Accéder à

FedRAMP

Le gouvernement fédéral des États-Unis a mis en place le FedRAMP (Federal Risk and Authorization Management Program), un programme qui fournit une approche standardisée de l'évaluation de la sécurité, des autorisations et de la surveillance continue des produits et services cloud. En 2022, le Congrès a codifié le FedRAMP en tant que "programme gouvernemental qui fournit une approche standardisée et réutilisable de l'évaluation et de l'autorisation de sécurité pour les produits et services de cloud computing qui traitent des informations non classifiées utilisées par des autorités administratives".

Tous les déploiements et modèles de service cloud des agences fédérales, à l'exception de certains clouds privés sur site, doivent répondre aux exigences du FedRAMP correspondant à leur niveau d'impact (faible, modéré ou élevé).

Les clients qui souhaitent héberger des services autorisés par le FedRAMP sur Google Cloud doivent utiliser Assured Workloads pour respecter le niveau d'impact modéré ou élevé du programme. Lisez la suite pour en savoir plus.

Conformité de Google Cloud au programme FedRAMP

La commission FedRAMP (anciennement "Commission mixte d’autorisation" [JAB ; Joint Authorization Board]) est l'organisme gouvernemental principal du programme FedRAMP. Elle comprend le département de la Défense (DoD), le département de la Sécurité intérieure (DHS) et l'Administration générale des services (GSA) et d'autres agences, tel que déterminé par l'administrateur GSA et le responsable FedRAMP.

La commission FedRAMP a attribué des autorisations d’exploitation (ATO ; Authority to Operate) aux niveaux d'impact modéré et élevé à l'infrastructure Google Cloud et à des offres de services Google Cloud spécifiques (CSO). Google Cloud soumet régulièrement à la commission FedRAMP des services supplémentaires en vue d'obtenir les autorisations au niveau d'impact modéré et élevé.

Google Cloud fournit des preuves supplémentaires de conformité avec le programme FedRAMP directement aux clients qui ont déjà signé un accord de non-divulgation (NDA ; Non-Disclosure Agreement) avec nous. La documentation disponible en vertu du NDA comprend les éléments suivants :

  • Tableau de responsabilité du client (CRM) du FedRAMP ;
  • Plan de sécurité du système (SSP) de Google Cloud ;
  • Rapports de tests d'intrusion et autres documents.

Notre équipe commerciale ou votre représentant Google Cloud peuvent vous aider à accéder à notre documentation étendue. Les administrations peuvent également demander le package FedRAMP de Google via le bureau de gestion du programme FedRAMP à l'aide de son formulaire de demande

Pour les clients qui effectuent des achats auprès d'un partenaire Google, les conditions d'utilisation de ces achats sont transmises par nos partenaires.

Conformité de Google Workspace au programme FedRAMP

Google Workspace se conforme à diverses normes fédérales des États-Unis et normes internationales en matière de sécurité et de confidentialité dans le cloud. En plus de disposer d'une autorisation FedRAMP au niveau d'impact élevé, Google Workspace est également certifié conforme aux normes ISO 27017, 27018, 27001 et fait l'objet d'un audit selon les normes SOC (Service Organization Control) de l'American Institute of Certified Public Accountants (AICPA).

Données au niveau d'impact élevé du FedRAMP sur Google Cloud VMware Engine (GCVE)

Fin 2023, le Bureau de la gestion du programme FedRAMP (PMO) a terminé l'examen du rapport d'évaluation de haute préparation (RAR) de Google Cloud VMware Engine (GCVE) fourni par un organisme d'évaluation tiers (3PAO). Au vu des résultats positifs de l'examen et sans aucune faille notable détectée, GCVE a été acceptée en tant qu'offre FedRAMP de haute préparation (ID de package FedRAMP FR2405153785).

Ce niveau de préparation indique au gouvernement fédéral américain que GCVE a de fortes chances d'obtenir une autorisation FedRAMP. GCVE est également certifié ISO 27017, 27018, 27001 et PCI DSS, et a fait l'objet d'un audit selon les normes SOC (Service Organization Control) de l'American Institute of Certified Public Accountants (AICPA).

Hébergement de charges de travail sur Google Cloud (niveau d'impact modéré et élevé du FedRAMP)

L'investissement de Google Cloud dans la sécurité par défaut pour notre infrastructure garantit l'intégration et la préconfiguration de contrôles de sécurité pour permettre aux administrations publiques d'atteindre différents niveaux de conformité sans avoir recours à une architecture cloud traditionnelle isolée.

Les clients souhaitant déployer leurs solutions à l'aide de Google Cloud dans leurs environnements FedRAMP au niveau d'impact modéré et élevé doivent utiliser Assured Workloads. Assured Workloads permet aux clients de sécuriser et de configurer en toute confiance des charges de travail sensibles pour répondre aux exigences de conformité et de sécurité à l'aide des services Google Cloud. Assured Workloads ne s'appuie pas sur une infrastructure physique distincte de ses centres de données cloud publics. Au lieu de cela, ce produit fournit un cloud communautaire défini par logiciel qui offre des avantages en termes de coût, de rapidité et d'innovation.

Les services autorisés par le FedRAMP et accessibles via Assured Workloads mettent en œuvre les contrôles de sécurité du FedRAMP et permettent aux clients d'utiliser les fonctionnalités de Google Cloud pour répondre aux besoins de leur organisation. Assured Workloads offre également une visibilité sur l'état de conformité au FedRAMP des charges de travail via la surveillance Assured Workloads. Cet outil peut vous aider à détecter et à corriger les cas de non-conformité, et à fournir des attestations de contrôle aux auditeurs qui vérifient votre état de conformité.

En plus des contrôles effectués par l'infrastructure Google Cloud bénéficiant de l'autorisation d’exploitation (ATO) au niveau d'impact élevé du FedRAMP, Assured Workloads met en œuvre par défaut les contrôles clés suivants au niveau d'impact élevé du FedRAMP pour les clients qui gèrent des données gouvernementales au niveau d'impact élevé du FedRAMP :

  1. Définir des garde-fous pour restreindre l'emplacement des données client aux États-Unis, lorsqu'elles correspondent au niveau d'impact élevé du FedRAMP  ;
  2. Limiter l'assistance technique au personnel désigné par le FedRAMP et basé aux États-Unis ;
  3. Appliquez le chiffrement conforme à la norme FIPS-140-2 au repos et en transit ;
  4. Mettre en œuvre les contrôles d'accès du personnel requis par le FedRAMP pour les personnes accédant régulièrement aux données client ;
  5. Contraindre les développeurs à utiliser uniquement des produits et services conformes au FedRAMP ;
  6. Réaliser une segmentation logique des limites de conformité couvertes pour répondre aux exigences du FedRAMP correspondant au niveau d'impact modéré et élevé.

Hébergement de données sur Google Workspace (niveau d'impact modéré et élevé du FedRAMP)

Google Workspace dispose d'une ATO FedRAMP au niveau d'impact élevé que les clients peuvent exploiter pour héberger des données au niveau d'impact modéré et élevé du FedRAMP. Les clients qui souhaitent déployer Google Workspace dans leur environnement au niveau d'impact modéré et élevé du FedRAMP doivent activer les services autorisés par le FedRAMP qui disposent des autorisations correspondantes. Découvrez comment activer ou désactiver un service pour Google Workspace. 

De plus, les éditions Business et Enterprise de Google Workspace intègrent des contrôles de sécurité et des ensembles de fonctionnalités qui permettent aux clients de respecter les exigences FedRAMP au niveau d'impact élevé et d'aligner leurs propres ATO. Les utilisateurs Google Workspace peuvent configurer leurs environnements pour qu'ils respectent les contrôles de résidence des données du programme FedRAMP à l'aide d'une règle de région des données.

Processus d'obtention d'une autorisation d'exploitation (ATO) auprès du FedRAMP

Les clients voulant héberger des données gouvernementales sur Google Cloud peuvent également souhaiter disposer de leur propre autorisation d'exploitation (ATO). Les entreprises doivent prendre en compte les étapes suivantes pour obtenir une ATO sur Google Cloud :

  • Déterminer si les données couvertes nécessitent un niveau d'impact modéré ou élevé du FedRAMP ;
  • Sélectionner Assured Workloads (le niveau d'impact modéré du FedRAMP correspond au niveau gratuit et le niveau d'impact élevé du FedRAMP nécessite un abonnement premium) pour les services Google Cloud concernés ;
  • Décider des limites à imposer au sein de Google Cloud conformément au FedRAMP ;
  • Configurer vos charges de travail conformément au modèle de responsabilité partagée, au tableau de responsabilité du client, aux services Google Cloud concernés et aux consignes du FedRAMP ;
  • Se soumettre à un audit auprès d'un organisme tiers d'évaluation (3PAO ; Third Party Assessment Organization) ;
  • Envoyer votre package à la commission FedRAMP ou à l'Agence fédérale pour examen et autorisation.

Pour en savoir plus sur le processus d'obtention d'une ATO, consultez le site Web du FedRAMP. Pour obtenir une aide supplémentaire auprès de Google Cloud concernant les ATO du FedRAMP, veuillez consulter notre page Services de conseil Google Cloud.

Questions fréquentes

Le récent brouillon de protocole d'accord FedRAMP du Bureau de la gestion et du budget, qui approuve une approche cloud moderne basée sur la séparation logique et logicielle au lieu d'une séparation physique, est un grand pas dans la bonne direction. À l'avant-garde de cette approche, Google Cloud pense qu'elle permet à ses clients d'évoluer et d'innover en toute sécurité.

Le programme FedRAMP permet plusieurs niveaux d'héritage pour les fournisseurs de services cloud utilisant une infrastructure, des plates-formes et des services couverts par l'autorisation FedRAMP. Cette analyse initiale du contrôle et de l'héritage permettra de déterminer votre degré de responsabilité en matière de conformité en tant que fournisseur de service cloud.

Par exemple, si votre organisation préfère créer l'ensemble de sa pile d'application, vos responsabilités/obligations envers le client seront plus grandes lors de l'évaluation par le responsable en charge des autorisations. Si vous utilisez une infrastructure Platform as a Service (PaaS) ou Software as a Service (SaaS), vous rencontrerez probablement moins de difficultés liées à la conformité.

Une fois que vous avez sélectionné les services pour lesquels vous souhaitez obtenir une autorisation FedRAMP, Google peut vous aider à configurer votre solution au moyen de guides de configuration spécifiques ou d'un contact direct avec des experts FedRAMP au sein de nos services de conseil Google Cloud.

Google est l'un des premiers fournisseurs cloud hyperscale grand public à avoir obtenu l'autorisation à niveau d'impact élevé du FedRAMP pour une offre commerciale de cloud public. À l'heure actuelle, c'est l'un des plus grands fournisseurs de services certifiés FedRAMP sur le marché. Dans le passé, pour répondre aux exigences élevées du FedRAMP, les fournisseurs hyperscale séparaient leurs offres cloud destinées aux administrations de celles proposées au grand public. Bien que cette approche permette d'assurer la conformité, ces environnements distincts ne présentent souvent pas tous les avantages de l'infrastructure Google Cloud.

L'autorisation à niveau d'impact élevé du FedRAMP pour Google Cloud permet aux autorités administratives traitant des charges de travail à niveau d'impact élevé d'adopter beaucoup plus rapidement les technologies et de bénéficier de la même échelle que la clientèle grand public, ainsi que d'exploiter l'infrastructure cloud publique unique de Google, aussi bien ses fonctionnalités que sa capacité. Avec Assured Workloads ou Assured Controls, les clients peuvent sécuriser et configurer des charges de travail sensibles en toute confiance de façon à répondre à leurs exigences de conformité et de sécurité dans le cloud. Choisissez vos paramètres de sécurité et Google se chargera de mettre en place les contrôles cloud nécessaires.

Vous trouverez ci-dessous la liste des éditions de Google Workspace autorisées par le FedRAMP. Voici le guide de configuration pour déployer Google Workspace afin d'assurer la conformité avec les contrôles de sécurité au niveau d'impact élevé du FedRAMP.

Oui, Assured Workloads est requis pour obtenir une ATO à niveau d'impact modéré ou élevé du FedRAMP. Assured Workloads permet à Google Cloud d'identifier les charges de travail fédérales des clients et d'appliquer des garde-fous techniques en cas de modification des réglementations fédérales. Google Cloud s'engage à maintenir les exigences de conformité FedRAMP, y compris celles introduites dans les contrôles NIST 800-53 Rév. 5 et les futures versions pour les charges de travail exécutées dans Assured Workloads.

De plus, Assured Workloads est le seul moyen pour Google Cloud de répondre aux exigences élevées du programme FedRAMP en matière d'assistance et de résidence des données. Assured Workloads ne s'applique pas à Google Workspace, qui dispose de ses propres contrôles.

L'un des avantages de Google Cloud pour vos charges de travail en lien avec des administrations publiques est qu'un certain nombre de contrôles requis sont déjà en place dans notre infrastructure sous-jacente et dans Assured Workloads. Ainsi, lorsque vous soumettez votre package FedRAMP pour autorisation à la commission FedRAMP, vous devez également inclure le plan de sécurité système (SSP ; System Security Plan) de Google, qui décrit les contrôles gérés par Google Cloud. Veuillez contacter votre équipe commerciale pour obtenir une copie du plan de sécurité système de Google Cloud (nécessite un NDA).

Le groupe StateRAMP (State Risk and Authorization Management Program) est une organisation à but non lucratif qui a créé la certification StateRAMP. Tout comme le programme FedRAMP, il repose sur le framework NIST 800-53 et est en partie modélisé d'après le FedRAMP. Le StateRAMP s'appuie également sur les organismes 3PAO autorisés par le FedRAMP pour effectuer des évaluations. Google Cloud est prêt à accompagner les clients StateRAMP du secteur public en leur offrant une résidence des données améliorée et des fonctionnalités d'assistance via Assured Workloads.

FedRAMP Marketplace gère une liste des organismes 3PAO qualifiés.

Le SSP de Google Cloud couvre les ressources appartenant à Google pour les tests d'intrusion. Les clients peuvent hériter de ce contrôle en utilisant Google Cloud. Lors de l'évaluation par le 3PAO, un test d'intrusion doit également être effectué dans l'environnement FedRAMP du client créé à l'aide de Google Cloud.

Le programme FedRAMP permet plusieurs niveaux d'héritage pour les fournisseurs de services cloud utilisant une infrastructure, des plates-formes et des services couverts par l'autorisation FedRAMP. Cette analyse initiale du contrôle et de l'héritage permettra de déterminer votre degré de responsabilité en matière de conformité en tant que fournisseur de service cloud.

Par exemple, si votre organisation préfère créer l'ensemble de sa pile d'application, vos responsabilités/obligations envers le client seront plus grandes lors de l'évaluation par le responsable en charge des autorisations. Si vous utilisez une infrastructure Platform as a Service (PaaS) ou Software as a Service (SaaS), vous rencontrerez probablement moins de difficultés liées à la conformité.

Une fois que vous avez sélectionné les services pour lesquels vous souhaitez obtenir une autorisation FedRAMP, Google peut vous aider à configurer votre solution au moyen de guides de configuration spécifiques ou d'un contact direct avec des experts FedRAMP au sein de nos services de conseil Google Cloud.

Assured Workloads est une fonctionnalité Google Cloud permettant aux clients d'activer des configurations de projet spécifiques afin de respecter leurs régimes de conformité. Les clients peuvent définir eux-mêmes des règles d'administration pour répondre aux exigences de conformité sans avoir besoin d'utiliser Assured Workloads. Les produits s'intègrent discrètement à Assured Workloads et appliquent eux-mêmes les règles d'administration.

La console Google Cloud est une interface utilisateur Web simple qui propose des fonctionnalités pour aider les clients dans leur déploiement. Il s'agit d'un framework (et non d'un service) basé sur l'infrastructure Google Cloud. Il fournit aux clients une interface pour gérer leurs éléments Google Cloud. Les clients de la console Cloud interagissent directement avec les API des services Google Cloud individuels et utilisent les API des services pour afficher l'UI. La console Cloud ne dispose pas en elle-même d'une API avec laquelle les clients peuvent interagir. Au lieu de cela, les clients interagissent directement avec les API des services Google Cloud individuels. La console Cloud utilise ces API de service pour afficher l'UI.

Services couverts

ID de package FedRAMP FR1805751477

* Veuillez noter que tous les services Google Cloud couverts par le programme FedRAMP au niveau d'impact élevé sont également couverts par le programme FedRAMP au niveau d'impact modéré.

* Veuillez noter que les plates-formes FedRAMP au niveau d'impact modéré ou élevé implémentent des contrôles limitant les connexions TLS 1.1/1.0 au niveau du domaine.

App Engine

Assured Workloads

BigQuery

Cloud Bigtable

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Key Management Service

Cloud Logging

Cloud Spanner

Cloud SQL

Cloud Storage

Compute Engine

Container Registry

Dataflow

Dataproc

Firestore

Google Kubernetes Engine

Console d'administration (y compris SDK Admin, Directory Sync)

Identity and Access Management (IAM)

Memorystore for Memcache

Memorystore pour Redis

Persistent Disk

Pub/Sub

Sensitive Data Protection (y compris Cloud Data Loss Prevention)

Cloud privé virtuel

ID de package FedRAMP FR1805751477

* Veuillez noter que tous les services Google Cloud couverts par le programme FedRAMP au niveau d'impact élevé sont également couverts par le programme FedRAMP au niveau d'impact modéré.

* Veuillez noter que les plates-formes FedRAMP au niveau d'impact modéré ou élevé implémentent des contrôles limitant les connexions TLS 1.1/1.0 au niveau du domaine.

Access Context Manager

Access Transparency

AI Platform Training and Prediction (anciennement Cloud Machine Learning Engine)

Anthos Identity Service

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

Beyondcorp Enterprise

Service de transfert de données BigQuery

Autorisation binaire

Care Studio (Cloud Healthcare Search)

CCAI Insights

Certificate Authority Service

SIEM Chronicle (anciennement Chronicle Security)

API Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud External Key Manager

Cloud Functions

Cloud Functions for Firebase

API Cloud Healthcare

Cloud IDS

Cloud Interconnect

Cloud Life Sciences (anciennement Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT (traduction d'adresses réseau)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (fully managed)

Cloud Run for Anthos

Cloud Scheduler

SDK Cloud

Cloud Shell

Cloud Source Repositories

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace (anciennement Stackdriver Trace)

Cloud Translation

API Cloud Vision

Cloud VPN

Config Management

Connecter

Contact Center AI (CCAI)

Data Catalog

Database Migration Service

Datalab

Datastore,

Datastream

Dialogflow

Document AI

Earth Engine

Filestore (niveaux HDD de base et SSD de base)

Game Servers

GKE Hub

Application Google Cloud

Google Cloud Armor

Google Cloud CLI

Console Google Cloud

Google Cloud Marketplace

Google Cloud Identity-Aware Proxy

Identity Platform

IoT Core

Key Access Justifications (KAJ)

Looker Studio (y compris Pro, anciennement Google Data Studio)

Network Connectivity Center

Niveaux de service réseau

API Resource Manager

Secret Manager

Security Command Center (y compris Web Security Scanner) (anciennement Cloud Security Scanner)

Sensitive Data Protection (y compris Cloud Data Loss Prevention)

Annuaire des services

Service Infrastructure (anciennement Service Control ; inclut les API Service Management et Service Consumer Management)

Maillage de services

Speech-to-Text

Service de transfert de stockage

Talent Solution

Text-to-Speech

Traffic Director

API Video Intelligence

Notebooks Vertex AI Workbench gérés par l'utilisateur (anciennement AI Platform Notebooks)

d'utiliser VPC Service Controls

API Web Risk

Workflows

Fédération des identités des employés

* Veuillez noter que les plates-formes FedRAMP au niveau d'impact modéré ou élevé implémentent des contrôles limitant les connexions TLS 1.1/1.0 au niveau du domaine.

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

ID de package FedRAMP F1206081364

* Veuillez noter que la console d'administration et Cloud Identity font désormais partie du package de services Google (FR1805751477).

* Veuillez noter que les plates-formes FedRAMP au niveau d'impact modéré ou élevé implémentent des contrôles limitant les connexions TLS 1.1/1.0 au niveau du domaine.

Agenda

Docs

Drive

Forms

Gmail

Google Chat

Google Meet

Keep

Nouvelle version de Sites

Sheets

Slides

Vault

Services Google Workspace (niveau d'impact modéré du FedRAMP)

ID de package FedRAMP F1206081364

* Veuillez noter que la console d'administration et Cloud Identity font désormais partie du package de services Google (FR1805751477).

* Veuillez noter que les plates-formes FedRAMP au niveau d'impact modéré ou élevé implémentent des contrôles limitant les connexions TLS 1.1/1.0 au niveau du domaine.

Gestion des appareils Chrome et Android

API Apps Activity

Synchronisation Chrome (pour Google Workspace for Education uniquement)

Classroom

Cloud Search (y compris 3P)

Contacts

API Calendar

API Contacts

API Docs

Drawings

API Drive REST (remplaçant l'API Documents List)

API Gmail REST (remplaçant l'API Email Migration)

Diffusion en direct Google Meet

Google Tasks

Google Voice

Centre de sécurité Google Workspace (pour les domaines Enterprise Plus et Google Workspace for Education Plus uniquement)

Groups for Business

Jamboard

LDAP sécurisé

API Sheets

API Sites

API Tasks

Toutes les régions Google Cloud couvertes par le programme FedRAMP au niveau d'impact élevé le sont également par le programme FedRAMP au niveau d'impact modéré.

Oregon (us-west1) – FedRAMP au niveau d'impact élevé

Los Angeles (us-west2) – FedRAMP au niveau d'impact élevé

Salt Lake City (us-west3) – FedRAMP au niveau d'impact élevé

Las Vegas (us-west4) – FedRAMP au niveau d'impact élevé

Iowa (us-central1) – FedRAMP au niveau d'impact élevé

Oklahoma (us-central2) - FedRAMP au niveau d'impact élevé

Caroline du Sud (us-east1) – FedRAMP au niveau d'impact élevé

Virginie du Nord (us-east4) – FedRAMP au niveau d'impact élevé

Columbus (us-east5) – FedRAMP au niveau d'impact élevé

Dallas (us-south1) – FedRAMP au niveau d'impact élevé

Montréal (northamerica-northeast1) – FedRAMP au niveau d'impact modéré

São Paulo (southamerica-east1) – FedRAMP au niveau d'impact modéré

Belgique (europe-west1) – FedRAMP au niveau d'impact modéré

Londres (europe-west2) – FedRAMP au niveau d'impact modéré

Francfort (europe-west3) – FedRAMP au niveau d'impact modéré

Pays-Bas (europe-west4) – FedRAMP au niveau d'impact modéré

Finlande (europe-north1) – FedRAMP au niveau d'impact modéré

Mumbai (asia-south1) – FedRAMP au niveau d'impact modéré

Singapour (asia-southeast1) – FedRAMP au niveau d'impact modéré

Taïwan (asia-east1) – FedRAMP au niveau d'impact modéré

Tokyo (asia-northeast1) – FedRAMP au niveau d'impact modéré

Sydney (australia-southeast1) – FedRAMP au niveau d'impact modéré

Zurich (europe-west6) – FedRAMP au niveau d'impact modéré

Varsovie (europe-central2) – FedRAMP au niveau d'impact modéré

Jakarta (asia-south2) – FedRAMP au niveau d'impact modéré

Osaka (asia-northeast2) – FedRAMP au niveau d'impact modéré

Séoul (asia-northeast3) – FedRAMP au niveau d'impact modéré