Les exigences de FedRAMP en matière d'analyse des vulnérabilités expliquées

Les agences fédérales ne peuvent évaluer les risques en cours que si vous leur fournissez des données d'analyse fiables. Sans ces données, l'ensemble de votre dossier de demande FedRAMP repose sur des informations incomplètes et vous risquez de perdre votre autorisation d'exploitation (ATO). Le cadre FedRAMP traite les analyses de vulnérabilité comme la principale donnée d'entrée de ses exigences de surveillance continue (ConMon). Le ConMon attend des preuves récurrentes que les systèmes sont corrigés, renforcés et qu'ils se comportent de manière cohérente avec la documentation contenue dans le reste de votre dossier de conformité, en particulier le plan de sécurité du système (SSP).

Dans ce contexte, les exigences en matière d'analyse sont normatives. Elles indiquent où scanner, à quelle fréquence, ce qu'il faut signaler et la rapidité avec laquelle les problèmes doivent être résolus. Les attentes sont censées être sans ambiguïté, afin que les équipes puissent se préparer de manière fiable et gérer la charge opérationnelle que la conformité FedRAMP impose mois après mois. Cet article fournit cette ventilation de manière simple et utilisable. Si vous souhaitez en savoir plus sur la conformité FedRAMP, vous pouvez commencer par lire notre article sur la conformité FedRAMP.

Qu'est-ce que l'analyse de vulnérabilité FedRAMP ?

FedRAMP utilise le terme "analyse de vulnérabilité" de manière étroite et précise. Contrairement à d'autres régimes de conformité en matière de sécurité, on attend de vous que vous vous conformiez exactement à sa structure et à sa direction. Si vous vous contentez de mettre à jour les lignes directrices et les meilleures pratiques de votre entreprise, vous n'irez pas loin avec FedRAMP.

Dans ce contexte, l'analyse des vulnérabilités signifie que vous effectuerez des analyses authentifiées et récurrentes de chaque système concerné afin d'identifier les vulnérabilités et expositions communes (CVE) connues et les problèmes de configuration. Il s'agit de tout ce qui est concerné, y compris les conteneurs, les hôtes, les registres, les images, les machines virtuelles et les composants de soutien. Ces résultats constituent le dossier de preuves pour la surveillance continue, les plans d'action et les jalons (POA&M) et l'examen des risques. Les données d'analyse doivent être cryptographiquement et directement liées aux actifs définis dans votre périmètre d'autorisation et votre inventaire.

En pratique, cela signifie que l'analyse doit devenir une discipline opérationnelle plutôt qu'une étape technique ad hoc. Chaque version d'image, chaque base de configuration et chaque composant logiciel doit être traçable et numérisable de manière automatisée, répétable et prévisible. FedRAMP attend de ce processus qu'il reste stable pendant toute la durée de votre autorisation d'exploitation.

Ce contexte permet d'expliquer et d'encadrer la plupart des lignes directrices explicites du programme, en particulier l'accent mis sur la fréquence des analyses, les délais basés sur la gravité et les résultats authentifiés.

Pourquoi l'analyse des vulnérabilités est-elle importante ?

Si FedRAMP accorde autant d'importance à l'analyse des vulnérabilités, c'est parce qu'il s'agit de l'un des signaux les plus fréquents que les agences reçoivent sur l'état réel de leur système. Vous analyserez probablement votre système au moins une fois par mois (mais généralement plus souvent que cela) ; la plupart des autres signaux ne seront vérifiés que lors de votre demande initiale d'ATO, puis une fois par an. Les analyses vérifient si les correctifs ont été appliqués dans le cadre de l'accord de niveau de service, si les mesures de renforcement sont efficaces et si les composants s'écartent de leur configuration approuvée.

En tant que fournisseur de services en nuage (CSP), vous dépendez probablement beaucoup de partenaires, de services en nuage tiers et de logiciels libres, dans un mélange dynamique où les vulnérabilités font constamment partie de l'environnement d'exploitation. Si les signaux de vos analyses deviennent faibles ou incohérents, les auditeurs supposeront que les risques pour vos systèmes augmentent et agiront de manière proactive pour aider à protéger les organisations fédérales avant que quelque chose de "mauvais" ne se produise réellement. Cela peut se traduire par un examen minutieux lors d'audits futurs, par la suspension de votre autorisation d'exploitation (ATO), ou par les deux.

Les résultats des scans informent et initient les mises à jour des POA&M, les rapports mensuels ConMon et, en fin de compte, la décision de maintenir ou de suspendre une autorisation. Les analyses manquantes, les résultats périmés ou la couverture incomplète sont tous considérés comme des indicateurs de risque. Ce sont là quelques-unes des principales raisons pour lesquelles le programme applique strictement les règles relatives à la portée, à la fréquence et aux fenêtres de remédiation.

On attend de vous que vous réagissiez en faisant de l'analyse une exigence opérationnelle permanente, en accord avec les règles officielles régissant la manière dont l'analyse doit être effectuée.

Exigences officielles de FedRAMP en matière d'analyse des vulnérabilités

FedRAMP publie des règles explicites pour l'exécution et le compte rendu de l'analyse des vulnérabilités. Ces règles sont directement liées au cycle ConMon via le contrôle CA-7. Dans le NIST SP 800-53, sur lequel FedRAMP s'appuie, la famille de contrôles CA se concentre sur l'évaluation de la sécurité et l'autorisation. Vous vous familiariserez avec le CA-7, car c'est le contrôle qui relie l'analyse à ConMon et aide les agences à déterminer si un système est maintenable et à faible risque. Chaque CSP doit respecter ces exigences de manière cohérente et les faire correspondre à tous les aspects, y compris la portée, la cadence, l'authentification, la remédiation, le reporting et la documentation.

Ces exigences constituent la base de référence sur laquelle les auditeurs s'appuient lorsqu'ils examinent les soumissions mensuelles.

Portée de l'analyse

FedRAMP exige une couverture complète de chaque actif à l'intérieur de la limite d'autorisation, y compris les images de conteneurs, les hôtes, les registres, les machines virtuelles et les composants d'application. Chaque actif doit être représenté dans l'inventaire et cartographié de manière claire et non ambiguë ; les actifs ne doivent pas être confondus les uns avec les autres. La cryptographie à l'intérieur du périmètre doit être validée par la norme FIPS 140-2/140-3.

Fréquence et cadence de balayage

S'attendre à un balayage très fréquent. Le balayage mensuel est obligatoire. En plus des analyses mensuelles obligatoires, vous devez également effectuer une analyse après tout changement majeur, tout nouveau déploiement ou toute mise à jour ayant une incidence sur votre niveau de sécurité.

Scans authentifiés ou non authentifiés

Les scans authentifiés sont la norme par défaut, car ils démontrent que chaque scan a été aussi approfondi que possible d'un point de vue technique. Il faut s'attendre à ce que les scanners aient un accès illimité à l'ensemble du système qu'ils sont censés analyser. À de rares exceptions près, vous pouvez justifier une analyse non authentifiée (par exemple, s'il n'est pas possible d'obtenir un accès authentifié). Mais ne comptez pas sur le fait que cela soit autorisé.

Délais de remédiation

Vous devez remédier aux problèmes constatés en respectant strictement les délais basés sur la gravité : 30 jours pour les problèmes de gravité élevée, 90 jours pour les problèmes de gravité moyenne et 180 jours pour les problèmes de faible gravité. Le délai commence à courir à partir du moment où le problème est en production ou à partir du moment où vous en avez connaissance (par exemple, en recevant une notification d'un fournisseur à propos d'un CVE), selon ce qui se produit en premier. L'horloge peut facilement démarrer même si votre scanner n'a pas encore fonctionné.

Exigences en matière de rapports

Chaque mois, les FSC doivent soumettre les résultats des analyses aux auditeurs concernés, c'est-à-dire à votre autorité d'autorisation (AO) et/ou au comité mixte d'autorisation (JAB), selon le cas, par l'intermédiaire de leurs canaux ConMon dédiés. Veillez à inclure les résultats de l'analyse, les deltas des systèmes et les mises à jour des POA&M. Les rapports doivent faire état de tous les biens et de toutes les constatations sans filtrage.

Identification des actifs

Chaque élément scanné doit correspondre directement à un identifiant unique dans le contrôle FedRAMP pour l'inventaire des actifs, connu sous le nom de CM-8. (Ce contrôle fait partie de l'inclusion par FedRAMP des contrôles NIST SP 800-53 dans ses exigences). Il contient une liste faisant autorité de tous les actifs que vous possédez et qui sont pertinents pour la limite d'autorisation de FedRAMP. Pour les conteneurs, cela inclut les familles d'images, les extraits et le suivi des versions.

Documentation et preuves

Les CSP doivent conserver les résultats de l'analyse, les SBOM, les preuves de remédiation et les éléments permettant de relier chaque CVE fixe à l'actif correspondant.

Défis communs pour répondre aux exigences de numérisation de FedRAMP

Sur le papier, les règles de numérisation de FedRAMP sont claires. Dans la pratique, les équipes se heurtent chaque mois aux mêmes obstacles opérationnels. Les environnements étendus, les inventaires incohérents et la prolifération des conteneurs font qu'il est difficile de produire des analyses complètes et authentifiées dans les délais impartis. De nombreuses équipes ont également du mal à aligner les résultats de la numérisation sur l'inventaire CM-8, ce qui crée des frictions immédiates au niveau de l'audit.

Importants arriérés de CVE et fatigue des alertes

Les images de conteneurs contiennent souvent des centaines de CVE hérités. Lorsque ces résultats s'accumulent, les POA&M augmentent plus vite que les équipes ne peuvent les réduire, et les accords de niveau de service (SLA) pour la remédiation deviennent difficiles à respecter.

Extension des outils et lacunes en matière d'intégration

Les différents scanners produisent des résultats incohérents, notamment en ce qui concerne les analyses du registre, de l'hôte et de la durée d'exécution. Ces disparités ralentissent l'établissement des rapports mensuels et obligent à des rapprochements manuels.

Retards de mise en conformité et charge de préparation des audits

Des preuves incomplètes, des identifiants d'actifs non concordants et des dérives de versions sont autant d'éléments qui allongent le temps nécessaire à l'achèvement des examens ConMon. Les équipes se démènent souvent pour rassembler des preuves de correction, des artefacts et des lignes de base de configuration.

Inadéquation des stocks et dérive CM-8

De nombreuses équipes ont du mal à aligner les résultats de leurs analyses sur l'inventaire des actifs CM-8, en particulier dans les environnements conteneurisés où les images sont fréquemment reconstruites ou redéployées. Les identificateurs peuvent être dépourvus de biens, contenir des entrées en double ou avoir des lignées d'images obsolètes. Il en résulterait une incohérence avec l'inventaire, et les auditeurs considéreraient les numérisations comme incomplètes. Les scans incomplets entraînent des cycles de rescan, une extension des POA&M et un examen ConMon prolongé. C'est l'une des causes les plus courantes d'échec des analyses.

Durcissement et dérive de la configuration

FedRAMP attend des scans qu'ils confirment que les lignes de base durcies, les paramètres des scanners et les configurations correspondent à ceux décrits par le SSP, et qu'ils atteignent ou dépassent les repères de durcissement de la STIG de la DISA. Ces lignes de base dérivent rapidement dans les environnements réels. De petits changements peuvent rompre l'alignement et introduire de nouvelles découvertes en matière de sécurité. Les auditeurs signalent immédiatement ces divergences, et la dérive alourdit la charge de travail de remédiation, puisque chaque écart doit être justifié ou corrigé avant d'être soumis.

Meilleures pratiques pour réussir les analyses de vulnérabilité FedRAMP

Le défi principal de FedRAMP découle de l'exigence de produire régulièrement des résultats prêts à être examinés chaque mois. Les équipes qui normalisent leurs flux de travail, automatisent la capture des preuves et minimisent le nombre de problèmes qui apparaissent en premier lieu ont les meilleures chances de succès. Ces pratiques réduisent les frictions liées à l'audit et permettent de gérer les fenêtres de remédiation.

Automatiser les analyses et la collecte de preuves

Intégrer l'analyse des registres, des CI et des hôtes afin d'obtenir des résultats selon un calendrier prévisible. Capturez automatiquement les journaux d'analyse, les SBOM et les horodatages afin que les soumissions ConMon ne dépendent pas d'une collecte manuelle.

Prioriser la remédiation en fonction de la gravité et des délais

Suivre les résultats dans les délais de 30, 90 et 180 jours, et s'assurer que les problèmes les plus graves sont traités rapidement. Cela permet de réduire la croissance des POA&M et d'aligner le travail de remédiation sur les attentes du FedRAMP.

Contrôler en permanence les conteneurs et les registres

Utiliser des digests immuables et des reconstructions automatisées pour garantir la traçabilité de chaque version d'image. La surveillance continue réduit le temps de détection et empêche les vulnérabilités de passer inaperçues.

Utiliser des composants sécurisés par défaut pour réduire l'exposition

Des images "dorées" minimales, explicitement renforcées de manière conforme, constituent une solution standard à bon nombre de ces problèmes. Elles réduisent le nombre de CVE hérités et minimisent le bruit des scanners. Ces composants sécurisés par défaut accélèrent les révisions mensuelles et améliorent les chances de respecter les accords de niveau de service (SLA) en matière de remédiation.

Simplifier la gestion des vulnérabilités FedRAMP avec Chainguard

Pour rester en conformité avec FedRAMP, il faut d'abord que les scans de vulnérabilités soient propres, complets et authentifiés chaque mois. Il peut être très difficile de suivre le rythme tout en gérant la prolifération des outils, les chemins d'analyse conflictuels, les délais de remédiation, les dérives de configuration et la documentation requise pour ConMon. Lorsque les analyses révèlent des centaines de problèmes hérités ou ne correspondent pas à l'inventaire, l'ensemble du cycle de conformité est ralenti.

Chainguard réduit ce fardeau en fournissant des composants renforcés et silencieux qui produisent des résultats d'analyse plus propres, des POA&M plus petits et des preuves prévisibles.

• Images minimales reconstruites quotidiennement, avec 97 % de CVE en moins

• Patch SLAs dépassant les fenêtres de remédiation FedRAMP (7 jours pour les critiques, 14 jours pour les autres)

• SBOM, signatures et provenance sont inclus dans chaque artefact

• Cryptographie validée FIPS (comme requis à l'intérieur du périmètre FedRAMP) et configurations STIG-ready (les systèmes sont évalués par rapport aux benchmarks DISA STIG hardening)

• Intégrations conviviales pour les développeurs avec les pipelines, registres et outils connexes existants

• Couverture unifiée, couvrant les conteneurs, les bibliothèques et les VM, permettant de s'aligner sur l'analyse RA-5 mandatée par FedRAMP et les contrôles connexes, tels que CM-8 (inventaire des actifs) et CA-7 (ConMon)

• En production avec les leaders liés à FedRAMP tels que Snowflake, GitLab et Domino Data Lab

Si vous recherchez une solution d'image de conteneur qui simplifie et accélère votre accréditation FedRAMP tout en économisant du temps et des efforts à votre équipe, contactez-nous dès aujourd'hui.

FAQs

Comment les organisations peuvent-elles réduire le nombre de vulnérabilités signalées lors des analyses FedRAMP ?

La meilleure façon de réduire le nombre de découvertes est de commencer par une base sécurisée. Les images de base traditionnelles sont livrées avec un grand nombre de CVE hérités, ce qui gonfle les POA&M et la charge de travail de remédiation. Les images Chainguard sont reconstruites quotidiennement et renforcées, réduisant les CVE hérités d'environ 97%, de sorte que les analyses ne révèlent que les problèmes qui découlent du travail dont vous êtes directement responsable. Cela permet de réduire l'arriéré et de maintenir la remédiation dans les limites des accords de niveau de service (SLA).

Quels outils permettent d'automatiser la remédiation des vulnérabilités FedRAMP ?

L'automatisation est essentielle pour respecter les délais stricts de FedRAMP (et deviendra nécessaire avec la mise à jour 20x au fur et à mesure de son déploiement). De nombreuses équipes mettent en œuvre des pipelines qui reconstruisent automatiquement les charges de travail lorsque les correctifs en amont arrivent. Chainguard fournit des reconstructions garanties par SLA (7 jours pour les problèmes critiques, 14 jours pour tous les autres), de sorte que vous n'avez pas à trier manuellement ou à rétroporter les correctifs, et que vous pouvez garder la remédiation prévisible à travers les cycles ConMon.

Comment les SBOM soutiennent-ils la gestion des vulnérabilités FedRAMP ?

Les SBOM fournissent aux auditeurs une carte au niveau des composants de ce qui a été scanné et à quoi se réfère chaque découverte. FedRAMP exige une trace propre et explicite qui relie une vulnérabilité, le bien qu'elle affecte et l'artefact déployé en production. Les SBOM générés automatiquement et liés à chaque image permettent de montrer la couverture de l'analyse, de confirmer la remédiation et de justifier les entrées POA&M sans travail de reconstruction.

Les images de conteneurs ou les VM sécurisées par défaut peuvent-elles accélérer l'autorisation FedRAMP ?

Oui. Les composants pré-durcis, zéro-CVE, réduisent considérablement le travail de remédiation avant l'audit. De nombreux retards dans les paquets d'autorisation d'exploitation (ATO) sont dus à des vulnérabilités héritées des couches du système d'exploitation ou des images de base. L'utilisation de composants renforcés, validés par la FIPS et alignés sur la STIG permet d'éliminer ces découvertes avant le début de l'analyse, ce qui raccourcit les cycles d'évaluation et réduit la charge de travail.

Comment les exigences en matière d'analyse des vulnérabilités s'alignent-elles sur les autres contrôles FedRAMP ?

L'analyse est directement liée à l'inventaire des actifs et à la surveillance continue. Chaque constatation doit correspondre à un identifiant de bien CM-8 unique, et les résultats de l'analyse mensuelle font partie des rapports CA-7. Cela signifie que les inventaires, les calendriers de balayage et les mises à jour des POA&M doivent rester synchronisés. Si ces éléments dérivent, les soumissions ConMon seront bloquées ou rejetées.

Pourquoi les organisations ont-elles du mal à se conformer aux exigences de FedRAMP en matière d'analyse ?

La plupart des problèmes proviennent de CVE hérités, d'outils d'analyse incohérents, de résultats contradictoires et de la difficulté à respecter les délais de remédiation. Les scanners ne corrigent rien, ils ne font que rapporter. En l'absence de composants renforcés et de reconstructions automatisées, les équipes prennent du retard et les POA&M s'étendent plus vite qu'ils ne peuvent être fermés. Les vulnérabilités de grande gravité dépassent souvent l'accord de niveau de service de 30 jours dans les environnements dépourvus de correctifs automatisés.

Qu'est-ce qu'une analyse authentifiée selon FedRAMP ?

Une analyse authentifiée utilise des informations d'identification pour se connecter au bien analysé. FedRAMP attend un accès authentifié pour les hôtes, les conteneurs, les registres et les images car il révèle des vulnérabilités que les contrôles de surface non authentifiés ne peuvent pas détecter. Les analyses non authentifiées ne sont autorisées que dans des cas restreints et doivent être justifiées auprès du 3PAO.

Quand le délai de remédiation commence-t-il à courir pour une vulnérabilité ?

La fenêtre commence lorsque la vulnérabilité existe pour la première fois dans votre environnement, et non lorsque le scanner la signale. Cela inclut le moment où vous importez une bibliothèque vulnérable, où vous retirez une image de base ou où un composant que vous utilisez reçoit un avis de la part d'un fournisseur. L'horloge démarre avant la prochaine analyse mensuelle programmée.

Que doit contenir un POA&M pour FedRAMP ?

Chaque entrée de POA&M doit énumérer la vulnérabilité, le bien affecté (avec l'identifiant CM-8), la gravité, la justification, les étapes d'atténuation prévues et la date de remédiation prévue. FedRAMP exige des POA&M pour toutes les découvertes ouvertes - aucun filtrage n'est autorisé.

Que se passe-t-il si un bien est absent de l'inventaire CM-8 ?

Toute constatation associée à un bien non répertorié rend l'analyse incomplète. Les auditeurs demanderont une nouvelle soumission ou un nouveau cycle d'analyse. Les listes d'actifs manquantes sont l'une des causes les plus courantes des retards de ConMon.

Les images de conteneurs nécessitent-elles des identifiants uniques ?

Oui. FedRAMP exige un identifiant unique pour chaque famille d'images et chaque version déployée en production. Ceci est nécessaire pour la traçabilité entre les scans, les SBOM et les entrées POA&M. Le guide officiel de l'analyse des conteneurs le précise explicitement.

Les équipes sont-elles autorisées à filtrer ou à supprimer les résultats avant de soumettre les résultats de l'analyse ?

FedRAMP exige des résultats d'analyse complets et non filtrés. Tout filtrage - tel que la suppression des CVE à "faible risque" - n'est pas conforme et peut entraîner des exigences de rescan ou des retards d'examen.

À quelle fréquence les images des conteneurs doivent-elles être analysées ?

Au moins une fois par mois, plus après tout changement ou déploiement significatif. FedRAMP considère les mises à jour d'images, les changements de dépendances et les reconstructions comme des déclencheurs nécessitant un nouveau cycle d'analyse.

Les composants tiers sont-ils pris en compte dans le champ d'application de l'analyse ?

Oui. Tout ce qui se trouve à l'intérieur du périmètre d'autorisation - y compris les dépendances OSS, les bibliothèques, les images de base et les services intégrés - doit être analysé et inclus dans l'inventaire des actifs.