Optimisation des autorisations FedRAMP avec Thirdera et ServiceNow

Cet éditeur mondial de logiciels professionnels permet à ses clients de gérer leur contenu et leurs informations, à la fois sur site et dans le cloud. L'une des offres clés de la société consiste à aider les entreprises, y compris les agences gouvernementales, à adopter le cloud pour gérer leurs systèmes d'information afin d'offrir des expériences personnalisées et sécurisées aux utilisateurs et aux administrés qu'elles servent.

Afin d'offrir des services supplémentaires aux agences fédérales américaines, les fournisseurs de services cloud doivent satisfaire aux exigences de sécurité définies par le programme fédéral de gestion des risques et des autorisations (FedRAMP ou Federal Risk and Authorization Management Program). L'éditeur de logiciels a pu créer un environnement entièrement nouveau pour gérer cette autorisation avec les conseils de Thirdera. Une gamme de solutions ServiceNow a été utilisée pour prendre en charge le nouvel environnement cloud AWS afin de créer une offre cloud sécurisée et standardisée offrant ainsi un niveau de protection constant et vérifiable autour des données sensibles. ServiceNow permet non seulement de contrôler la conformité mais aussi de s'assurer que l'environnement reste opérationnel et sécurisé à tout moment.
. 

Principaux enjeux

	Pour accompagner ses clients appartenant au gouvernement américain, l'éditeur de logiciels d'entreprise devait obtenir une autorisation de type modéré au titre de la FedRAMP. L'obtention de cette autorisation implique une série d'étapes destinées à garantir que les offres de services cloud (CSO ou Cloud Service Offerings) d'une société de logiciels répondent aux exigences de sécurité des autorités fédérales.
	S'aligner sur la norme NIST 800-53, une norme modérée comprenant plus de 600 contrôles décrivant les critères nécessaires à la protection des opérations contre un large éventail de menaces contre la sécurité.
	La sécurité de la plate-forme cloud de l'entreprise devait être gérée efficacement, tandis que les contrôles FedRAMP devaient être mis en place, maintenus et surveillés en permanence.
	Prendre en charge le processus d'autorisation FedRAMP et le nouvel environnement en limitant au maximum l'augmentation des effectifs.

Alors que de nombreuses agences gouvernementales fédérales adoptent désormais des services cloud, il est essentiel que les sociétés privées avec lesquelles elles s'associent prouvent leur capacité à protéger les informations fédérales confidentielles. FedRAMP encourage les agences gouvernementales américaines à adopter des services cloud sécurisés, en proposant une approche standardisée des évaluations de sécurité pour les sociétés de logiciels fournissant des services cloud.

L'entreprise de logiciels devait obtenir l'autorisation FedRAMP afin de garantir que les agences fédérales puissent utiliser ses offres de services cloud. Pour obtenir cette autorisation et améliorer sa situation globale en matière de sécurité, l'éditeur de logiciels s'est tourné vers la puissance combinée de ServiceNow et de Thirdera pour optimiser à la fois la gestion de son nouvel environnement AWS Cloud pour le gouvernement et l'autorisation FedRAMP.

Notre solution

La société de logiciels a fait appel à Thirdera pour déployer une série de solutions ServiceNow compte tenu de notre expérience en matière de déploiement et d'assistance aux clients dans les environnements FedRAMP. L'expertise avérée de Thirdera en matière de pratiques de sécurité et de conformité a permis à l'éditeur de logiciels d'atteindre le niveau de sécurité et de surveillance renforcé requis pour bénéficier de l'autorisation FedRAMP. Ceci, associé à nos compétences dans l'ensemble du programme ServiceNow, a fait de nous un partenaire de choix à long terme pour assister et conseiller l'éditeur de logiciels sur la manière d'améliorer ses services aux agences fédérales en phase de transition vers le cloud.  

Le résultat

Pour répondre aux exigences de conformité FedRAMP, Thirdera a mis en œuvre plusieurs solutions ServiceNow afin d'automatiser un grand nombre des activités requises pour sécuriser et prendre en charge le nouvel environnement. La gestion des découvertes et des événements ( Discovery and Event Management ) de IT Operations Management de ServiceNow (ITOM ou gestion des opérations informatiques ) permet de répertorier les actifs et d'identifier et de résoudre les problèmes au sein de l'environnement FedRAMP. Cela permet de prévoir les temps d'arrêt ou de les éviter complètement, ce qui facilite le maintien d'un niveau de service élevé à tout moment, tout en disposant d'un inventaire à jour de l'infrastructure en cloud à l'origine de ces services.

La solution de réponse aux incidents de sécurité ServiceNow (SIR ou Security Incident Response) a été déployée et intégrée à Splunk pour offrir une plate-forme centralisée de gestion des menaces de sécurité via un centre de commande virtuel. Cette solution minimise les risques et maximise l'efficacité en créant automatiquement et en hiérarchisant les incidents, en sélectionnant des "playbooks" et en fournissant des rapports précis pour un isolement et une résolution uniformes des incidents de sécurité.

Enfin, Thirdera a mis en œuvre l'autorisation et la surveillance continues (CAM ou Continuous Authorization and Monitoring), qui fait partie de la suite d'outils plus large de gestion intégrée des risques (IRM ou Integrated Risk Management) de ServiceNow. Grâce à cette solution, l'éditeur de logiciels peut automatiser le contrôle de la conformité et fournir facilement les rapports demandés par ses agences, tels que les inventaires d'actifs, les rapports d'analyse de vulnérabilité à l'aide de Qualys et de Prisma Cloud, ainsi que le suivi et les rapports sur les PO&AM dans l'ensemble de l'environnement. En outre, grâce au soutien continu de Thirdera, l'entreprise dispose d'un plan d'action pour renforcer la surveillance continue automatisée à l'aide des instructions et automatiser la génération des sections de leur SSP.

Thirdera a réussi à respecter le calendrier très serré pour la mise en œuvre du processus d'autorisation FedRAMP et a créé un système centralisé pour gérer l'ensemble de l'environnement de cloud computing gouvernemental du client. En conséquence, un contrôle continu de la conformité a été mis en place avec un minimum de personnel supplémentaire. En outre, la fourniture de rapports contenant des données tirées des outils de gestion des informations et des événements de sécurité ( SIEM ou Security Information and Event Management ), des scanners de vulnérabilité, des événements opérationnels et de la banque de données AWS Cloud Inventory a été automatisée. Cela a conduit à une gestion efficace, à la sécurité et à la conformité du nouvel environnement FedRAMP.

À propos de Thirdera

Thirdera est le plus grand partenaire pure-play de ServiceNow en Amérique du Nord, un partenaire Élite de ServiceNow qui se concentre uniquement sur les moyens d'améliorer et d'innover l'utilisation de la plate-forme ServiceNow chez nos clients. Nos experts possèdent des capacités et des compétences reconnues couvrant l'ensemble de la plate-forme Now. Cette vaste expérience de la plate-forme nous permet de comprendre les besoins de nos clients et d'offrir des solutions sur mesure pour relever les enjeux de l'entreprise.

Contactez-nous dès aujourd'hui pour discuter de votre prochain projet et entrez dans une nouvelle ère de l'expérience partenaire ServiceNow.