Qu'est-ce que FedRAMP Tailored et LI-SaaS ?

FedRAMP Tailored est un processus rationalisé relativement nouveau lancé en août 2017. La plupart des agences et fournisseurs ne connaissent pas très bien ce programme. Nous allons vous fournir toutes les informations dont vous avez besoin.

Informations clés

• Qu'est-ce que FedRAMP Tailored ?
• Qu'est-ce que LI-SaaS ?
• Quelles sont les conditions requises pour le niveau LI-SaaS ?
• En quoi le niveau LI-SaaS est-il différent des niveaux Faible, Modéré et Élevé ?
• Quels produits conviennent le mieux au niveau LI-SaaS ?
• Quel est le moyen le plus efficace d'exploiter le niveau LI-SaaS ?
• Comment les agences doivent-elles exploiter le niveau LI-SaaS ?
• Les fournisseurs de services cloud doivent-ils obtenir une autorisation dans le cadre du programme FedRAMP Tailored ou FedRAMP ?
• Combien de produits LI-SaaS ont reçu une autorisation ?

Si vous souhaitez en savoir plus sur FedRAMP, consultez notre Guide FedRAMP .

Qu'est-ce que FedRAMP Tailored ?

Le PMO a lancé le programme FedRAMP Tailored pour accélérer l'adoption des services cloud dans les cas d'utilisation à faible risque. Ce programme rationalise le processus d'autorisation FedRAMP en exigeant moins de contrôles de sécurité.

En vertu de la loi, les agences doivent utiliser le cadre de gestion des risques (RMF) du NIST. Le RMF constitue le fondement des exigences de base en matière de sécurité. Comme vous pouvez l'imaginer, les normes sont assez élevées en raison des données sensibles dont disposent les agences fédérales. Les fournisseurs et agences réalisent d'importants investissements afin d'obtenir une autorisation pour un service.

Les CxO, fournisseurs et responsables ont mentionné la nécessité d'un processus plus rationalisé pour les autorisations à faible risque. Dans certains cas, les coûts pour répondre à la base de référence Impact faible étaient encore trop élevés. Un processus d'autorisation plus simple permettrait de réduire les coûts de certification pour les fournisseurs. Les agences pourraient aussi réaliser des économies en termes de temps, d'argent et d'efforts.

La collaboration entre le Bureau de la gestion et du budget, le NIST et le Joint Authorization Board (JAB) entraîne des efforts de création. Le programme d'origine a été soumis aux commentaires du public pour la première fois en février 2017. Les agences, le secteur et les partenaires ont publié plus de 330 commentaires. La documentation finalisée a été publiée en août 2017, établissant officiellement le programme FedRAMP Tailored.

Qu'est-ce que LI-SaaS ?

LI-SaaS signifie « logiciel en tant que service à impact faible ». Il s'agit d'un statut créé pour le programme FedRAMP Tailored. FedRAMP compte actuellement trois niveaux d'exigences de sécurité de base : Faible, Modéré et Élevé. Ces catégories proviennent des normes  FIPS 199. LI-SaaS est une version simplifiée du niveau Faible en termes d'exigences de sécurité de base.

Ce programme permet à un fournisseur de se concentrer uniquement sur les exigences pertinentes. La base de référence Impact faible comporte 125 contrôles de sécurité que les fournisseurs doivent respecter. LI-SaaS en est un sous-ensemble. Le fournisseur doit documenter et évaluer au moins 37 contrôles de sécurité. 10 à 20 contrôles peuvent s'ajouter selon la situation. Certains contrôles relèvent de la responsabilité du gouvernement fédéral et ne s'appliquent pas. Si le contrôle ou son amélioration n'affecte pas directement la sécurité d'un SaaS cloud, il ne s'applique pas non plus.

Pour les contrôles de sécurité restants, le fournisseur doit attester qu'il les respecte. Aucun document justificatif n'est nécessaire pour l'attestation, ce qui permet de gagner du temps.

Quelles sont les conditions requises pour le niveau LI-SaaS ?

Pour qu'un service cloud de niveau LI-SaaS soit certifié FedRAMP Tailored, vous devez répondre « oui » à toutes les questions suivantes :

• Le service fonctionne-t-il dans un environnement cloud ?
• Le service cloud est-il entièrement opérationnel ?
• Le service cloud est-il un logiciel en tant que service (SaaS), tel que défini par la norme NIST SP 800-145 (The NIST Definition of Cloud Computing) ?
• Le service cloud ne contient pas d'informations personnelles identifiables (PII), sauf celles nécessaires à des fins de connexion (nom d'utilisateur, mot de passe et adresse e-mail) ?
• Le service cloud a-t-il un impact faible sur la sécurité, tel que défini par la norme FIPS PUB 199 (Standards for Security Categorization of Federal Information and Information Systems) ?
• Le service cloud est-il hébergé au sein d'une plateforme en tant que service (PaaS) ou d'une infrastructure en tant que service (IaaS) autorisée par FedRAMP, ou le fournisseur de services cloud fournit-il l'infrastructure cloud sous-jacente ?
• Ces outils peuvent inclure des outils de collaboration, des logiciels de montage multimédia et des applications de gestion de projet.

Pour qu'un service cloud de niveau LI-SaaS soit certifié FedRAMP Tailored, vous devez répondre « oui » à toutes les questions suivantes : 

Il est primordial de comprendre quelques nuances clés. Les seules informations personnelles identifiables (PII) nécessaires autorisées dans le système sont les informations d'identification de connexion. Les PII peuvent uniquement être un nom d'utilisateur, une adresse e-mail et un mot de passe. S'il contient d'autres PII, le système n'est pas admissible en tant que système LI-SaaS. Même dans ce cadre limité, il n'est pas recommandé d'utiliser ces informations. Dans la mesure du possible, le fournisseur ne doit même pas utiliser de PII de connexion. Il doit plutôt utiliser un annuaire d'agences couvert par une autorisation d'exploitation (ATO) existante et ne doit pas stocker de PII dans son propre système. Une ATO existante avec une référence de base plus élevée fournira un meilleur niveau de sécurité pour protéger les PII.

Les systèmes LI-SaaS doivent utiliser une plateforme PaaS ou une infrastructure IaaS autorisée par FedRAMP sous-jacente ou utiliser leur propre infrastructure. L'utilisation d'une ATO existante permet au système d'en hériter les contrôles de sécurité. L'utilisation de sa propre infrastructure nécessite une évaluation de ces contrôles. Certaines évaluations peuvent permettre l'utilisation de certifications comme ISO-27001 ou SOC 2, Type 2. Dans la pratique, il est plus facile d'utiliser des solutions autorisées existantes pour ne pas avoir à effectuer l'évaluation.

Bien que la référence de base FedRAMP Tailored fournisse un ensemble minimum d'exigences en matière de contrôle de sécurité, chaque agence doit tout de même émettre sa propre ATO. L'agence doit vérifier si des contrôles de sécurité supplémentaires sont requis pour respecter ses propres règles.

En quoi le niveau LI-SaaS est-il différent des niveaux Impact faible, Impact modéré et Impact élevé ?

L'impact fait référence à la gravité de la situation lorsque le système d'une agence est compromis. Le niveau LI-SaaS dispose de moins de contrôles de sécurité et peut s'appliquer à des cas d'utilisation à faible risque limités. Il s'agit d'une version modifiée et simplifiée du niveau Impact faible. Les niveaux Impact faible, Impact moyen et Impact élevé conviennent, respectivement, à un impact négatif limité, à un impact grave et à un impact grave ou catastrophique.

Le programme FedRAMP Tailored définit les directives et contrôles de sécurité LI-SaaS. Ce programme rationalise le processus d'autorisation pour les fournisseurs et agences. Seuls les contrôles de sécurité les plus pertinents et les plus applicables doivent être documentés et évalués. Les fournisseurs peuvent remplir les exigences des contrôles restants en attestant qu'ils les respectent et en héritant de certains contrôles d'une plateforme PaaS ou infrastructure IaaS autorisée sous-jacente.

FedRAMP contrôle le processus pour les systèmes à impact faible, modéré et élevé, conformément à la loi. Obtenir une autorisation est un processus beaucoup plus compliqué. Il y a beaucoup plus de contrôles de sécurité à documenter et à évaluer.

Voici l'ensemble des contrôles de sécurité requis pour les niveaux LI-SaaS, Impact faible, Impact moyen et Impact élevé :

• LI-SaaS : 37 contrôles minimum à documenter et évaluer. Les contrôles de sécurité restants dépendent de la situation, sinon, une attestation peut s'appliquer.
• Impact faible : 125
• Impact modéré : 325
• Impact élevé : 421

Quels produits conviennent le mieux au niveau LI-SaaS ?

LI-SaaS convient uniquement aux situations présentant un faible risque pour l'agence en cas de compromission ou de défaillance. Voici quelques-uns des meilleurs produits pour LI-SaaS :

• Outils de collaboration
• Outils de gestion de projets
• Outils pour le développement open source
• Outils de montage multimédia (éditeurs d'images ou de vidéos, par exemple)
• Systèmes de gestion de contenu de sites Web destinés au public
• Logiciels de formation et éducatifs

Ces produits ne peuvent pas contenir d'informations personnelles identifiables (PII) autres que des informations de connexion. Ces systèmes ne contiennent généralement pas de données sensibles susceptibles de les compromettre en cas d'accès non autorisé.

Quel est le moyen le plus efficace de déployer le niveau LI-SaaS ?

La clé du succès est de tirer parti des produits autorisés par FedRAMP. N'oubliez pas que la base même de FedRAMP est de réutiliser autant que possible les produits certifiés. Si une infrastructure cloud back-end est nécessaire, envisagez AWS ou IBM Cloud For Government. Si le produit LI-SaaS traite du contenu, des fichiers ou des documents, utilisez Box pour le secteur public. Utiliser des produits existants accélère le processus d'adoption, les éléments fondamentaux étant déjà sécurisés.

Par exemple, les produits ci-dessous disposent d'une autorisation FedRAMP sécurisée et dépendent spécifiquement de la plateforme de Box

• Broadcom : systèmes de soutien général (GSS)
• Casepoint : Casepoint Government
• Systèmes Cisco : WebEx for Government
• DocuSign : DocuSign Federal (eSignature, Gen, Negotiate)
• MDRC: SPROUT
• Palantir Technologies : Palantir Federal Cloud Service
• Palo Alto Networks : services cloud pour les gouvernements de Palo Alto Networks - Wildfire

Comment les agences doivent-elles exploiter le niveau LI-SaaS ?

Les agences doivent tenir compte des points suivants pour le niveau LI-SaaS

• Déterminer si l'adoption d'un logiciel cloud est appropriée pour le cas d'utilisation
• Déterminer si l'impact et le risque pour l'organisation sont faibles
• Vérifier si un produit autorisé par FedRAMP existe déjà
• Si aucun produit n'est autorisé, déterminer si le coût d'émission d'une ATO d'agence en justifie les avantages

Les agences doivent tout d'abord évaluer les cas d'utilisation et les avantages de produits cloud spécifiques. Les produits SaaS sont souvent plus rentables, car ils sont beaucoup plus faciles à gérer que les solutions logicielles sur site. L'inertie provient en grande majorité du coût de la migration vers une nouvelle solution. Les coûts de mise en œuvre peuvent être élevés. Former les utilisateurs aux nouveaux logiciels nécessite également du temps. Mais conserver des solutions existantes n'en vaut presque jamais la peine.

Les cas d'utilisation doivent également être appropriés pour la catégorie Impact faible. Si des risques négatifs graves sont possibles en cas de défaillance ou de compromission, le niveau LI-SaaS est inapproprié. Aucune donnée PII autre que des informations de connexion ne doit être utilisée.

La voie la plus simple vers l'adoption est d'utiliser un produit autorisé par FedRAMP existant. Tous les niveaux d'impact des produits (LI-SaaS, Faible, Modéré, Élevé) satisfont aux références de base de sécurité LI-SaaS. L'agence doit toujours évaluer si le système correspond au cas d'utilisation et émettre sa propre lettre d'ATO. Ce processus est beaucoup plus simple que de passer par un processus complet d'évaluation de la sécurité et d'autorisation.

S'il n'existe aucun produit autorisé, l'Agence doit déterminer s'il est utile de travailler avec un fournisseur pour suivre le processus FedRAMP Tailored. Elle doit s'engager à exécuter un processus complet. Mais ce processus est beaucoup plus rationalisé que le processus FedRAMP traditionnel

Les fournisseurs de services cloud doivent-ils obtenir une autorisation dans le cadre du programme FedRAMP Tailored ou FedRAMP ?

Le programme FedRAMP Tailored permet aux fournisseurs de cloud de vendre plus facilement aux agences fédérales. C'est un processus passionnant pour accéder à une grande opportunité de marché. L'inconvénient est que le niveau LI-SaaS ne concerne que les applications à faible risque.

Les fournisseurs doivent collaborer avec les agences pour en savoir plus sur la demande et les cas d'utilisation de leur produit. Ils doivent ensuite analyser les besoins en matière de sécurité. Ces exigences détermineront quel niveau d'impact convient. Les autorisations LI-SaaS et Impact faible doivent passer par le processus d'autorisation d'une agence. Les niveaux Modéré et Élevé passent généralement par le processus d'autorisation du JAB. Le processus d'autorisation d'exploitation provisoire (P-ATO) du JAB prend plus de temps que le processus ATO d'une agence. Le programme FedRAMP Tailored est spécifiquement destiné au niveau LI-SaaS et doit passer par le processus d'une agence. Les autorisations de niveau Faible, Modéré et Élevé doivent passer par le processus FedRAMP classique.

En pratique, les fournisseurs doivent analyser le coût de chaque processus. FedRAMP Tailored dispose d'un processus beaucoup plus rationalisé. Certains fournisseurs peuvent commencer par le suivre pour progresser vers un statut de niveau supérieur. Cela peut faciliter l'obtention de futures autorisations pour un niveau supérieur. Cela est principalement dû au fait qu'un sous-ensemble de contrôles de sécurité a déjà été respecté. En outre, si un fournisseur souhaite passer par le processus P-ATO du JAB, le JAB donne la priorité à ceux qui ont le plus de chances de réussir. Si un fournisseur a déjà obtenu une autorisation, il a plus de chance d'en obtenir une autre.

La plupart des fournisseurs choisissant de passer par le processus FedRAMP classique doivent évaluer le temps et l'investissement requis. 80 % des fournisseurs choisissent le niveau Modéré, car il répond à la plupart des cas d'utilisation. Le délai d'obtention de l'autorisation pour les niveaux Modéré et Faible est le même. Par conséquent, la plupart des fournisseurs choisissent le niveau Modéré. 2,6 fois plus de contrôles de sécurité étant requis pour le niveau Modéré, les fournisseurs de cloud doivent donc être prêts.

Si les fournisseurs de services cloud cherchent à atteindre le niveau Faible, ils doivent envisager le programme FedRAMP Tailored. Il est plus facile d'obtenir le niveau LI-SaaS que le niveau Faible. Sinon, ils doivent envisager d'ignorer le niveau Faible et de passer directement au niveau Modéré, les délais d'obtention de l'autorisation étant similaires.

Combien de produits LI-SaaS ont reçu une autorisation ?

En avril 2021, près de 30 applications LI-SaaS autorisées par FedRAMP ont été lancées depuis le début du programme en 2018. C'est un nouveau processus prometteur, permettant aux agences et fournisseurs d'accélérer l'adoption du cloud au sein du gouvernement fédéral. Le processus rationalisé et économique est bénéfique dans des cas d'utilisation à faible risque limités.

**Bien que nous affirmions notre engagement inébranlable de proposer des produits et services avec la meilleure protection de la vie privée, de la sécurité et de la conformité, les informations fournies dans cet article de blog ne constituent en aucun cas un conseil juridique. Nous encourageons vivement nos clients actuels et potentiels à faire preuve de diligence raisonnable lorsqu'ils évaluent la conformité aux lois applicables.