut fournir les documents de conformité FedRAMP supplémentaires suivants aux clients ayant signé un accord de non-divulgation (NDA) :
- Tableau de responsabilité du client (CRM) du FedRAMP ;
- Plan de sécurité du système (SSP) de Google Cloud ;
- Rapports de tests d'intrusion et autres documents.
Notre équipe commerciale ou votre représentant Google Cloud peuvent vous aider à accéder à notre documentation. Les administrations peuvent également demander le package FedRAMP de Google via le bureau de gestion du programme FedRAMP à l'aide de son formulaire de demande.
Pour les clients qui effectuent des achats auprès d'un partenaire Google, les conditions d'utilisation de ces achats sont transmises par nos partenaires.
Conformité de Google Workspace au programme FedRAMP
Les clients peuvent utiliser Google Workspace en conformité avec diverses normes de sécurité et de confidentialité dans le cloud établies par le gouvernement fédéral des États-Unis et les normes internationales. En plus de disposer d'une autorisation FedRAMP au niveau d'impact élevé, Google Workspace est également certifié conforme aux normes ISO 27017, 27018, 27001 et fait l'objet d'un audit selon les normes SOC (Service Organization Control) de l'American Institute of Certified Public Accountants (AICPA).
Niveau d'impact élevé FedRAMP de Google Cloud VMware Engine (GCVE)
En 2023, le Bureau de la gestion du programme FedRAMP (PMO) a terminé l'examen du rapport d'évaluation de haute préparation (RAR) de Google Cloud VMware Engine (GCVE) fourni par un organisme d'évaluation tiers (3PAO). Au vu des résultats positifs de l'examen et sans aucune faille notable détectée, GCVE a été acceptée en tant qu'offre FedRAMP de haute préparation (ID de package FedRAMP FR2405153785).
Ce niveau de préparation indique au gouvernement fédéral américain que GCVE a de fortes chances d'obtenir une autorisation FedRAMP. GCVE est également certifié ISO 27017, 27018, 27001 et PCI DSS, et a fait l'objet d'un audit selon les normes SOC (Service Organization Control) de l'American Institute of Certified Public Accountants (AICPA).
Hébergement de charges de travail sur Google Cloud (niveau d'impact modéré et élevé du FedRAMP)
L'investissement de Google Cloud dans la sécurité par défaut pour notre infrastructure garantit l'intégration et la préconfiguration de contrôles de sécurité pour permettre aux administrations publiques d'atteindre différents niveaux de conformité sans avoir recours à une architecture cloud traditionnelle isolée.
Les clients souhaitant déployer leurs solutions à l'aide de Google Cloud dans leurs environnements FedRAMP au niveau d'impact modéré et élevé doivent utiliser Assured Workloads. Assured Workloads permet aux clients de sécuriser et de configurer en toute confiance des charges de travail sensibles pour répondre aux exigences de conformité et de sécurité à l'aide des services Google Cloud. Assured Workloads ne s'appuie pas sur une infrastructure physique distincte de ses centres de données cloud publics. Au lieu de cela, ce produit fournit un cloud communautaire défini par logiciel qui offre des avantages en termes de coût, de rapidité et d'innovation.
Les services autorisés par le FedRAMP et accessibles via Assured Workloads mettent en œuvre les contrôles de sécurité du FedRAMP et permettent aux clients d'utiliser les fonctionnalités de Google Cloud pour répondre aux besoins de leur organisation. Assured Workloads offre également une visibilité sur l'état de conformité au FedRAMP des charges de travail via la surveillance Assured Workloads. Cet outil peut vous aider à détecter et à corriger les cas de non-conformité, et à fournir des attestations de contrôle aux auditeurs qui vérifient votre état de conformité.
En plus des contrôles effectués par l'infrastructure Google Cloud bénéficiant de l'autorisation d’exploitation (ATO) au niveau d'impact élevé du FedRAMP, Assured Workloads met en œuvre par défaut les contrôles clés suivants au niveau d'impact élevé du FedRAMP pour les clients qui gèrent des données gouvernementales au niveau d'impact élevé du FedRAMP :
- Garde-fous pour restreindre l'emplacement des données client aux États-Unis, lorsqu'elles correspondent au niveau d'impact élevé du FedRAMP
- Personnel d'assistance technique limité au personnel admissible à FedRAMP et basé aux États-Unis
- Chiffrement FIPS-140-2 aux données au repos et en transit
- Contrôles d'accès du personnel pour les personnes ayant un accès régulier aux données des clients
- Seuls les produits et services conformes au FedRAMP sont autorisés
- Réaliser une segmentation logique des limites de conformité couvertes pour répondre aux exigences du FedRAMP correspondant au niveau d'impact modéré et élevé.
Hébergement de données sur Google Workspace (niveau d'impact modéré et élevé du FedRAMP)
Google Workspace dispose d'une ATO FedRAMP au niveau d'impact élevé que les clients peuvent exploiter pour héberger des données au niveau d'impact modéré et élevé du FedRAMP. Les clients qui souhaitent déployer Google Workspace dans leur environnement au niveau d'impact modéré et élevé du FedRAMP doivent activer les services autorisés par le FedRAMP qui disposent des autorisations correspondantes. Découvrez comment activer ou désactiver un service pour Google Workspace.
De plus, les éditions Business et Enterprise de Google Workspace intègrent des contrôles de sécurité et des ensembles de fonctionnalités qui permettent aux clients de respecter les exigences FedRAMP au niveau d'impact élevé et d'aligner leurs propres ATO. Les utilisateurs Google Workspace peuvent configurer leurs environnements pour qu'ils respectent les contrôles de résidence des données du programme FedRAMP à l'aide d'une règle de région des données.
Processus d'obtention d'une autorisation d'exploitation (ATO) auprès du FedRAMP
Les clients voulant héberger des données gouvernementales sur Google Cloud peuvent également souhaiter disposer de leur propre autorisation d'exploitation (ATO). Les entreprises doivent prendre en compte les étapes suivantes pour obtenir une ATO sur Google Cloud :
- Déterminer si les données couvertes nécessitent un niveau d'impact modéré ou élevé du FedRAMP ;
- Sélectionner Assured Workloads (le niveau d'impact modéré du FedRAMP est inclus dans le niveau gratuit et le niveau d'impact élevé du FedRAMP nécessite un abonnement premium) pour les services Google Cloud concernés ;
- Décider des limites à imposer au sein de Google Cloud conformément au FedRAMP ;
- Configurer vos charges de travail conformément au modèle de responsabilité partagée, au tableau de responsabilité du client, aux services Google Cloud concernés et aux consignes du FedRAMP ;
- Se soumettre à un audit auprès d'un organisme tiers d'évaluation (3PAO ; Third Party Assessment Organization) ;
- Envoyer votre package à la commission FedRAMP ou à l'Agence fédérale pour examen et autorisation.
Pour en savoir plus sur le processus d'obtention d'une ATO, consultez le site Web du FedRAMP. Pour obtenir une aide supplémentaire auprès de Google Cloud concernant les ATO du FedRAMP, veuillez consulter notre page Services de conseil Google Cloud.