Obtenez une équivalence FedRAMP modérée ou élevée grâce à l'audit FedRAMP et aux services d'assistance 3PAO accrédités A2LA de Lazarus Alliance. Délais rapides de 6 à 12 semaines, développement complet du SSP/POA&M et automatisation Cybervisor™. Appelez le 888-896-7580.

L’équivalence modérée FedRAMP (également appelée équivalent modéré FedRAMP) est une voie de conformité alternative définie par le Département de la Défense (DoD) pour les offres de services cloud (CSO) utilisées par les sous-traitants de la base industrielle de défense (DIB) pour stocker, traiter ou transmettre des informations de défense couvertes (CDI) ou des informations non classifiées contrôlées (CUI). Elle découle directement de la clause DFARS 252.204-7012 et a été précisée dans un 21 décembre 2023, mémorandum du DoD CIO.

Pourquoi existe-t-il et quel est son rôle dans le CMMC ?

La norme DFARS 252.204-7012 exige que tout fournisseur de services cloud externe (CSP) traitant des informations confidentielles et non classifiées (CUI/CDI) respecte des exigences de sécurité équivalentes au niveau de base FedRAMP Moderate (auxquelles s'ajoutent les règles de déclaration des incidents de cybersécurité du DFARS, énoncées aux paragraphes (c) à (g)). Le programme CMMC (en particulier les niveaux 2 et 3, qui protègent les CUI) intègre cette exigence : si votre organisation utilise un CSP pour ses CUI, ce dernier doit être agréé FedRAMP Moderate (et donc référencé sur la plateforme FedRAMP Marketplace) ou équivalent à FedRAMP Moderate.

Lors d'une évaluation CMMC, le C3PAO (Pour le niveau 2) ou DIBCAC (pour les niveaux supérieurs) examinera le dossier de preuves du fournisseur de services certifiés (CSP) afin de confirmer l'équivalence. Cette procédure s'inscrit dans le cadre de la validation de votre conformité globale au CMMC.

Lazarus Alliance, un organisme d'évaluation tiers accrédité FedRAMP (3PAO)Lazarus Alliance collaborera directement avec votre organisation pour préparer et planifier votre évaluation officielle d'équivalence FedRAMP modérée. Une fois l'évaluation indépendante réalisée par un organisme tiers agréé (3PAO) réussie, Lazarus Alliance vous fournira un dossier de preuves complet.

Programme fédéral de gestion des risques et des autorisations (FedRAMP)

FedRAMP est un programme du gouvernement américain qui fournit une approche standardisée en matière d'évaluation de la sécurité, d'autorisation et de surveillance continue des produits et services cloud utilisés par les agences fédérales.

Créé en 2011 et imposé par l'Office of Management and Budget (OMB), FedRAMP élimine les tests de sécurité redondants en créant un cadre « à faire une fois, à utiliser plusieurs fois » afin qu'une fois qu'un service cloud est autorisé dans le cadre de FedRAMP, toute agence fédérale puisse réutiliser ce package d'autorisation au lieu de mener sa propre évaluation complète.

Que signifie réellement le terme « équivalent » ?

La note de service de 2023 a comblé les lacunes précédentes et a établi une norme élevée. Un CSO est qualifié d'équivalent FedRAMP modéré. seulement si il rencontre tous du suivant:

  • Atteint 100 % de conformité (aucun résultat lié au contrôle) avec le dernière norme de contrôle de sécurité FedRAMP modérée (NIST SP 800-53 Rév. 5 Modéré, ~325 contrôles).
  • Est évalué par un Organisme d'évaluation tiers (3PAO) reconnu et accrédité par FedRAMP utilisation des modèles FedRAMP.
  • Fournit une solution complète Corps de preuves (BoE) à l'entrepreneur, ce qui comprend généralement :
    • Plan de sécurité du système (PSS)
    • Plan d'évaluation de la sécurité (SAP)
    • Rapport d'évaluation de sécurité (SAR) réalisé par le 3PAO
    • Plan d’action et étapes clés (POA&M) — remarque : les POA&M opérationnels continus sont autorisés après l’évaluation, mais l’évaluation initiale 3PAO doit démontrer une conformité totale sans constatations de contrôle ouvertes.

Le CSP doit également se conformer aux exigences de la norme DFARS 252.204-7012 en matière de déclaration d'incidents, de gestion des logiciels malveillants, de protection des supports, d'accès aux données médico-légales et d'évaluation des dommages.

Obtenez une équivalence FedRAMP modérée ou élevée grâce à l'audit FedRAMP et aux services d'assistance 3PAO accrédités A2LA de Lazarus Alliance. Délais rapides de 6 à 12 semaines, développement complet du SSP/POA&M et automatisation Cybervisor™. Appelez le 888-896-7580.

Calendrier de l'audit d'équivalence FedRAMP Moderate : à quoi s'attendre avec Lazarus Alliance

Voici les délais moyens réels observés en 2024-2026 avec des 3PAO expérimentés comme Lazarus Alliance :

Calendrier détaillé de l'audit d'équivalence FedRAMP modéré

Lazarus Alliance suit ce processus structuré en 6 phases pour aider les fournisseurs de services cloud (CSP) disposant d'une autorisation FedRAMP Moderate existante à atteindre efficacement l'équivalence Moderate (réutilisation de l'ATO de l'agence, mappage DoD IL4/IL5, StateRAMP ou autres voies d'équivalence) en utilisant la rigueur et l'automatisation accréditées par A2LA.

phase Activités Durée (produits) livrables
Phase 0 – Avant l’engagement et la prise de décision Consultation sans risque, examen du package FedRAMP Moderate existant, détermination du chemin d'équivalence cible (Agence, DoD IL4/IL5, StateRAMP, etc.), confirmation des limites et définition de l'écart. 1 semaine Accord d'engagement signé, feuille de route d'équivalence, diagramme de limites mis à jour et confirmation du cheminement.
Phase 1 – Évaluation du périmètre et de la préparation Analyse de l'héritage des contrôles modérés existants, identification des exigences d'équivalence supplémentaires, adaptation du SSP et examen de la documentation. 1-2 semaines Rapport de cartographie de l'héritage, analyse des écarts de préparation, plan SSP sur mesure pour l'équivalence.
Phase 2 – Évaluation des écarts et planification des mesures correctives Analyse delta complète des contrôles supplémentaires, des mises à jour des politiques/procédures, du perfectionnement du POA&M et de la stratégie de preuve à l'aide de l'automatisation Cybervisor™. 2-3 semaines Rapport détaillé sur les écarts d'équivalence, plan de remédiation priorisé, POA&M mis à jour, feuille de route pour la collecte de preuves.
Phase 3 – Collecte et analyse des preuves Vérification des contrôles hérités et nouveaux, tests automatisés et manuels, assistance aux tests d'intrusion et constitution d'un référentiel de preuves pour l'équivalence. 3-4 semaines Dossier de preuves complet, résultats des tests, plan d'action et de mesures mis à jour, déclarations de contrôle prêtes à être soumises.
Phase 4 – Dossier de rapport et de soumission Dernières mises à jour SSP/SAR concernant l'équivalence, le regroupement des dossiers, la coordination avec les agences et le soutien à la soumission. 1-2 semaines Dossier complet d'autorisation d'équivalence (SSP, SAR, POA&M mis à jour), documents prêts à être soumis.
Phase 5 – Autorisation et surveillance continue Soutien des agences, coordination de l'acceptation des équivalences, alignement du programme de surveillance continue (ConMon), automatisation continue avec Continuum GRC et Cybervisor™. 2 à 3 semaines pour la mise en place initiale (puis en continu) Confirmation d'acceptation de l'équivalence, plan ConMon approuvé, tableaux de bord de reporting automatisés et programme de maintien de la conformité à long terme.

Pourquoi les clients terminent leurs projets plus rapidement avec Lazarus Alliance : Nos évaluateurs accrédités A2LA (ISO/IEC 17020 #3822.01), notre plateforme d'automatisation Cybervisor™, notre technologie Continuum GRC et notre méthodologie Proactive Cyber ​​Security® réduisent les délais typiques d'équivalence FedRAMP modérée de 40 à 50 % tout en offrant une qualité de preuve supérieure et une acceptation plus rapide par l'agence.

Lazarus Alliance, une Organisme d'évaluation tiers accrédité FedRAMP (3PAO), est historiquement environ 46 % plus rapide que les sociétés 3PAO traditionnelles, ce qui signifie que votre équivalence FedRAMP modérée peut être obtenue en 3 à 6 mois - Michael Peters, PDG et fondateur

FedRAMP Moderate : Autorisé vs. Équivalent Moderate

Comparaison entre le niveau d'autorisation modéré et le niveau d'équivalence modéré de FedRAMP

Lazarus Alliance aide les entrepreneurs de la base industrielle de défense (DIB) et les fournisseurs de services cloud à comprendre clairement les principales différences entre l'autorisation FedRAMP Moderate complète et l'équivalence FedRAMP Moderate pour répondre aux exigences de conformité DFARS 252.204-7012 et CMMC.

Aspect Autorisation FedRAMP modérée Équivalent FedRAMP modéré
Annonce sur la plateforme FedRAMP / ATO Oui (autorisation complète) Non
Nécessite un parrainage d'une agence fédérale Oui Non
Contrôles de sécurité et évaluation par un tiers Conformité à 100 % avec le niveau de base FedRAMP modéré Conformité à 100 % avec le niveau de base FedRAMP modéré
Évalué par 3PAO reconnu par FedRAMP 3PAO reconnu par FedRAMP
Acceptable pour CMMC / DFARS 252.204-7012 Totalement conforme Totalement conforme
Surveillance et contrôle continus Gestion de projet FedRAMP + Surveillance continue Examen du dossier de preuve (BoE) par l'entrepreneur et le C3PAO/DIBCAC
Idéal pour Les organisations qui recherchent une reconnaissance maximale sur le marché Les fournisseurs de services cloud (CSP) travaillant avec des sous-traitants du ministère de la Défense sans obtenir une autorisation d'exploitation (ATO) FedRAMP complète

Principaux enseignements concernant Lazarus Alliance : Les deux voies offrent une rigueur de contrôle de sécurité identique pour la protection CUI/CDI, mais l'équivalence modérée offre aux CSP une voie plus rapide et sans sponsor, tandis que notre équipe accréditée A2LA et l'automatisation Cybervisor™ garantissent une préparation CMMC sans faille et l'acceptation par l'agence.

L'équivalence offre aux fournisseurs de services cloud (en particulier ceux qui ne suivent pas le programme FedRAMP complet) une voie viable pour servir les contractants du ministère de la Défense sans obtenir d'autorisation d'exploitation fédérale (ATO). Cependant, elle ne pas Rendez le CSP « autorisé FedRAMP ».

Obtenez une équivalence FedRAMP modérée ou élevée grâce à l'audit FedRAMP et aux services d'assistance 3PAO accrédités A2LA de Lazarus Alliance. Délais rapides de 6 à 12 semaines, développement complet du SSP/POA&M et automatisation Cybervisor™. Appelez le 888-896-7580.

Questions fréquemment posées

Les fournisseurs de services cloud (CSP) ciblant les contrats du ministère de la Défense (IL4/IL5), la conformité StateRAMP ou une adoption rapide par les agences en tirent le plus grand profit. Si vous possédez déjà la certification FedRAMP Moderate et souhaitez étendre vos services à la défense, aux gouvernements des États ou à d'autres agences fédérales, l'équivalence Moderate est la voie la plus rapide pour obtenir de nouvelles autorisations.

L'autorisation FedRAMP Moderate standard est une autorisation de base complète (325 contrôles). L'équivalence Moderate réutilise votre dossier Moderate existant et ne nécessite qu'une analyse des écarts pour les contrôles supplémentaires requis par la nouvelle voie d'accès (DoD, StateRAMP, etc.), ce qui raccourcit considérablement les délais.

Avec l'équipe 3PAO accréditée A2LA de Lazarus Alliance et l'automatisation Cybervisor™, la plupart des clients obtiennent l'équivalence FedRAMP Moderate en 3 à 6 mois, soit 40 à 50 % plus rapidement que les entreprises 3PAO traditionnelles.

Notre plateforme d'automatisation exclusive Cybervisor™, la technologie Continuum GRC et la méthodologie Proactive Cyber ​​Security® réduisent jusqu'à 50 % la collecte et le test manuels de preuves, tandis que notre accréditation A2LA ISO/IEC 17020 (n° 3822.01) garantit une acceptation immédiate par l'agence.

Les avantages comprennent un délai de mise sur le marché réduit de 40 à 50 %, des coûts considérablement inférieurs, la réutilisation des données existantes, un positionnement plus solide pour les contrats du ministère de la Défense et des États, et un accès plus rapide à des revenus supplémentaires provenant de clients gouvernementaux.

Les coûts varient selon l'envergure du projet et le niveau de maturité actuel, mais l'approche simplifiée de Lazarus Alliance permet généralement à ses clients d'économiser de 40 à 50 % par rapport à une nouvelle autorisation complète. Contactez-nous au 888-896-7580 pour une consultation gratuite et un devis personnalisé.

Appelez simplement le 888-896-7580 ou remplissez notre court formulaire. Questionnaire d'équivalence FedRAMPNotre équipe examinera votre forfait Modéré actuel et vous fournira une feuille de route sans engagement sous 48 heures.

Obtenez une équivalence FedRAMP modérée ou élevée grâce à l'audit FedRAMP et aux services d'assistance 3PAO accrédités A2LA de Lazarus Alliance. Délais rapides de 6 à 12 semaines, développement complet du SSP/POA&M et automatisation Cybervisor™. Appelez le 888-896-7580.

Lazarus Alliance, en tant que FedRAMP 3PAO, fournit des services d'audit, de conseil et d'évaluation FedRAMP, FISMA et NIST pour les offres de services cloud publics, privés, communautaires et hybrides, notamment les logiciels en tant que service (SaaS), les plates-formes en tant que service (PaaS) et les infrastructures en tant que service (IaaS).

Chez Lazarus Alliance, la proactivité n'est pas seulement notre marque de fabrique, c'est notre promesse de protéger votre avenir avant même que les menaces n'émergent. Michael Peters, PDG et fondateur

Tirer parti du Continuum GRC Machine d'audit informatique, Trio de sécurité méthodologie et la Machine à politiquesLazarus Alliance fournit des normes internationales reconnues comme «Pratiques d'excellence« pour l’élaboration de normes et de contrôles de sécurité organisationnelle qui soutiennent les certifications et les évaluations d’audit de conformité basées sur le programme fédéral de gestion des risques et d’autorisation. »

Des références sur lesquelles vous pouvez compter

Numéro de certification accrédité ISO/IEC 2 de l'American Association for Laboratory Accreditation (A17020LA) 3822.01

Parlez avec l'un de nos experts

Nos équipes Lazarus Alliance Cybervisor™ possèdent une vaste expérience dans la réalisation de milliers d'évaluations pour des organisations fournissant des services à des clients du monde entier.

Nous sommes là pour répondre à toutes vos questions.

Téléchargez notre brochure d'entreprise.

Obtenez une équivalence FedRAMP modérée ou élevée grâce à l'audit FedRAMP et aux services d'assistance 3PAO accrédités A2LA de Lazarus Alliance. Délais rapides de 6 à 12 semaines, développement complet du SSP/POA&M et automatisation Cybervisor™. Appelez le 888-896-7580.

Avantages de l'équivalence modérée FedRAMP

  1. Aucun parrainage d'agence fédérale requis
    • Pour les fournisseurs de services cloud (CSP) : Évitez les longs processus de parrainage et les examens du PMO FedRAMP — accédez plus rapidement au marché.
    • Pour les entreprises de défense (DIB) : Accédez à une sélection plus large de fournisseurs de services cloud innovants qui ne travaillent pas directement avec les agences fédérales.
  2. Délai de mise en production et de déploiement plus rapide
    • Pour les fournisseurs de services cloud (CSP) : Touchez plus de 300 000 entrepreneurs DIB en quelques semaines au lieu de plusieurs mois.
    • Pour les entreprises de défense (DIB) : Intégrez plus rapidement des services cloud conformes sans attendre une autorisation d'exploitation FedRAMP complète.
  3. Coût inférieur à celui d'une autorisation FedRAMP complète
    • Pour les fournisseurs de services cloud (CSP) : Évitez les frais récurrents de FedRAMP Marketplace, la coordination des sponsors et la supervision du PMO.
    • Pour les entreprises de défense (DIB) : Choisissez des solutions CSP économiques et adaptées au ministère de la Défense, sans les tarifs FedRAMP majorés.
  4. Niveau de sécurité identique (100 % de la norme FedRAMP modérée)
    • Pour les fournisseurs de services cloud (CSP) : Fournir des contrôles de niveau entreprise NIST 800-53 Rev. 5 Moderate validés par un 3PAO reconnu par FedRAMP.
    • Pour les entreprises de défense (DIB) : Répondez aux exigences DFARS et CMMC en toute confiance — mêmes contrôles, aucun compromis.
  5. Nouveaux revenus et accès au marché
    • Pour les fournisseurs de services cloud (CSP) : Ouvrir les portes à l'ensemble de la base industrielle de défense sans obtenir une autorisation de traitement fédéral complète.
    • Pour les entreprises de défense (DIB) : Bénéficiez d'un plus grand choix de fournisseurs de services cloud et d'options compétitives pour la gestion des CUI.
  6. Avantage concurrentiel et préparation CMMC
    • Pour les fournisseurs de services cloud (CSP) : Différenciez votre plateforme grâce à une sécurité éprouvée conforme aux normes du Département de la Défense et à des évaluations clients simplifiées.
    • Pour les entreprises de défense (DIB) : Simplifiez votre évaluation CMMC de niveau 2/3 grâce à un ensemble de preuves (BoE) prêt à l'emploi.

Nous souhaitons être votre partenaire et votre auditeur de conformité FedRAMP 3PAO de référence ! Pour plus d'informations, veuillez nous contacter. +1 (888) 896-7580.

Vous souhaitez recevoir un devis rapidement ? Répondez à notre questionnaire ici: