Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Normes et sécurité dans le cloud : la norme internationale ISO/IEC 27017 à l'intention des entreprises

Normes et sécurité dans le cloud : la norme internationale ISO/IEC 27017 à l'intention des entreprises
2016-05-022016-05-02lois, réglementations, standards et certificationsfr
Le nom officiel de la norme ISO/IEC 27017 est “Code of practice for information security controls based on ISO/IEC 27002 for cloud services”. Clairement, elle propose des contrôles de sécurité supplémentaires pour une meilleure lisibilité des offres cloud.
Publié le 2 Mai 2016 par Olivier Le Grand dans lois, réglementations, standards et certifications
Visuel d'illustration

La norme commune élaborée conjointement par l'ISO/IEC et l'UIT-T, à savoir ISO/IEC 27017 et UIT-T  X.1631, fournit des lignes directrices à la sécurité de l’information des services de cloud computing et en particulier des bonnes pratiques pour la gestion de cette sécurité. Cette norme a été élaborée à l’intention des entreprises désireuses de sélectionner et de mettre en œuvre les mesures et éléments de contrôle adéquats en matière de sécurité de l’information.

Un besoin réel de normalisation

Les utilisateurs de service cloud ont un réel besoin d’être rassurés quant à la sécurité des offres cloud, notamment sur la confidentialité, l’intégrité et la disponibilité de l’information. Etant donnée la diversité des offres (IaaS, PaaS, SaaS, NaaS, CaaS,..), le nombre important d’acteurs impliqués dans cet écosystème et la complexité des contrats cloud, les clients réclament en premier lieu plus de clarté et de lisibilité. La certification des services cloud d’un fournisseur selon des normes bien établies est un facteur important permettant de renforcer cette confiance.

La norme ISO/IEC 27017

Le nom officiel de la norme ISO/IEC 27017 est “Code of practice for information security controls based on ISO/IEC 27002 for cloud services”. Clairement, elle propose des contrôles de sécurité supplémentaires pour le cloud puisque l’ISO/IEC 27002, la norme dont elle découle et qu’elle enrichie, ne couvre pas cet aspect de manière adéquate.

Figure 1 – Relations entre normes ISO/IEC citées dans cet article *

La norme ISO/IEC 27017 complète la norme ISO/IEC 27002 de deux manières :

  1. en précisant les mesures de sécurité existantes dans la norme ISO/IEC 27002 et en distinguant l'application de ces mesures pour le fournisseur de services cloud et pour le client de services cloud. Les domaines couverts sont les politiques de Fpersonnelles, l’organisation de la sécurité, la gestion d’actifs, le contrôle d’accès, la gestion des incidents de sécurité…
     
  2. en ajoutant des mesures de sécurité manquantes par rapport à la norme ISO/IEC 27002 et décrites dans l’annexe A de la norme ISO/IEC 27017 telles que :
     
  • la délimitation des responsabilités entre fournisseur et client de services cloud, 
  • la communication des incidents de sécurité du fournisseur vers ses clients ;
  • les moyens pertinents fournis au client en matière de surveillance (« monitoring ») des services cloud ;
  • la suppression des actifs d’un client lors de la terminaison d’un contrat avec le fournisseur

Perspectives d’utilisation

L’avenir de la norme ISO/IEC 27017, tout comme celui de la norme ISO/IEC 27018 en matière de protection des données personnelles, s’annonce prometteur : une norme de sécurité internationale pour un secteur de l’industrie en croissance forte.

Cette norme devrait atteindre le même niveau de succès que les normes de la série 27000 bien connues dans le secteur des technologies de l’information. La norme ISO/IEC 27017 devrait certainement être attrayante pour les entreprises qui offrent des services cloud, et qui veulent couvrir tous les angles de la sécurité dans le cloud computing.

Aussi, il apparaît probable que pour les entreprises impliquées dans le domaine du cloud, nous allons le plus souvent voir une mise en œuvre d’une combinaison de la norme ISO/IEC 27001 et ISO/IEC 27017 mise en œuvre avec un couplage avec la norme ISO/IEC 27018 pour les entreprises ayant à gérer beaucoup de données personnelles.

A noter aussi que pour ces entreprises, l’analyse des risques en matière de sécurité les conduira sans doute à prendre en compte des éléments complémentaires comme les contextes législatif et réglementaire ainsi que la situation géographique. Autre exemple d’utilisation, le Japon par l’intermédiaire de association JASA a récemment mis en place la marque « Cloud Security Mark » basée sur la norme ISO/IEC 27017, système de certification concernant la sécurité  des fournisseurs de service cloud au Japon.


Olivier Le Grand
En  collaboration avec Paul Richy

* Figure inspirée de la Figure 1 de la norme ISO/IEC 27000

 

Pour aller plus loin

Une nouvelle norme de bonnes pratiques pour la protection des données personnelles dans le cloud
Big Data et Cloud : une première norme d'engagement
EIDAS et la protection des données personnelles

Changer d'affichage