Supplément de la réglementation fédérale sur l'acquisition de la défense des États-Unis (DFARS)

Le DFARS (U.S. Defense Federal Acquisition Regulation Supplement) est un ensemble de réglementations obligatoires pour les entreprises qui passent un contrat avec le Ministère américain de la Défense (DoD).

Les prestataires du Ministère américain de la Défense et les clients de la Base industrielle de défense (DIB, Defense Industrial Base) sont tenus de respecter les exigences applicables des clauses DFARS afin d'assurer une sécurité adéquate. Ces clients peuvent utiliser Google Cloud et Google Workspace pour se conformer aux clauses DFARS 252.239-7010 et 252.204-7012 applicables aux fournisseurs de services cloud (FSC) en utilisant nos services définis FedRAMP à niveau élevé et à niveau modéré.

Conformité avec la réglementation DFARS 252.239-7010.

Lorsqu'une solution cloud est utilisée pour traiter des données au nom du DoD, ou que le DoD conclut un contrat avec un FSC pour héberger ou traiter des données dans un cloud, le prestataire de défense doit respecter la clause DFARS 252.239-7010 sur les services de cloud computing. La clause DFARS 252.239-7010 demande au fournisseur de services cloud de respecter le Guide des exigences de sécurité sur le cloud computing du DoD.

Google Cloud et Google Workspace peuvent aider les clients à se conformer au Guide des exigences de sécurité sur le cloud computing du DoD, avec les services Google Cloud autorisés aux niveaux IL2, IL4 et IL5, et les services Google Workspace autorisés aux niveaux IL2 et IL4. Le niveau IL5 est en cours. Pour en savoir plus sur les services compatibles, consultez la page sur la conformité avec la loi DISA.

Conformité avec la réglementation DFARS 252.204-7012

Les prestataires de la défense dont les systèmes d'information traitent, stockent ou transmettent des informations de défense couvertes (CDI) doivent se conformer à la clause DFARS 252.204-7012, qui spécifie les exigences pour la protection des informations non classifiées contrôlées (CUI) conformément au NIST SP 800-171, les obligations de signalement d'incidents cybernétiques, et d'autres considérations pour les fournisseurs de services cloud.

Google Cloud et Google Workspace appuient la réglementation DFARS

Les clients peuvent utiliser Google Cloud et Google Workspace pour se conformer aux clauses DFARS 252.239-7010 et 252.204-7012 applicables aux FSC à l'aide de nos contrôles définis FedRAMP aux niveaux d'impact modéré et élevé.

Google Cloud et Google Workspace maintiennent des autorisations d’exploitation aux niveaux d'impact modéré et élevé du FedRAMP pour des services définis. Tous les services de niveaux d'impact modéré et élevé du FedRAMP sont conformes à la norme NIST 800-171. Les clients doivent utiliser la matrice de responsabilité du client (CRM, Customer Responsibility Matrix) de FedRAMP, qui fait partie du plan de sécurité du système FedRAMP de Google, lorsqu'ils configurent leurs systèmes pour qu'ils soient conformes au programme FedRAMP. Notre équipe commerciale ou votre représentant Google Cloud peuvent vous aider à accéder à la documentation applicable.

Pour tous les services FedRAMP, Google s'appuie sur son plan de réponse aux incidents (IRP, Incident Response Plan) FedRAMP, qui fait partie de son plan de sécurité du système FedRAMP (SSP, System Security Plan). Ce plan est autorisé dans le cadre de ses autorisations d'exploitation FedRAMP. Conformément à ses procédures standards de réponse aux incidents, Google préserve et protège tout logiciel malveillant applicable, supports média, analyses forensiques et évaluations des dommages réalisés dans le cadre de son enquête.

Les clients qui souhaitent que leurs données soient stockées exclusivement aux États-Unis doivent utiliser les services FedRAMP à niveau d'impact élevé (configurés avec Assured Workloads ou Assured Controls) et la CRM FedRAMP. Ainsi, leurs données seront stockées dans des régions de centres de données Google situées aux États-Unis. Les clients peuvent également choisir d'utiliser les solutions Google couvertes par les autorisations IL2, IL4 ou IL5 afin de garantir la résidence des données client.

Utilisation de Google pour se conformer à la clause DFARS 252.204-7012

Les prestataires du DoD et les clients de la DIB peuvent utiliser Google Cloud et Google Workspace pour répondre aux exigences de la clause DFARS 252.204-7012. En activant Assured Workloads ou Assured Controls, ces organisations peuvent faciliter la création de limites ou d'enclaves système conformes dans leurs environnements Google Cloud. Comme indiqué ci-dessous, Google s'engage à accepter les exigences du flux DFARS 252.204-7012 applicables aux FSC pour nos services FedRAMP de niveaux d'impact modéré et élevé.

Les clients doivent sélectionner un package de contrôle réglementaire FedRAMP de niveau d'impact modéré ou élevé pour le déploiement dans les limites définies par logiciel. Comme indiqué ci-dessus, les clients doivent utiliser la CRM FedRAMP, qui fait partie du SSP FedRAMP de Google, lorsqu'ils configurent leurs systèmes pour assurer la conformité FedRAMP.

Les clients Google Workspace doivent s'assurer qu'ils n'utilisent que les services FedRAMP à niveau d'impact modéré ou élevé dans le cadre de leur conformité avec la clause DFARS 252.204-7012. Si nécessaire, un client peut désactiver un service qui n'a pas encore reçu d'autorisation FedRAMP. Google recommande aux clients de suivre le guide de configuration FedRAMP de Google Workspace pour assurer la conformité avec la clause DFARS 252.204-7012. Veuillez noter que même si l'emplacement des données et Assured Controls ne sont pas explicitement requis pour assurer la conformité avec la clause DFARS 252.204-7012, ils peuvent être considérés comme des modules complémentaires facultatifs pour les clients soumis à des exigences plus restrictives.

Engagement Google Cloud et Google Workspace en vertu des exigences de la clause DFARS 7012

Exigences relatives à la clause DFARS 7012

Engagement Google Cloud et Google Workspace

(b) Exigences concernant la fourniture d'une sécurité adaptée

Google Cloud et Google Workspace conservent des autorisations d’exploitation FedRAMP aux niveaux d'impact modéré et élevé pour les services couverts. Tous les services de niveaux d'impact modéré et élevé du FedRAMP sont conformes à la norme NIST 800-171.

Les clients doivent utiliser la CRM FedRAMP, qui fait partie du SSP FedRAMP de Google, lorsqu'ils configurent leurs systèmes pour assurer la conformité FedRAMP. Les clients peuvent demander le SSP et la CRM FedRAMP à un spécialiste des ventes Google Cloud.

c) Exigences concernant la création de rapports sur les cyberincidents

Google signale les incidents liés aux données conformément à ses responsabilités et à ses obligations contractuelles dans le cadre du programme FedRAMP.

Les Conditions relatives au traitement des données dans le cloud de Google comprennent une section sur la sécurité des données (section 7, Sécurité des données), y compris la notification d'incident lié aux données, qui stipule que Google s'engage à informer rapidement et sans délai les clients après avoir connaissance d'un Incident lié aux données (section 7.2.1). La notification de Google indiquera : la nature de l'incident, y compris les ressources affectées du client ; les mesures que Google a prises, ou prévoit de prendre, pour faire face à l'incident et réduire les risques associés ; les éventuelles mesures que Google recommande au client de prendre pour résoudre l'incident ; et les coordonnées du point de contact où il est possible d'obtenir des informations complémentaires (section 7.2.2).

Google n'évalue pas les données du client en vue d'enquêter et d'identifier les incidents liés aux données. Toutefois, à la demande du client, Google peut fournir une coopération et une assistance supplémentaires raisonnables pour aider le client à respecter ses obligations en matière de sécurité et de violation des données à caractère personnel au regard de la législation en vigueur.

Google s'engage à informer rapidement les clients impactés qui sont concernés par le DFARS avec les solutions Assured Workloads et Assured Controls correctement configurées pour les incidents liés aux données, dans un délai de 72 heures.

Pour en savoir plus sur l'approche de Google en matière de réponse aux incidents, veuillez consulter notre processus de réponse aux incidents liés aux données.

(d) Logiciels malveillants

Si Google ou le client identifient un logiciel malveillant connecté à des clients Google Cloud ou Google Workspace concernés par le DFARS, Google collaborera avec les clients pour transmettre ces logiciels malveillants au DoD Cyber Crime Center (DC3), le cas échéant.

L'infrastructure de Google est conçue avec des mesures de sécurité visant à empêcher le déploiement de code malveillant, à éliminer les individus d'une incidence unilatérale sur l'environnement et à appliquer des contrôles cohérents sur l'ensemble de ses services.

(e) Conservation et protection des supports

En cas d’incident lié aux données, l’équipe de gestion des incidents suit le protocole IRP FedRAMP de Google pour garantir la collecte et la conservation des données dans le cadre du processus standard d’enquête sur les incidents. Au cours de ce processus, Google s'engage à protéger et à gérer des systèmes physiques ou virtuels, ou des supports physiques, si cela est jugé nécessaire à la réponse à l'incident. Les clients sont responsables de la collecte et du stockage des données de surveillance ou de capture de paquets.

Il est également recommandé aux clients Google Cloud et Google Workspace d'utiliser Cloud Logging pour conserver les données des journaux d'audit des clients pendant au moins six mois (ou au moins 90 jours pour respecter les obligations de la clause DFARS 252.204-7012). Les clients peuvent demander la SSP et la CRM FedRAMP (qui incluent l'IRP) à un spécialiste des ventes Google Cloud.

(f) Accès à des informations ou à des équipements supplémentaires nécessaires à des analyses forensiques

À la demande du client, Google peut fournir une coopération et une assistance supplémentaires raisonnables pour aider le client à respecter ses obligations en matière de sécurité et de violation des données à caractère personnel au regard de la législation en vigueur.

(g) Activités d'évaluation des dommages liés aux cyberincidents

Dans le cadre de l'IRP FedRAMP, Google évalue l'étendue des dommages causés par un incident connu. Ces informations sont disponibles sur demande pour l'évaluation des dommages du DoD.

Exigences relatives à la clause DFARS 7012

Engagement Google Cloud et Google Workspace

(b) Exigences concernant la fourniture d'une sécurité adaptée

Google Cloud et Google Workspace conservent des autorisations d’exploitation FedRAMP aux niveaux d'impact modéré et élevé pour les services couverts. Tous les services de niveaux d'impact modéré et élevé du FedRAMP sont conformes à la norme NIST 800-171.

Les clients doivent utiliser la CRM FedRAMP, qui fait partie du SSP FedRAMP de Google, lorsqu'ils configurent leurs systèmes pour assurer la conformité FedRAMP. Les clients peuvent demander le SSP et la CRM FedRAMP à un spécialiste des ventes Google Cloud.

c) Exigences concernant la création de rapports sur les cyberincidents

Google signale les incidents liés aux données conformément à ses responsabilités et à ses obligations contractuelles dans le cadre du programme FedRAMP.

Les Conditions relatives au traitement des données dans le cloud de Google comprennent une section sur la sécurité des données (section 7, Sécurité des données), y compris la notification d'incident lié aux données, qui stipule que Google s'engage à informer rapidement et sans délai les clients après avoir connaissance d'un Incident lié aux données (section 7.2.1). La notification de Google indiquera : la nature de l'incident, y compris les ressources affectées du client ; les mesures que Google a prises, ou prévoit de prendre, pour faire face à l'incident et réduire les risques associés ; les éventuelles mesures que Google recommande au client de prendre pour résoudre l'incident ; et les coordonnées du point de contact où il est possible d'obtenir des informations complémentaires (section 7.2.2).

Google n'évalue pas les données du client en vue d'enquêter et d'identifier les incidents liés aux données. Toutefois, à la demande du client, Google peut fournir une coopération et une assistance supplémentaires raisonnables pour aider le client à respecter ses obligations en matière de sécurité et de violation des données à caractère personnel au regard de la législation en vigueur.

Google s'engage à informer rapidement les clients impactés qui sont concernés par le DFARS avec les solutions Assured Workloads et Assured Controls correctement configurées pour les incidents liés aux données, dans un délai de 72 heures.

Pour en savoir plus sur l'approche de Google en matière de réponse aux incidents, veuillez consulter notre processus de réponse aux incidents liés aux données.

(d) Logiciels malveillants

Si Google ou le client identifient un logiciel malveillant connecté à des clients Google Cloud ou Google Workspace concernés par le DFARS, Google collaborera avec les clients pour transmettre ces logiciels malveillants au DoD Cyber Crime Center (DC3), le cas échéant.

L'infrastructure de Google est conçue avec des mesures de sécurité visant à empêcher le déploiement de code malveillant, à éliminer les individus d'une incidence unilatérale sur l'environnement et à appliquer des contrôles cohérents sur l'ensemble de ses services.

(e) Conservation et protection des supports

En cas d’incident lié aux données, l’équipe de gestion des incidents suit le protocole IRP FedRAMP de Google pour garantir la collecte et la conservation des données dans le cadre du processus standard d’enquête sur les incidents. Au cours de ce processus, Google s'engage à protéger et à gérer des systèmes physiques ou virtuels, ou des supports physiques, si cela est jugé nécessaire à la réponse à l'incident. Les clients sont responsables de la collecte et du stockage des données de surveillance ou de capture de paquets.

Il est également recommandé aux clients Google Cloud et Google Workspace d'utiliser Cloud Logging pour conserver les données des journaux d'audit des clients pendant au moins six mois (ou au moins 90 jours pour respecter les obligations de la clause DFARS 252.204-7012). Les clients peuvent demander la SSP et la CRM FedRAMP (qui incluent l'IRP) à un spécialiste des ventes Google Cloud.

(f) Accès à des informations ou à des équipements supplémentaires nécessaires à des analyses forensiques

À la demande du client, Google peut fournir une coopération et une assistance supplémentaires raisonnables pour aider le client à respecter ses obligations en matière de sécurité et de violation des données à caractère personnel au regard de la législation en vigueur.

(g) Activités d'évaluation des dommages liés aux cyberincidents

Dans le cadre de l'IRP FedRAMP, Google évalue l'étendue des dommages causés par un incident connu. Ces informations sont disponibles sur demande pour l'évaluation des dommages du DoD.

Comme indiqué ci-dessus, les produits Google couverts par les autorisations FedRAMP sont conformes aux exigences de la clause DFARS 252.204-7012 applicables aux FSC pour permettre aux prestataires de services de défense de respecter leurs obligations en vertu de la norme DFARS 252.204-7012.

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

Essai gratuit
Google Cloud
DocumentationAssistance
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Se connecter
Security
Page d'accueilRenseignements et expertiseSecOpsSécurité du cloudRessources concernant la sécurité
Assistance à la réponse aux incidents
Nous contacter
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud