FedRAMP
Le gouvernement fédéral des États-Unis a mis en place le FedRAMP (Federal Risk and Authorization Management Program), un programme qui fournit une approche standardisée de l'évaluation de la sécurité, des autorisations et de la surveillance continue des produits et services cloud. En 2022, le Congrès a codifié le FedRAMP en tant que "programme gouvernemental qui fournit une approche standardisée et réutilisable de l'évaluation et de l'autorisation de sécurité pour les produits et services de cloud computing qui traitent des informations non classifiées utilisées par des autorités administratives".
Tous les déploiements et modèles de service cloud des agences fédérales, à l'exception de certains clouds privés sur site, doivent répondre aux exigences du FedRAMP correspondant à leur niveau d'impact (faible, modéré ou élevé).
Les clients qui souhaitent héberger des services autorisés par le FedRAMP sur Google Cloud doivent utiliser Assured Workloads pour respecter le niveau d'impact modéré ou élevé du programme. Lisez la suite pour en savoir plus.
Conformité de Google Cloud au programme FedRAMP
La commission FedRAMP (anciennement "Commission mixte d’autorisation" [JAB ; Joint Authorization Board]) est l'organisme gouvernemental principal du programme FedRAMP. Elle comprend le département de la Défense (DoD), le département de la Sécurité intérieure (DHS) et l'Administration générale des services (GSA) et d'autres agences, tel que déterminé par l'administrateur GSA et le responsable FedRAMP.
La commission FedRAMP a attribué des autorisations d’exploitation (ATO ; Authority to Operate) aux niveaux d'impact modéré et élevé à l'infrastructure Google Cloud et à des offres de services Google Cloud spécifiques (CSO). Google Cloud soumet régulièrement à la commission FedRAMP des services supplémentaires en vue d'obtenir les autorisations au niveau d'impact modéré et élevé.
Google Cloud fournit des preuves supplémentaires de conformité avec le programme FedRAMP directement aux clients qui ont déjà signé un accord de non-divulgation (NDA ; Non-Disclosure Agreement) avec nous. La documentation disponible en vertu du NDA comprend les éléments suivants :
- Tableau de responsabilité du client (CRM) du FedRAMP ;
- Plan de sécurité du système (SSP) de Google Cloud ;
- Rapports de tests d'intrusion et autres documents.
Notre équipe commerciale ou votre représentant Google Cloud peuvent vous aider à accéder à notre documentation étendue. Les administrations peuvent également demander le package FedRAMP de Google via le bureau de gestion du programme FedRAMP à l'aide de son formulaire de demande.
Pour les clients qui effectuent des achats auprès d'un partenaire Google, les conditions d'utilisation de ces achats sont transmises par nos partenaires.
Conformité de Google Workspace au programme FedRAMP
Google Workspace se conforme à diverses normes fédérales des États-Unis et normes internationales en matière de sécurité et de confidentialité dans le cloud. En plus de disposer d'une autorisation FedRAMP au niveau d'impact élevé, Google Workspace est également certifié conforme aux normes ISO 27017, 27018, 27001 et fait l'objet d'un audit selon les normes SOC (Service Organization Control) de l'American Institute of Certified Public Accountants (AICPA).
Données au niveau d'impact élevé du FedRAMP sur Google Cloud VMware Engine (GCVE)
Fin 2023, le Bureau de la gestion du programme FedRAMP (PMO) a terminé l'examen du rapport d'évaluation de haute préparation (RAR) de Google Cloud VMware Engine (GCVE) fourni par un organisme d'évaluation tiers (3PAO). Au vu des résultats positifs de l'examen et sans aucune faille notable détectée, GCVE a été acceptée en tant qu'offre FedRAMP de haute préparation (ID de package FedRAMP FR2405153785).
Ce niveau de préparation indique au gouvernement fédéral américain que GCVE a de fortes chances d'obtenir une autorisation FedRAMP. GCVE est également certifié ISO 27017, 27018, 27001 et PCI DSS, et a fait l'objet d'un audit selon les normes SOC (Service Organization Control) de l'American Institute of Certified Public Accountants (AICPA).
Hébergement de charges de travail sur Google Cloud (niveau d'impact modéré et élevé du FedRAMP)
L'investissement de Google Cloud dans la sécurité par défaut pour notre infrastructure garantit l'intégration et la préconfiguration de contrôles de sécurité pour permettre aux administrations publiques d'atteindre différents niveaux de conformité sans avoir recours à une architecture cloud traditionnelle isolée.
Les clients souhaitant déployer leurs solutions à l'aide de Google Cloud dans leurs environnements FedRAMP au niveau d'impact modéré et élevé doivent utiliser Assured Workloads. Assured Workloads permet aux clients de sécuriser et de configurer en toute confiance des charges de travail sensibles pour répondre aux exigences de conformité et de sécurité à l'aide des services Google Cloud. Assured Workloads ne s'appuie pas sur une infrastructure physique distincte de ses centres de données cloud publics. Au lieu de cela, ce produit fournit un cloud communautaire défini par logiciel qui offre des avantages en termes de coût, de rapidité et d'innovation.
Les services autorisés par le FedRAMP et accessibles via Assured Workloads mettent en œuvre les contrôles de sécurité du FedRAMP et permettent aux clients d'utiliser les fonctionnalités de Google Cloud pour répondre aux besoins de leur organisation. Assured Workloads offre également une visibilité sur l'état de conformité au FedRAMP des charges de travail via la surveillance Assured Workloads. Cet outil peut vous aider à détecter et à corriger les cas de non-conformité, et à fournir des attestations de contrôle aux auditeurs qui vérifient votre état de conformité.
En plus des contrôles effectués par l'infrastructure Google Cloud bénéficiant de l'autorisation d’exploitation (ATO) au niveau d'impact élevé du FedRAMP, Assured Workloads met en œuvre par défaut les contrôles clés suivants au niveau d'impact élevé du FedRAMP pour les clients qui gèrent des données gouvernementales au niveau d'impact élevé du FedRAMP :
- Définir des garde-fous pour restreindre l'emplacement des données client aux États-Unis, lorsqu'elles correspondent au niveau d'impact élevé du FedRAMP ;
- Limiter l'assistance technique au personnel désigné par le FedRAMP et basé aux États-Unis ;
- Appliquez le chiffrement conforme à la norme FIPS-140-2 au repos et en transit ;
- Mettre en œuvre les contrôles d'accès du personnel requis par le FedRAMP pour les personnes accédant régulièrement aux données client ;
- Contraindre les développeurs à utiliser uniquement des produits et services conformes au FedRAMP ;
- Réaliser une segmentation logique des limites de conformité couvertes pour répondre aux exigences du FedRAMP correspondant au niveau d'impact modéré et élevé.
Hébergement de données sur Google Workspace (niveau d'impact modéré et élevé du FedRAMP)
Google Workspace dispose d'une ATO FedRAMP au niveau d'impact élevé que les clients peuvent exploiter pour héberger des données au niveau d'impact modéré et élevé du FedRAMP. Les clients qui souhaitent déployer Google Workspace dans leur environnement au niveau d'impact modéré et élevé du FedRAMP doivent activer les services autorisés par le FedRAMP qui disposent des autorisations correspondantes. Découvrez comment activer ou désactiver un service pour Google Workspace.
De plus, les éditions Business et Enterprise de Google Workspace intègrent des contrôles de sécurité et des ensembles de fonctionnalités qui permettent aux clients de respecter les exigences FedRAMP au niveau d'impact élevé et d'aligner leurs propres ATO. Les utilisateurs Google Workspace peuvent configurer leurs environnements pour qu'ils respectent les contrôles de résidence des données du programme FedRAMP à l'aide d'une règle de région des données.
Processus d'obtention d'une autorisation d'exploitation (ATO) auprès du FedRAMP
Les clients voulant héberger des données gouvernementales sur Google Cloud peuvent également souhaiter disposer de leur propre autorisation d'exploitation (ATO). Les entreprises doivent prendre en compte les étapes suivantes pour obtenir une ATO sur Google Cloud :
- Déterminer si les données couvertes nécessitent un niveau d'impact modéré ou élevé du FedRAMP ;
- Sélectionner Assured Workloads (le niveau d'impact modéré du FedRAMP correspond au niveau gratuit et le niveau d'impact élevé du FedRAMP nécessite un abonnement premium) pour les services Google Cloud concernés ;
- Décider des limites à imposer au sein de Google Cloud conformément au FedRAMP ;
- Configurer vos charges de travail conformément au modèle de responsabilité partagée, au tableau de responsabilité du client, aux services Google Cloud concernés et aux consignes du FedRAMP ;
- Se soumettre à un audit auprès d'un organisme tiers d'évaluation (3PAO ; Third Party Assessment Organization) ;
- Envoyer votre package à la commission FedRAMP ou à l'Agence fédérale pour examen et autorisation.
Pour en savoir plus sur le processus d'obtention d'une ATO, consultez le site Web du FedRAMP. Pour obtenir une aide supplémentaire auprès de Google Cloud concernant les ATO du FedRAMP, veuillez consulter notre page Services de conseil Google Cloud.