Guide sur les exigences de sécurité de l’informatique cloud du département de la Défense
Le département de la Défense des États-Unis (Department of Defense, ou DoD) applique des exigences spécifiques de protection des informations, qui dépassent l’ensemble d’exigences commun établi par le Programme fédéral de gestion des risques et des autorisations (Federal Risk and Authorization Management Program, ou FedRAMP). En se basant sur les exigences du FedRAMP, le DoD américain a défini des exigences supplémentaires en matière de sécurité et de conformité spécifiquement pour l’informatique cloud dans son guide sur les exigences de sécurité (Security Requirements Guide, ou SRG) de l’informatique cloud. Les prestataires de services cloud soutenant des clients du DoD des États-Unis sont tenus de respecter ces exigences. Grâce à une autorisation d’exploitation (Authorization to Operate, ou ATO) FedRAMP au niveau d’impact modéré et après avoir fait l’objet d’évaluations supplémentaires par des organisations indépendantes, Smartsheet Gov a reçu une autorisation provisoire (Provisional Authorization, ou PA) au niveau d’impact 4 (IL4) de l’Agence des systèmes d’information de défense (Defense Information Systems Agency, ou DISA). Les porteurs de projets et sous-traitants autorisés du DoD peuvent ainsi utiliser Smartsheet Gov pour gérer leurs travaux et respecter plus facilement leurs exigences de sécurité et de conformité. Pour plus d’informations, veuillez vous rendre sur la page Smartsheet Gov (pour le secteur public).
Questions sur le DoD
La plateforme Smartsheet Gov est couverte par le SRG d’infomatique cloud du DoD.
L’application Smartsheet est déployée sur AWS GovCloud qui, en tant que service d’infrastructure cloud, assure les niveaux de conformité IL4 (et IL5). Aucune donnée des clients n’est transmise ni stockée sur quelque service externe que ce soit.
Oui. FedRAMP+ est un terme du SRG qui signifie essentiellement FedRAMP au niveau d’impact modéré plus IL4/5.