Le terme «autorisation d'exploitation» fait référence à l'autorisation d'utiliser un produit dans un système existant. Il est souvent utilisé au gouvernement fédéral pour la technologie de l'information. Par exemple, avant qu'un programme logiciel puisse être installé par des employés sur un réseau, ce programme peut nécessiter un ATO. L'organisme qui délivre l'ATO certifie que le produit ou le service fonctionne avec les systèmes existants. Les entreprises privées et d'autres organisations utilisent également des ATO.
Pourquoi les organisations utilisent des ATO
Bien qu'une organisation puisse utiliser des ATO pour quelque raison que ce soit, elle les utilise principalement lorsque la sécurité ou l'intégrité opérationnelle sont des préoccupations. Par exemple, si vous développez une application logicielle conçue pour être utilisée dans le réseau informatique d'une organisation, cela pourrait poser des problèmes dans ces deux domaines. Avant d'autoriser votre produit à se connecter au réseau, l'organisation doit d'abord déterminer qu'il n'y a pas de défauts dans votre produit qui pourraient compromettre les données du réseau. Il doit également déterminer que le produit fonctionne correctement et ne causera pas de problèmes avec d'autres applications ou équipements ou ne causera pas de problèmes de support technique inutiles.
Demander un ATO
Si une organisation exige que vous obteniez un ATO avant que votre produit puisse y être utilisé, vous devez contacter l'organisme de certification approprié au sein de cette organisation. Soyez prêt à offrir un échantillon de votre produit afin qu'il puisse être testé. Dans le cas des ministères, vous devez également vous attendre à passer un contrôle de sécurité. Le temps que prend le processus de vérification varie considérablement. Pour une organisation comme le ministère de la Défense, le processus peut prendre plusieurs années.
ATO du gouvernement
La loi fédérale sur la gestion de la sécurité de l'information exige que les agences gouvernementales fédérales disposent d'un système pour évaluer et surveiller les risques de sécurité des produits. Celles-ci peuvent être mises en œuvre par chaque département indépendamment, comme l'Agence du système d'information du ministère de la Défense, ou par des organes interministériels comme le programme fédéral de gestion des risques et des autorisations, qui certifie les produits et services basés sur le cloud pour plusieurs départements gouvernementaux. L'organisme de certification de chaque agence varie. Une fois que vous avez identifié une agence qui conviendrait parfaitement à votre produit, vous devez contacter cet organisme de certification.
Types de statut ATO
Si vous postulez pour un ATO, vous pouvez obtenir l'un des trois statuts. Si votre produit reçoit un ATO, le produit peut être utilisé au sein de l'organisation. Les ATO sont généralement accordés pour une période de temps spécifiée, par exemple trois ans, puis le produit peut devoir être évalué à nouveau. Un refus d'autorisation d'exploitation signifie que le produit ne peut pas être utilisé dans l'environnement de l'organisation. Une autorisation provisoire d'exploitation peut être délivrée pour une courte période, ou dans des conditions limitées, jusqu'à ce qu'elle soit approuvée ou refusée.