Rubriques de cette page

Obtenir les ATO pour vos applications cloud avec Oracle

Qu'est-ce qu'une ATO (Authority to Operate, autorisation d'opérer) ?

Tous les systèmes d'information fédéraux doivent disposer d'une ATO (Authority to Operate, autorisation d'opérer) avant d'être mis en production. Une ATO est émise lorsqu'un système d'information a été évalué et que l'AO (Agency Authorizing Official, Agence responsable de l'autorisation) - un haut fonctionnaire qui est souvent le DSI - a explicitement accepté le risque pour les opérations (telles que la mission, les fonctionnalités, l'image et la réputation), les actifs, les individus et les autres entreprises. L'ATO est accordée par l'AO qui détermine les critères ATO pour ses systèmes d'information, bien que l'Institut national des normes et de la technologie ait fourni des conseils sur le processus Risk Management Framework (RMF). Ces procédures et directives sont dérivées de la Federal Information Security Modernization Act.

Lors de l'évaluation des risques et de l'octroi d'ATO pour les systèmes d'information qui utilisent des offres de service cloud, les agences peuvent faire appel au Federal Risk Authorization and Management Program (FedRAMP). Grâce au FedRAMP, les agences peuvent accélérer leur adoption du cloud en créant des normes et des processus transparents pour les autorisations de sécurité et permettre ainsi aux agences de tirer parti des autorisations de sécurité à l'échelle du gouvernement. L'ATO provisoire (P-ATO) FedRAMP fournit aux AO la preuve que des contrôles de sécurité particuliers ont été respectés, de sorte qu'ils n'aient pas à répéter les étapes RMF pour ces contrôles spécifiques. Les P-ATO FedRAMP peuvent être accordées par le Joint Authorization Board (JAB) ou par l'intermédiaire d'une agence.

Le guide des exigences de sécurité du cloud relatives aux systèmes d'informations pour le département de la Défense des États-Unis (DOD) définit les niveaux d'impact des informations 2, 4, 5 et 6 pour les missions DOD, ainsi que les étapes supplémentaires que les organisations de DOD doivent suivre pour obtenir leurs ATO.

P-ATO FedRAMP élevée d'Oracle Cloud

Tous les services IaaS et PaaS d'Oracle disponibles1 dans Oracle Government Cloud disposent d'une autorisation provisoire élevée FedRAMP, comme indiqué sur le marché FedRAMP. Comme mentionné précédemment, l'ATO que le JAB fournit aux entreprises de services cloud est provisoire car seul l'agence elle-même est habilitée à émettre une ATO finale pour leurs systèmes d'information. La mise en œuvre, le test et la documentation des contrôles seront évalués par l'agence avant que l'AO n'émette une ATO, mais la P-ATO simplifie et accélère considérablement le processus.

FedRAMP élimine toute réplication des efforts en fournissant un cadre de sécurité commun permettant aux agences fédérales d'examiner leurs exigences en matière de sécurité selon une base standardisée. Un fournisseur de services cloud est soumis au processus d'évaluation et d'autorisation pour chaque offre de service cloud (CSO) et, après avoir réalisé la P-ATO pour son offre de service cloud, le package de sécurité peut être réutilisé par toute agence fédérale dans le cadre de son processus ATO. Le package de sécurité FedRAMP pour Oracle US Government Cloud peut être réutilisé pour réduire la charge administrative d'une agence et raccourcir le processus ATO en héritant des autorisations JAB élevées de P-ATO IaaS et PaaS.

1 Sur demande de l'agence, certains services qui ont terminé l'évaluation tierce mais qui ne sont pas encore autorisés par FedRAMP peuvent être mis à disposition pendant que les services attendent l'autorisation finale.

Obtenir l'ATO de l'agence

Le processus ATO varie selon l'agence et peut inclure des exigences, des processus, des normes et des procédures qui diffèrent des informations fournies ici. Cependant, à un niveau élevé, le processus d'ATO lié aux offres de service d'Oracle Cloud d'agence comporte cinq étapes.

  1. Le personnel en charge de la sécurité des informations de l'agence peut demander le package de documentation de sécurité vérifié par Oracle, et émis par le JAB, à l'aide du formulaire de demande d'accès aux packages (PDF) sur le marché de FedRAMP et de l'ID de package FR1900048743.
  2. À réception de la demande, Oracle mettra en place une salle de lecture virtuelle avec un accès sécurisé à l'ensemble de la documentation sur la sécurité, qui comprend le plan de sécurité du système, le plan d'évaluation de la sécurité, le rapport d'évaluation de la sécurité et le plan d'action et les étapes à suivre. Cette documentation est extrêmement sensible et soumise à un accord de confidentialité. L'agence n'est pas autorisée à conserver, copier ni distribuer le contenu du package de sécurité en dehors de la salle de lecture virtuelle.
  3. Le personnel du système d'information de l'agence peut contacter l'équipe de conformité d'Oracle ou le bureau de gestion des programmes FedRAMP pour toute question.
  4. Le service AO révise et documente tous les contrôles de sécurité supplémentaires pour son application spécifique, en plus des contrôles FedRAMP évalués dans le cadre de la P-ATO JAB d'Oracle.
  5. L'AO procède à un examen final de l'ensemble d'autorisations combinés. S'ils répondent à ses exigences de sécurité, l'AO émet une ATO. Les modèles sont disponibles sur fedramp.gov.

Assistance en matière d'ATO d'Oracle Partners

Oracle dispose de plusieurs entreprises partenaires qui ont une connaissance accrue du processus ATO et peuvent aider les agences à suivre les étapes requises pour obtenir leurs ATO. Pour plus d'informations sur ces partenaires, visitez les sites web suivants :