What is Virtual Prototyping and Why is it Important in Product Development?
Check out this detailed guide to know about virtual prototyping,...
Comment Modern Requirements4DevOps facilite la conformité à la norme FedRAMP
Points clés à retenir
- Aux États-Unis, les agences fédérales sont tenues d'utiliser des outils cloud s'inscrivant dans des environnements agréés par le programme FedRAMP. Il s'agit d'une exigence de conformité fondamentale pour tout système traitant des données gouvernementales.
- Azure DevOps Services, qui est la version cloud public de Microsoft, ne figure pas sur la liste des solutions approuvées par FedRAMP. Par conséquent, si vous utilisez cette version, les outils qu’elle contient, y compris les extensions, ne sont pas automatiquement conformes aux normes FedRAMP.
- D'autre part, Azure Government est spécialement conçu pour les charges de travail fédérales et figure officiellement sur la liste des services certifiés « FedRAMP High » sur la plateforme du gouvernement.
- Modern Requirements4DevOps, une solution complète de gestion des exigences, ne dispose pas d’une certification FedRAMP distincte. Cependant, lorsque vous installez Modern Requirements4DevOps au sein d’Azure Government ou dans un environnement sur site qui répond déjà aux exigences FedRAMP, l’ensemble de l’installation reste dans une zone conforme. C’est ce qui la rend adaptée aux activités réglementées sans nécessiter de certification supplémentaire.
Qu'est-ce que FedRAMP et pourquoi est-ce important ?
Le programme FedRAMP (Federal Risk and Authorization Management Program) a été lancé en décembre 2011 par le gouvernement américain afin de mettre en place une approche normalisée visant à définir les règles selon lesquelles les services cloud doivent protéger les données fédérales sensibles, conformément à la loi fédérale sur la gestion de la sécurité de l'information (FISMA). Son objectif principal est d'accélérer l'adoption d'outils cloud sécurisés et fiables au sein des agences fédérales américaines.
FedRAMP propose trois voies d'autorisation pour les services cloud :
- Autorisation provisoire d'exploitation (P-ATO) : examinée et approuvée par le Comité mixte d'autorisation (JAB) du programme FedRAMP.
- Autorisation d'exploitation (ATO) : octroyée directement par l'agence fédérale concernée qui a l'intention d'utiliser le service.
Dossier fourni par le fournisseur de services cloud (CSP) : créé par le fournisseur de services cloud (CSP) lui-même afin de démontrer sa conformité aux exigences FedRAMP.
Ces trois voies nécessitent toutes une évaluation complète de la sécurité réalisée par un organisme d'évaluation tiers agréé (3PAO), suivie d'un examen technique par le Bureau de gestion du programme FedRAMP (PMO).
Pourquoi est-ce important ?
En effet, si un service cloud n'est pas conforme à la norme FedRAMP, de nombreuses agences fédérales ne peuvent légalement pas l'utiliser. Quant aux sous-traitants ou aux partenaires, l'utilisation d'outils non approuvés peut entraîner des retards, voire leur exclusion des projets.
Options de déploiement Azure et conformité FedRAMP
Type de déploiement | Conformité à la norme FedRAMP | Détails |
|---|---|---|
Services Azure DevOps (publics) | Non certifié FedRAMP | Il s'agit de la version commerciale dans le cloud. Elle n'est pas couverte par l'autorisation FedRAMP de Microsoft. Les outils utilisés ici sont considérés comme ne relevant pas du périmètre FedRAMP. |
Azure DevOps Server (sur site) | Cela dépend de votre configuration | S'il est hébergé au sein d'un réseau agréé FedRAMP, il peut satisfaire aux exigences de conformité. Cependant, la responsabilité en matière de sécurité et de documentation incombe toujours à votre équipe. |
Azure pour les administrations publiques | Certifié FedRAMP High | Il s'agit du cloud dédié de Microsoft destiné au gouvernement américain. Il figure sur la liste officielle du FedRAMP Marketplace et inclut des services DevOps dans le périmètre de conformité. |
Sur la capture d'écran ci-dessous, vous pouvez clairement voir qu'Azure Government figure parmi les produits agréés par FedRAMP. Ce n'est pas une supposition ; c'est un fait vérifié publiquement.
Voici comment le programme Requirements4DevOps fonctionne dans le cadre des exigences de conformité FedRAMP
Modern Requirements4DevOps est une solution complète de gestion des exigences conçue pour fonctionner au sein d'Azure DevOps.
Étant donné que Modern Requirements4DevOps fonctionne comme une extension au sein d'Azure DevOps, son statut de conformité dépend entièrement de l'emplacement où Azure DevOps est hébergé.
- Lorsque Modern Requirements4DevOps est installé dans Azure DevOps Services (cloud public), il s'exécute en dehors du périmètre FedRAMP, car la version publique d'Azure DevOps n'est pas certifiée FedRAMP.
- Lorsque Modern Requirements4DevOps est installé au sein d'Azure Government, qui est déjà certifié FedRAMP High, il fonctionne entièrement dans le périmètre de conformité. Dans ce cas, aucune certification supplémentaire n'est requise.
- Il en va de même pour les installations sur site d'Azure DevOps Server qui font déjà partie d'un environnement agréé FedRAMP. Modern Requirements4DevOps hérite de cette conformité tant que tout reste au sein du réseau sécurisé.
Il est clair que Modern Requirements4DevOps ne stocke ni ne traite de données en dehors d'Azure DevOps. Il n'y a donc aucun risque externe. Tout reste au sein de l'infrastructure que vous avez choisie et autorisée, ce qui permet d'utiliser Modern Requirements4DevOps en toute sécurité dans des environnements soumis à des exigences de conformité élevées, à condition que la plateforme d'hébergement soit déjà conforme à la norme FedRAMP.
Premiers pas avec les exigences modernes pour le DevOps : une liste de contrôle
Avant de commencer à utiliser Modern Requirements4DevOps dans Azure, veuillez suivre la liste de contrôle ci-dessous :
- Vérifiez où votre instance Azure DevOps est déployée. Se trouve-t-elle dans le cloud public, sur Azure Government ou sur un serveur auto-hébergé ?
- Assurez-vous ensuite que votre configuration est conforme aux exigences FedRAMP. Le cloud public ne convient pas si vous devez rester dans un périmètre certifié. Vous devez utiliser soit Azure Government, soit une instance Azure auto-hébergée certifiée FedRAMP.
- Installez Modern Requirements 4DevOps dans ce même périmètre.
- Utilisez des outils intégrés tels qu'Azure Policy et Microsoft Defender pour garantir que l'environnement auto-hébergé reste conforme au fil du temps.
Foire aux questions (FAQ)
1. Modern Requirements4DevOps dispose-t-il de sa propre certification FedRAMP ?
Non, ce n'est pas le cas. Modern Requirements4DevOps n'a pas besoin d'obtenir la certification FedRAMP, car il ne s'agit pas d'un service cloud distinct et qu'il fonctionne au sein d'Azure Government, qui est déjà certifié FedRAMP. Ainsi, MR4DevOps hérite de toutes les fonctionnalités de sécurité d'Azure Government.
2. Des données clients sont-elles stockées en dehors d'Azure lors de l'utilisation de Modern Requirements4DevOps ?
Pas du tout. Tout, y compris les spécifications, les schémas, les cas d'utilisation et les commentaires, reste au sein d'Azure. Modern Requirements4DevOps n'héberge pas vos données et ne les transfère pas ailleurs.
3. Faut-il procéder à un examen de sécurité distinct pour utiliser Modern Requirements4DevOps dans un environnement réglementé ?
Dans la plupart des cas, non. Étant donné que Modern Requirements4DevOps n'introduit pas de nouvelle limite de cloud, il relève de la couverture FedRAMP existante d'Azure Government. Votre équipe chargée de la sécurité et de la conformité peut généralement l'approuver sur cette base.
Table des matières
Articles récents
SOC 2 Compliance in DevOps: Managing Security Requirements Effectively
Learn more about the importance of SOC 2 compliance, its...
Why DevOps Still Feels Manual and What Agents4DevOps Does Differently
Agents4DevOps puts smart AI agents right into Azure DevOps, letting...