FedRAMP

Le gouvernement fédéral des États-Unis a mis en place le FedRAMP (Federal Risk and Authorization Management Program), un programme qui fournit une approche standardisée de l'évaluation de la sécurité, des autorisations et de la surveillance continue des produits et services cloud. En 2022, le Congrès a codifié le FedRAMP en tant que "programme gouvernemental qui fournit une approche standardisée et réutilisable de l'évaluation et de l'autorisation de sécurité pour les produits et services de cloud computing qui traitent des informations non classifiées utilisées par des autorités administratives".

Tous les déploiements et modèles de service cloud des agences fédérales, à l'exception de certains clouds privés sur site, doivent répondre aux exigences du programme FedRAMP correspondant à leur niveau d'impact (faible, modéré ou élevé).

Conformité de Google Cloud au programme FedRAMP

La commission FedRAMP (anciennement "Commission mixte d'autorisation" [JAB ; Joint Authorization Board]) est l'organisme gouvernemental principal du programme FedRAMP. Elle comprend le département de la Défense (DoD), le département de la Sécurité intérieure (DHS), l'Administration générale des services (GSA) et d'autres agences, tel que déterminé par l'administrateur GSA et le responsable FedRAMP.

La commission FedRAMP a attribué un agrément provisoire d'exploitation (P-ATO) au niveau d'impact élevé à Google Cloud et à l'infrastructure sous-jacente. Google Cloud soumet régulièrement à la commission FedRAMP des services supplémentaires en vue d'obtenir l'autorisation au niveau d'impact élevé.

Si vous souhaitez utiliser les services Google Cloud pour respecter vos obligations de conformité FedRAMP au niveau d'impact élevé, vous devez utiliser Assured Workloads Data Boundary pour FedRAMP au niveau d'impact élevé et l'assistance Assured. Le modèle de référence modéré du programme FedRAMP est un sous-ensemble du modèle de référence élevé. Par conséquent, si vous demandez une autorisation d'exploitation FedRAMP au niveau d'impact modéré pour votre solution déployée sur Google Cloud, vous pouvez utiliser n'importe quel service Google Cloud ayant reçu l'autorisation d'exploitation au niveau d'impact élevé du FedRAMP dans les limites de votre autorisation FedRAMP au niveau d'impact modéré.

Google peut vous fournir les documents de conformité FedRAMP Google Cloud suivants dans le cadre d'un accord de non-divulgation (NDA) :

  • Matrice de responsabilités du client (CRM)
  • Plan de sécurité système (SSP)

Notre équipe commerciale ou votre représentant Google Cloud peuvent vous aider à accéder à notre documentation. Les administrations peuvent également demander le package FedRAMP de Google via le bureau de gestion du programme FedRAMP à l'aide de son formulaire de demande

Si vous achetez des services Google Cloud par le biais d'un partenaire Google, les conditions d'utilisation de ces achats sont transmises par nos partenaires.

Conformité de Google Workspace au programme FedRAMP

Vous pouvez utiliser Google Workspace en conformité avec diverses normes de sécurité et de confidentialité dans le cloud, établies par le gouvernement fédéral des États-Unis et les normes internationales. En plus de disposer d'un agrément provisoire d'exploitation FedRAMP au niveau d'impact élevé, Google Workspace est également certifié conforme aux normes ISO 27017, 27018, 27001 et fait l'objet d'un audit selon les normes SOC (System and Organization Controls) de l'American Institute of Certified Public Accountants (AICPA). Pour en savoir plus, consultez les offres de conformité de Google Cloud.

Toutes les limites de sécurité autorisées de Google Workspace sont documentées, évaluées et gérées conformément aux exigences de sécurité et de confidentialité du modèle de référence pour le niveau élevé du programme FedRAMP. Le modèle de référence modéré du programme FedRAMP est un sous-ensemble du modèle de référence élevé. Par conséquent, si vous demandez une ATO FedRAMP au niveau d'impact modéré pour votre implémentation Google Workspace, tout service Google Workspace ayant reçu l'autorisation d'exploitation au niveau d'impact élevé du FedRAMP peut être inclus dans les limites de votre autorisation FedRAMP au niveau d'impact modéré. Pour en savoir plus, consultez le guide de configuration FedRAMP pour Google Workspace.

Niveau d'impact élevé FedRAMP de Google Cloud VMware Engine (GCVE)

En 2023, le Bureau de la gestion du programme FedRAMP (PMO) a terminé l'examen du rapport d'évaluation de haute préparation (RAR) de Google Cloud VMware Engine (GCVE) fourni par un organisme d'évaluation tiers (3PAO) accrédité par FedRAMP. Au vu des résultats positifs de l'examen et sans aucune faille notable détectée, GCVE a été acceptée en tant qu'offre FedRAMP de haute préparation (ID de package FedRAMP FR2405153785).

Ce niveau de préparation indique au gouvernement fédéral américain que GCVE a de fortes chances d'obtenir une autorisation FedRAMP. GCVE est également certifié ISO 27017, 27018, 27001 et PCI DSS, et a fait l'objet d'un audit selon les normes SOC (System and Organization Control)s de l'American Institute of Certified Public Accountants (AICPA).

Hébergement de charges de travail sur Google Cloud (niveau d'impact modéré et élevé du FedRAMP)

L'investissement de Google Cloud dans l'infrastructure sécurisée par défaut garantit l'intégration et la préconfiguration de contrôles de sécurité pour vous permettre d'atteindre différents niveaux de conformité, sans avoir recours à une infrastructure cloud d'administration traditionnelle isolée. 

Comme indiqué précédemment, vous devez utiliser Assured Workloads si vous souhaitez déployer votre solution à l'aide de Google Cloud dans vos environnements FedRAMP au niveau d'impact modéré et élevé. Assured Workloads vous permet de sécuriser et de configurer en toute confiance des charges de travail sensibles pour répondre aux exigences de conformité et de sécurité à l'aide des services Google Cloud. Assured Workloads ne s'appuie pas sur une infrastructure physique distincte de l'infrastructure publique Google Cloud existante. Au lieu de cela, ce produit fournit un cloud communautaire défini par logiciel qui offre des avantages en termes de coût, de rapidité et d'innovation.

Les services couverts par l'autorisation FedRAMP et accessibles via Assured Workloads implémentent les contrôles de sécurité du FedRAMP et vous permettent d'utiliser les fonctionnalités de Google Cloud pour répondre aux besoins de votre organisation. Assured Workloads offre également une visibilité sur l'état de conformité au FedRAMP des charges de travail via la surveillance Assured Workloads. Cet outil peut vous aider à détecter et à corriger les cas de non-conformité, et à fournir des attestations de contrôle à vos auditeurs.

En plus des contrôles effectués par les services Google Cloud bénéficiant de l'agrément provisoire d'exploitation (P-ATO) au niveau d'impact élevé du FedRAMP, Assured Workloads implémente par défaut les contrôles clés suivants au niveau d'impact élevé du FedRAMP : 

  1. Des garde-fous pour restreindre l'emplacement des données client aux États-Unis, lorsqu'elles correspondent au niveau d'impact élevé du FedRAMP  ;
  2. Personnel d'assistance technique limité au personnel admissible au programme FedRAMP et basé aux États-Unis ;
  3. Chiffrement certifié FIPS-140 au repos et en transit
  4. Contrôles d'accès du personnel pour les personnes ayant des droits d'accès temporaires aux données des clients 
  5. Seuls les produits et services conformes au programme FedRAMP sont autorisés ;
  6. Segmentation logique des limites de conformité couvertes pour répondre aux exigences du FedRAMP correspondant au niveau d'impact élevé

Hébergement de données sur Google Workspace (niveau d'impact modéré et élevé du FedRAMP)

Google Workspace dispose d'un agrément provisoire d'exploitation (P-ATO) au niveau d'impact élevé du FedRAMP que vous pouvez exploiter pour héberger des données au niveau d'impact modéré et élevé du FedRAMP. Si vous souhaitez déployer Google Workspace dans vos environnements FedRAMP au niveau d'impact modéré et élevé, vous devez activer les services couverts par l'autorisation FedRAMP au niveau d'impact élevé. Découvrez comment activer ou désactiver un service pour Google Workspace.

De plus, les éditions Business et Enterprise de Google Workspace intègrent des contrôles de sécurité et des ensembles de fonctionnalités qui vous permettent de respecter les exigences de conformité FedRAMP au niveau d'impact élevé et d'aligner votre propre ATO. En tant qu'utilisateur Google Workspace, vous pouvez configurer votre environnement pour qu'il respecte les contrôles de résidence des données du programme FedRAMP à l'aide d'une règle de région de données.

Processus d'obtention d'une autorisation d'exploitation (ATO) auprès du FedRAMP

Si vous voulez héberger des données gouvernementales sur Google Cloud, vous pouvez également souhaiter disposer de votre propre autorisation d'exploitation (ATO). Vous devez prendre en compte les étapes suivantes pour obtenir une ATO sur Google Cloud :

  • Déterminez si les données couvertes nécessitent un niveau d'autorisation modéré ou élevé du FedRAMP.
  • Sélectionnez Assured Workloads pour les services Google Cloud couverts. Le niveau d'impact modéré du FedRAMP est inclus dans la version sans frais, tandis que le niveau d'impact élevé nécessite un abonnement premium.
  • Décidez des limites à imposer au sein de Google Cloud conformément au FedRAMP.
  • Configurez vos charges de travail conformément au modèle de responsabilité partagée, à la matrice de responsabilités du client, aux services Google Cloud couverts et aux consignes du FedRAMP.
  • Se soumettre à un audit auprès d'un organisme tiers d'évaluation (3PAO ; Third Party Assessment Organization) accrédité par FedRAMP ;
  • Envoyez votre package à l'Agence fédérale pour examen et autorisation.

Pour en savoir plus sur le processus d'obtention d'une ATO, consultez le site Web du FedRAMP. Pour obtenir une aide supplémentaire auprès de Google Cloud concernant les ATO du FedRAMP, consultez notre page Services de conseil Google Cloud

Questions fréquentes

Le récent brouillon de protocole d'accord FedRAMP du Bureau de la gestion et du budget, qui approuve une approche cloud moderne basée sur la séparation logique et logicielle au lieu d'une séparation physique, est un grand pas dans la bonne direction. À l'avant-garde de cette approche, Google Cloud pense qu'elle permet à ses clients d'évoluer et d'innover en toute sécurité.

Le programme FedRAMP permet plusieurs niveaux d'héritage pour les offres de services cloud utilisant une infrastructure, des plates-formes et des services couverts par l'autorisation FedRAMP. Cette analyse initiale du contrôle et de l'héritage permettra de déterminer votre degré de responsabilité en matière de conformité en tant que client déployant des applications sur Google Cloud.

Par exemple, si votre organisation préfère créer l'ensemble de sa pile d'application, vos responsabilités/obligations envers le client seront plus grandes lors de l'évaluation par le responsable en charge des autorisations. Si vous utilisez une infrastructure Platform as a Service (PaaS) ou Software as a Service (SaaS), vous rencontrerez probablement moins de difficultés liées à la conformité.

Une fois que vous avez sélectionné les services pour lesquels vous souhaitez obtenir une autorisation FedRAMP, Google peut vous aider à configurer votre solution au moyen de guides de configuration spécifiques ou d'un contact direct avec des experts FedRAMP au sein de nos services de conseil Google Cloud.

Google est l'un des premiers fournisseurs cloud hyperscale grand public à avoir obtenu l'autorisation à niveau d'impact élevé du FedRAMP pour une offre commerciale de cloud public. C'est à l'heure actuelle l'un des plus grands fournisseurs de services certifiés FedRAMP sur le marché. Dans le passé, pour répondre aux exigences élevées du FedRAMP, les fournisseurs hyperscale séparaient leurs offres cloud destinées aux administrations de celles proposées au grand public. Bien que cette approche permette d'assurer la conformité, ces environnements distincts ne présentent souvent pas tous les avantages de l'infrastructure Google Cloud.

L'autorisation à niveau d'impact élevé du FedRAMP pour Google Cloud permet aux autorités administratives traitant des charges de travail à niveau d'impact élevé d'adopter beaucoup plus rapidement les technologies et de bénéficier de la même échelle que la clientèle grand public, tout en exploitant les fonctionnalités et la capacité de l'infrastructure cloud publique unique de Google. Avec Assured Workloads ou Assured Controls, les clients peuvent sécuriser et configurer des charges de travail sensibles en toute confiance de façon à répondre à leurs exigences de conformité et de sécurité dans le cloud. Choisissez vos paramètres de sécurité et Google se chargera de mettre en place les contrôles cloud nécessaires.

Vous trouverez ci-dessous la liste des éditions de Google Workspace autorisées par le FedRAMP. Consultez le guide de configuration pour déployer Google Workspace afin d'assurer la conformité avec les contrôles de sécurité au niveau d'impact élevé du FedRAMP.

Oui, Assured Workloads est requis pour obtenir une ATO à niveau d'impact modéré ou élevé du FedRAMP. Assured Workloads permet à Google Cloud d'identifier les charges de travail fédérales des clients et d'appliquer des garde-fous techniques pour répondre aux modifications des réglementations fédérales. Google Cloud s'engage à respecter les exigences de conformité FedRAMP, y compris celles introduites dans les contrôles NIST 800-53 Rév. 5 et les futures versions pour les charges de travail exécutées dans Assured Workloads.

De plus, Assured Workloads est le seul moyen pour Google Cloud de répondre aux exigences élevées du programme FedRAMP en matière d'assistance et de résidence des données. Assured Workloads ne s'applique pas à Google Workspace, qui dispose de son propre module complémentaire Assured Controls.


L'un des avantages de Google Cloud pour vos charges de travail en lien avec des administrations publiques est qu'un certain nombre de contrôles requis sont déjà en place dans notre infrastructure sous-jacente et dans Assured Workloads. Ainsi, lorsque vous soumettez votre package FedRAMP à une agence fédérale pour autorisation, vous devez également inclure le plan de sécurité système de Google, qui décrit les contrôles gérés par Google Cloud. Contactez votre équipe commerciale pour obtenir une copie du plan de sécurité système de Google Cloud (nécessite un NDA).

GovRAMP est un programme de cybersécurité créé en 2021 pour répondre aux besoins des responsables des achats et de la sécurité des gouvernements locaux et des États américains. Tout comme le programme FedRAMP, il repose sur le framework NIST 800-53 et est en partie modélisé d'après le FedRAMP. Le GovRAMP s'appuie également sur les organismes 3PAO accrédités par le FedRAMP pour effectuer des évaluations. Google Cloud est prêt à accompagner les clients GovRAMP du secteur public en leur offrant une résidence des données améliorée et des fonctionnalités d'assistance via Assured Workloads.

FedRAMP Marketplace gère une liste des organismes 3PAO reconnus.

Le SSP de Google Cloud couvre les ressources appartenant à Google pour les tests d'intrusion. Vous pouvez hériter de ce contrôle en utilisant Google Cloud. Lors de l'évaluation par le 3PAO, un test d'intrusion doit également être effectué dans votre environnement FedRAMP créé à l'aide de Google Cloud.

Oui. Le programme FedRAMP permet plusieurs niveaux d'héritage pour les offres de services cloud utilisant une infrastructure, des plates-formes et des services couverts par l'autorisation FedRAMP. Cette analyse initiale du contrôle et de l'héritage permettra de déterminer votre degré de responsabilité en matière de conformité en tant que client déployant des applications sur Google Cloud.

Par exemple, si votre organisation préfère créer l'ensemble de sa pile d'application, vos responsabilités/obligations envers le client seront plus grandes lors de l'évaluation par le responsable en charge des autorisations. Si vous utilisez une infrastructure Platform as a Service (PaaS) ou Software as a Service (SaaS), vous rencontrerez probablement moins de difficultés liées à la conformité.

Une fois que vous avez sélectionné les services pour lesquels vous souhaitez obtenir une autorisation FedRAMP, Google peut vous aider à configurer votre solution au moyen de guides de configuration spécifiques ou d'un contact direct avec des experts FedRAMP au sein de nos services de conseil Google Cloud.

Conformément à la norme NIST SP 800-131A Rev. 2 sur la transition vers l'utilisation des algorithmes de chiffrement et des longueurs de clé, les clients souhaitent abandonner l'utilisation de 3DES. Google Cloud n'utilise pas 3DES, mais il reste disponible sur les points de terminaison Google pour répondre aux besoins de tous nos clients. Dans nos règles d'administration Assured Workloads, la règle d'administration "Restriction de la version TLS" offre désormais une sécurité renforcée aux clients Google Cloud en limitant l'utilisation des suites de chiffrement 3DES, qui sont moins sécurisées. Lorsque la règle est activée sur les charges de travail du client, les requêtes utilisant des suites de chiffrement basées sur le chiffrement 3DES se verront refuser l'accès aux ressources Google Cloud. La règle d'administration "Restriction de la version TLS" est appliquée par défaut pour les charges de travail Assured Workloads FedRAMP.

Services couverts

Les services Google Cloud et Google Workspace couverts par le niveau d'impact élevé du FedRAMP sont répertoriés dans le Périmètre de conformité FedRAMP et DoD.

Passez à l'étape suivante

Commencez à créer des applications sur Google Cloud avec 300 $ de crédits et plus de 20 produits toujours sans frais.

Google Cloud
DocumentationAssistance
Console
Se connecter
Security
Infos sur les menacesSecOpsSécurité du cloudConseilRessources concernant la sécurité
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud