Autorisation provisoire délivrée par l'agence américaine Defense Information Systems Agency

L'Agence américaine Defense Information Systems Agency (DISA) gère l'évaluation et l'autorisation des services cloud pour le ministère de la Défense des États-Unis (DoD). L'assistance Cloud Service de la DISA a accordé à Google Cloud une autorisation DoD provisoire de niveau 5 (IL5). Une autorisation de niveau IL5 permet le traitement et le stockage d'informations non classées contrôlées et d'informations du système de sécurité nationale à l'aide de produits spécifiques Google Cloud.

Les autorisations provisoires DISA IL2, IL4 et IL5 de Google Cloud obligent les clients à utiliser Assured Workloads et l'assistance Enhanced or Premium. L'autorisation provisoire DISA IL4 de Google Workspace oblige les clients à utiliser Assured Workloads et l'assistance Assured. Pour plus d'informations sur le processus de configuration, veuillez contacter notre équipe commerciale.

Conformité DISA IL de Google Cloud

La DISA est une agence du ministère américain de la Défense (DoD) chargée du développement et de la maintenance du Guide des exigences de sécurité sur le cloud computing du DoD (SRG, Security Requirements Guide). Le SRG sur le cloud computing définit les exigences de sécurité de base utilisées par le DoD pour évaluer la stratégie de sécurité d'une offre de services cloud (CSO, cloud service offering), ce qui soutient la décision d'accorder une autorisation provisoire (AP) du DoD qui autorise un fournisseur de services cloud (CSP, cloud service provider) à héberger des missions du DoD. Il intègre, remplace et annule le modèle de sécurité cloud (CSM, Cloud Security Model) du DoD précédemment publié, et s'inscrit dans le cadre du framework de gestion des risques du DoD (RMF, Risk Management Framework).

La DISA guide les agences et les services du DoD dans la planification et l'autorisation d'utiliser une offre de services cloud. Elle évalue également la conformité des offres de services cloud avec le SRG lors d'un processus d'autorisation selon lequel les fournisseurs de services cloud peuvent fournir des documents décrivant leur conformité avec les normes du DoD. Le cas échéant, il délivre des autorisations provisoires du DoD. Ainsi, les agences et les organisations d'assistance du DoD peuvent utiliser les services cloud sans avoir à suivre un processus d'approbation complet, ce qui représente un gain de temps et d'énergie.

En 2022, Google Cloud a reçu l'agrément provisoire IL5, ce qui en fait l'un des premiers hyperscalers à recevoir l'approbation de la DISA pour un cloud communautaire défini par logiciel. Une approche d'isolation définie par logiciel offre plus de flexibilité que les clouds gouvernementaux traditionnels en termes de déploiement régional, d'évolutivité et de coût.

Demandes de packages ILx Les packages ILx DoD sont basés sur des packages FedRAMP (niveau d'impact élevé) avec des contrôles supplémentaires spécifiques au DoD. Les packages ILx ne sont pas autorisés à être partagés par Google et doivent être fournis par la DISA à d'autres parties. Si un organisme gouvernemental souhaite obtenir plus d'informations sur le package AP DoD susmentionné pour savoir ce qui est couvert par le package P-ATO FedRAMP, il est possible de contacter la division d'évaluation cloud à l'adresse suivante : disa.meade.re.mbx.cloud-team@mail.mil

Google Cloud et IL2

Les données IL2 comprennent les informations non classifiées non contrôlées, qui sont toutes autorisées en vue d'une diffusion publique, ainsi que certaines informations non classifiées de faible confidentialité qui ne sont pas désignées comme informations non classifiées contrôlées (CUI, controlled unclassified information). Ce niveau d'impact accepte une catégorisation non-CUI basée sur la norme CNSSI 1253Classification et contrôle de sécurité pour les systèmes de sécurité nationaux jusqu'à une confidentialité faible et une intégrité modérée (L-M-x).

La note destinée aux DSI du 15 décembre 2014 du DoD concernant la mise à jour des consignes sur l'acquisition et l'utilisation de services de cloud computing grand public stipule que : "Le FedRAMP servira de niveau de référence de sécurité minimal pour tous les services cloud du DoD." Le SRG utilise le niveau de référence modéré du FedRAMP pour toutes les informations IL et prend en compte le niveau de référence élevé pour certaines.

La section 5.1.1, intitulée Utilisation des contrôles de sécurité FedRAMP par le DoD du SRG sur le cloud computing, décrit que les informations IL2 peuvent être hébergées dans une offre de services cloud qui détient au minimum une autorisation provisoire FedRAMP de niveau modéré ou élevé. Seuls les contrôles FedRAMP au niveau de référence modéré ou élevé seront évalués pour les AP DoD IL2. Pour une AP IL2, le DoD autorise la réciprocité totale avec l'agrément d'exploitation à niveau d'impact modéré ou élevé du FedRAMP (P-ATO) délivré par la commission JAB (Joint Authorization Board) de FedRAMP. Pour en savoir plus sur la conformité de Google Cloud avec FedRAMP, veuillez consulter notre page FedRAMP.

Héberger des charges de travail IL4 ou IL5 sur Google Cloud

Les charges de travail IL4 et IL5 sont déployables via Assured Workloads, ce qui permet des contrôles de sécurité répondant à des exigences élevées de résidence des données et d'assistance. Assured Workloads applique également des garde-fous pour les développeurs qui aident les grandes organisations à rester en conformité. 

Une fois que vous avez sélectionné vos services autorisés par IL4 ou IL5, Google peut vous aider à configurer votre solution à l'aide de guides de configuration spécifiques aux services lorsque vous interagissez directement avec notre équipe Professional Services Organization. De plus, Google fournit aux clients un guide de déploiement de Springboard IL4 avec du code Terraform.

Les clients souhaitant déployer leurs solutions à l'aide de Google Cloud dans leurs environnements IL4 et IL5 doivent utiliser Assured Workloads. Assured Workloads permet aux clients de sécuriser et de configurer en toute confiance des charges de travail sensibles pour répondre aux exigences de conformité et de sécurité à l'aide des services Google Cloud. Assured Workloads ne s'appuie pas sur une infrastructure physique distincte de ses centres de données cloud publics. Au lieu de cela, ce produit fournit un cloud communautaire défini par logiciel qui offre des avantages en termes de coût, de rapidité et d'innovation.

Les services autorisés par IL4 et IL5 et accessibles via Assured Workloads mettent en œuvre les contrôles de sécurité IL4 et IL5 et permettent aux clients d'utiliser les fonctionnalités de Google Cloud pour répondre aux besoins de leur organisation. Assured Workloads offre également une visibilité sur l'état de conformité IL4 et IL5 des charges de travail via la surveillance Assured Workloads. Cet outil peut vous aider à détecter et à corriger les cas de non-conformité, et à fournir des attestations de contrôle aux auditeurs qui vérifient votre état de conformité.

En plus des contrôles effectués par l'infrastructure Google Cloud bénéficiant de l'autorisation provisoire de niveau IL5, Assured Workloads met en œuvre par défaut les contrôles clés suivants de niveau IL4 et IL5 pour les clients qui gèrent des données gouvernementales au niveau IL4 et IL5 : 

  1. Définissez des garde-fous pour restreindre l'emplacement des données des clients IL4 et IL5 aux États-Unis.
  2. Limitez l'assistance technique au personnel désigné par les niveaux IL4 et IL5 et basé aux États-Unis.
  3. Appliquez le chiffrement conforme à la norme FIPS-140-2 au repos et en transit.
  4. Mettez en œuvre les contrôles d'accès du personnel requis par les niveaux IL4 et IL5 pour les personnes accédant régulièrement aux données client.
  5. Contraignez les développeurs à utiliser uniquement des produits et services conformes IL4 et IL5.
  6. Réalisez une segmentation logique des limites de conformité couvertes pour répondre aux exigences IL4 et IL5.

Google Workspace et IL4

L'édition Google Workspace Enterprise Plus a obtenu l'autorisation de niveau d'impact 4 du ministère de la Défense des États-Unis. Les clients souhaitant déployer Google Workspace pour leur solution de productivité et de collaboration doivent utiliser la fonctionnalité produit supplémentaire Assured Controls qui permettra aux organisations de contrôler avec précision l'accès des fournisseurs de services cloud.

Google Workspace Enterprise Plus avec Assured Controls inclut des contrôles de sécurité intégrés et des ensembles de fonctionnalités qui permettent aux clients du DoD de respecter les exigences de niveau IL4 et d'émettre leur propre agrément d'exploitation (ATO). Voici les principales fonctionnalités de Google Workspace compatibles avec IL4 :

  • Possibilité de limiter les données aux régions des États-Unis uniquement à l'aide de régions de données
  • Possibilité de limiter les actions d'assistance du personnel Google aux seuls résidents des États-Unis qui utilisent Assured Controls Access Management
  • Chiffrement avancé des données au repos et en transit pour répondre aux besoins de chiffrement des données sensibles. Pour en savoir plus, consultez notre article sur le chiffrement dans Google Workspace.
  • Le centre de sécurité Google Workspace, qui fournit des informations et des données analytiques avancées concernant la sécurité pour résoudre les problèmes de sécurité affectant votre domaine. 

Les clients du ministère de la Défense peuvent demander une documentation Google Workspace IL4 via eMASS ou via leur agent DISA. Veuillez noter que Google Workspace n'est pas en mesure de fournir ces documents directement aux clients.

Services couverts

Access Context Manager

Apigee

App Engine

Artifact Registry

BigQuery

Bigtable

Chronicle Security (SIEM)

Chronicle SOAR

Inventaire des éléments cloud

Cloud Billing

Cloud Build

Cloud Composer

Console Cloud

Cloud Data Fusion

Cloud DNS

Cloud Functions

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Intrusion Detection System (IDS)

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT

Cloud Run

Cloud Service Mesh

Cloud SQL

Cloud Storage

Cloud Tasks

API Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Config Management

Connect

Dataflow

Dataproc

Eventarc

Filestore

Firestore

GCP Marketplace

Console d'administration Google

Google Cloud Armor

Google Kubernetes Engine (GKE)

GKE Hub

Service d'identité GKE

Identity & Access Management

Memorystore for Memcached

Memorystore pour Redis

Network Intelligence Center

Persistent Disk

Pub/Sub

Resource Manager

Security Command Center

Sensitive Data Protection (y compris Cloud Data Loss Prevention)

Annuaire des services

Spanner

Speech-to-Text

Text-to-Speech

Traffic Director

Vertex AI Batch Prediction

Vertex AI Forecasting

Vertex AI Model Monitoring

Vertex AI Model Registry

Vertex AI Online Prediction

Vertex AI Pipelines

Vertex AI Training

Notebooks Vertex AI Workbench gérés par l'utilisateur

Vertex ML Metadata

API Video Intelligence

Cloud privé virtuel

VPC Service Controls

Web Risk

Fédération des identités des employés

Veuillez consulter notre page sur la conformité FedRAMP pour obtenir la liste des services couverts par l'autorisation IL2.

Agenda

Docs

Drive

Forms

Gmail

Google Chat (y compris le bot Google Drive et le bot Meet)

Google Meet

Sheets

Slides

Les clients peuvent se reporter aux consignes d'implémentation pour obtenir la liste des services Workspace approuvés pour IL4. 

Questions fréquentes

L'un des avantages de Google Cloud pour vos charges de travail en lien avec des administrations publiques est qu'un certain nombre de contrôles requis sont déjà pris en charge dans notre infrastructure sous-jacente et dans Assured Workloads. Ainsi, lorsque vous soumettez votre package IL4 ou IL5 pour autorisation, vous devez également inclure le plan de sécurité système de Google, qui décrit les contrôles gérés par Google Cloud. Veuillez contacter votre équipe commerciale pour obtenir une copie du plan de sécurité système de Google Cloud (nécessite un NDA).

Dans Google Cloud, les clients peuvent exploiter les fonctionnalités de chiffrement déjà présentes sur les produits autorisés pour les données associées, aussi bien au repos qu'en cours d'utilisation, et dont la mise en œuvre ne nécessite que peu ou pas d'action dans la plupart des cas. Le réseau et le système de stockage de Google Cloud disposent tous deux des AP IL4 et IL5, ce qui réduit le niveau de responsabilité que les clients Google Cloud doivent gérer.

Les données stockées au repos dans des systèmes autorisés sont automatiquement chiffrées à l'aide de bibliothèques certifiées FIPS 140-2 (c'est-à-dire les certificats n° 3678, n° 3383 et n° 3384). Les clés de chiffrement utilisées dans ce système sont également stockées et protégées conformément à la norme NIST 800-57. Elles font également l'objet d'une sécurité au sein du système KMS propriétaire de Google. Les clients peuvent contrôler ce système via Cloud KMS.

La transmission de données au sein d'un VPC Google Cloud est également autorisée via IL4 et IL5, et automatiquement protégée par le chiffrement, l'authentification et l'autorisation. Aucune autre action n'est requise pour les connexions au sein d'un VPC. Les connexions aux API Google utilisent TLS 1.2 ou une version ultérieure pour le chiffrement du trafic. Les clients sont responsables des autres connexions à l'intérieur et à l'extérieur de l'environnement (niveau 3 ou 7) qui passent par des ressources contrôlées par le client (par exemple, Cloud Load Balancer ou Cloud VPN).

Google est l'un des premiers fournisseurs de cloud hyperscale grand public à avoir obtenu les niveaux IL4 et IL5 pour une offre commerciale de cloud public. C'est à l'heure actuelle l'un des plus grands fournisseurs de services IL4 et IL5.

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud