Les agences se tournent vers des processus standard et reproductibles pour adopter la technologie cloud | Réseau d’information fédéral
Les agences adoptent de plus en plus de logiciels et d’autres applications reposant sur une infrastructure de cloud computing.
Avant la calamité actuelle du COVID-19 et depuis, les agences fédérales ont tranquillement construit les bases pour étendre la collecte et l’utilisation des données afin d’améliorer leurs performances. Cela comprend la nomination de responsables des données, l’élaboration de programmes d’apprentissage et l’évaluation de la capacité des agences en matière de création de données. Alors que certains traitaient des choses comme celle-ci comme un exercice de conformité dans le passé, une pandémie mondiale souligne le fait que les données et…
EN SAVOIR PLUS
Les agences adoptent de plus en plus de logiciels et d’autres applications reposant sur une infrastructure de cloud computing.
Avant la calamité actuelle du COVID-19 et depuis, les agences fédérales ont tranquillement construit les bases pour étendre la collecte et l’utilisation des données afin d’améliorer leurs performances. Cela comprend la nomination de responsables des données, l’élaboration de programmes d’apprentissage et l’évaluation de la capacité des agences en matière de création de données. Alors que certains traitaient des choses comme celle-ci comme un exercice de conformité dans le passé, une pandémie mondiale souligne le fait que les données et la collaboration n’ont jamais été aussi essentielles à notre capacité à avancer efficacement.
Pendant ce temps, les forces de l’ordre et les agences de sécurité cherchent également à adopter des capacités mobiles et d’autres technologies numériques pour partager rapidement des données entre une main-d’œuvre distante et dispersée.
Je pense que les responsables informatiques du secteur public et, très franchement, de l’ensemble de l’industrie ont appris de cette période, et à quel point l’agilité numérique était essentielle, et maintenant ils ont l’espace pour prendre ces décisions concernant l’avenir, Delie Minaie, vice-présidente des affaires civiles secteur chez Booz Allen Hamilton, a déclaré sur Federal News Network.
Mais les agences ne sont pas un monolithe. Chacun est une combinaison unique de bureaux, de divisions et de bureaux indépendants. Minaei a déclaré que la gouvernance est un élément crucial de l’adoption du cloud par les agences, la direction exécutive devant coordonner l’adoption aux plus hauts niveaux afin que les agences puissent bénéficier des avantages de coût et de collaboration du cloud, au lieu de faire des investissements redondants et disparates.
Pouvoir avoir des processus standard et reproductibles va être très important, a-t-elle déclaré.
Un processus déjà en place ? Le programme fédéral de gestion des risques et des autorisations, ou FedRAMP, qui a été créé par le Bureau de la gestion et du budget de la Maison Blanche en 2011 pour assurer la sécurité des services cloud utilisés par les agences.
Les fournisseurs de services cloud peuvent obtenir une autorisation FedRAMP pour l’un de leurs services en obtenant une autorisation d’exploitation (ATO) d’une agence souhaitant utiliser le service, ou en obtenant une ATO provisoire auprès du Joint Authorization Board de FedRAMP. Le JAB est un organe directeur des directeurs de l’information de plusieurs agences. Les agences peuvent s’appuyer sur un ATO précédemment accordé pour adopter un service cloud, plutôt que de soumettre l’application à son propre processus d’évaluation et d’autorisation de sécurité.
Dans le passé, obtenir un ATO du JAB était plus un art qu’une science, a déclaré Minaie. Mais le programme a mûri et évolué au fil des ans, a-t-elle ajouté.
Je pense que nous en sommes au point où une grande partie de ce que FedRAMP a mis en place par le biais des contrôles et de l’héritage de ces contrôles facilite l’obtention beaucoup plus rapide d’ATO au niveau de la couche d’application, a déclaré Minaie. Vous pensez à vos différents CSP ou à vos fournisseurs de plate-forme, pouvant hériter d’un grand nombre de ces contrôles jusqu’aux équipes d’application. Et donc je pense que nous voyons des temps plus rapides pour ATO. Des choses qui prenaient des mois se produisent maintenant en semaines. Et cela est dû en grande partie, je crois, à l’héritage du contrôle FedRAMP.
FedRAMP a reçu un autre coup de pouce récemment lorsque le programme a été codifié dans la loi en vertu de la FedRAMP Authorization Act. Le Congrès a adopté le projet de loi dans le cadre de la loi d’autorisation de la défense nationale pour l’exercice 2023 plus large en décembre.
La loi comprend également une clause de présomption d’adéquation pour éviter les évaluations de sécurité en double et, en théorie, accélérer l’adoption des services cloud dans toutes les agences. Il établit également à la fois un conseil FedRAMP et un comité consultatif fédéral sur le cloud sécurisé pour assurer la surveillance et les commentaires sur le processus.
L’évolution continue de FedRAMP n’est peut-être qu’un élément crucial pour l’adoption continue des technologies basées sur le cloud par les agences alors qu’elles cherchent à relever des défis allant de la cybersécurité au changement climatique en passant par l’amélioration de la prestation des services publics.
Je pense que la collecte des bonnes données et l’élaboration d’informations en temps réel peuvent vraiment optimiser les résultats de la mission et contribuer à résoudre certains des défis les plus difficiles auxquels nous sommes confrontés aujourd’hui, a déclaré Minaie. Mais la première étape consiste à moderniser votre infrastructure informatique et à la rendre capable d’ingérer de très gros volumes de données et de prendre en charge des types d’outils de pointe qui donnent du sens à tout cela.
Écoutez l’émission complète :