La norme ISO/CEI 27017:2015[1] du nom officiel « Technologies de l'information -- Techniques de sécurité -- Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage[2] » traite des aspects de la sécurité de l'information du nuage (en anglais Cloud computing).

Historique modifier

La 1re Édition de l’ISO 27017:2015 date de 2015. Cette norme a été définie conjointement avec la norme ISO/CEI 27018.

Contenu de la norme modifier

Cette norme donne des directives pour la sécurité de l’information et pour le contrôle applicable à la disposition et à l’utilisation de services du Cloud computing.

Contenu global modifier

La norme ISO/CEI 27017:2015 fournit :

  • Des conseils de mise en œuvre supplémentaires pour des contrôles appropriés indiqués dans l'ISO/CEI 27002 ;
  • Des contrôles supplémentaires avec des conseils de mise en œuvre qui touchent spécifiquement aux services du cloud. Ces derniers visent tout autant les prestataires que les utilisateurs.
  • Cette norme complète la norme ISO/CEI 27002 en précisant les mesures de sécurité notamment sur la politique des fichiers personnels, l’organisation de la sécurité, la gestion d’actifs, le contrôle d’accès ou la gestion d’incidents liée à la sécurité. D’autres mesures ont été ajoutées telles que la délimitation des responsabilités entre les utilisateurs et les fournisseurs de services du cloud, la communication des incidents liée à la sécurité du fournisseur vers ses clients, les moyens utiles fournis aux utilisateurs au sujet de la surveillance des services du cloud ou encore l’élimination des actifs d’un client lors la rupture ou l’arrivée au terme d’un contrat avec le fournisseur.

Contenu issu de la table des matières modifier

Voici comment est détaillée la norme ISO/CEI 27017 :
0 Introduction
1 Portée
2 Références normatives
3 Termes et définitions
4 Vue d'ensemble
5 Politiques de sécurité de l'information
6 Organisation de la sécurité de l'information
7 Sécurité des ressources humaines
8 Gestion d'actifs
9 Contrôle d'accès
10 Cryptographie
11 Zones sécurisées
12 Sécurité des opérations
13 Sécurité de la communication
14 Acquisition, développement et maintenance du système
15 Relations avec les fournisseurs
16 Gestion des incidents de sécurité de l'information
17 Aspects de la sécurité de l'information dans la gestion de la continuité
18 Conformité

Annexe Un ensemble de contrôle étendu du service Cloud Annexe B Références sur le risque de sécurité informatique lié au cloud computing

La partie 2 contient : 2.1 Recommandations identiques International, 2.2 Références supplémentaires

La partie 3 contient : 3.1 Termes définis ailleurs, 3.2 Abréviations

La partie 4 contient : 4.1 Aperçu, 4.2 Relation fournisseur dans les services de cloud, 4.3 Relations entre les clients du service cloud et le fournisseur de services cloud, 4.4 Gérer les risques de sécurité de l'information dans les services cloud, 4.5 Structure de cette norme

La partie 5 contient : 5.1 Direction de la gestion pour la sécurité de l'information

La partie 6 contient : 6.1 Organisation interne, 6.2 Appareils mobiles et télétravail

La partie 7 contient : 7.1 Avant l'emploi, 7.2 Pendant l'emploi, 7.3 Résiliation et changement d'emploi

La partie 8 contient : 8.1 Responsabilité pour les actifs, 8.2 Classification de l'information, 8.3 Médias une manipulation

La partie 9 contient : 9.1 Besoins professionnels du contrôle d'accès, 9.2 Gestion de l'accès des utilisateurs, 9.3 Responsabilités de l'utilisateur, 9.4 Contrôle d'accès au système et aux applications

La partie 10 contient : 10.1 Contrôles cryptographiques

La partie 11 contient : 11.1 Zones sécurisées, 11.2 Équipement

La partie 12 contient : 12.1 Procédures et responsabilités opérationnelles, 12.2 Protection contre les logiciels malveillants, 12.3 Sauvegarde, 12.4 Enregistrement et surveillance, 12.5 Contrôle du logiciel opérationnel, 12.6 Gestion technique des vulnérabilités, 12.7 Considérations d'audit du système d'information

La partie 13 contient : 13.1 Gestion de la sécurité du réseau, 13.2 Transfert d'information

La partie 14 contient : 14.1 Exigences de sécurité des systèmes d'information, 14.2 Sécurité dans les processus de développement et de support, 14.3 Données de test

La partie 15 contient : 15.1 Sécurité de l'information dans les relations avec les fournisseurs, 15.2 Gestion de la livraison des services aux fournisseurs

La partie 16 contient : 16.1 Gestion des incidents et des améliorations de la sécurité de l'information

La partie 17 contient : 17.1 Continuité de la sécurité de l'information, 17.2 Redondance

La partie 18 contient : 18.1 Conformité avec la loi, 18.2 Revues de sécurité de l'information

Les personnes concernées modifier

ISO/CEI 27017:2015 s'applique à tous les types et tailles d'organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif qui fournissent des services de traitement de l'information en tant que processeurs PII via le cloud computing.

De grandes entreprises ont déjà été certifiées 27017 telles que Google, Amazon Services Web[3], Orange ou encore OVH.

Cependant, l'AFNOR[4] énonce que ces normes ne sont pas obligatoires pour une entreprise proposant des services de Cloud computing.

Organismes délivrant les certifications modifier

But de la norme ISO 27017 modifier

Les données peuvent être distribuées par tous et toutes. Le client ne sait pas forcement où se trouvent ces dernières et qui est susceptible de les acquérir. Le cloud peut ainsi paraître non sécurisé.

Il y a différents points sur lesquels il faut se concentrer autour des données : localisation, la réversibilité, le volet juridique.

Un contrat pour se protéger du fournisseur peut être mis en place afin de maîtriser ses informations ou les récupérer.

Les utilisateurs recherchent des informations sur la confidentialité, l’intégrité et la disponibilité de l’information.

Ces derniers cherchent également à savoir comment les services sont contrôlés et comment ils sont appliqués.

Le but principal est de rassurer les utilisateurs à travers la transparence entre fournisseurs et utilisateurs du cloud.

Cette norme est donc présente pour sécuriser les données.

Voir aussi modifier

Articles connexes modifier

Liens externes modifier

Notes et références modifier

  1. « ISO/IEC 27017:2015 - Technologies de l'information -- Techniques de sécurité -- Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage », sur iso.org (consulté le ).
  2. En anglais : Code of practice for information security controls based on ISO / CEI 27002 for cloud services.
  3. « Certification 27017 » [PDF], sur Amazon.
  4. « La norme est-elle obligatoire ? - AFNOR Normalisation », AFNOR Normalisation,‎ 2014-12-04 lire en ligne=https://normalisation.afnor.org/actualites/la-norme-est-elle-obligatoire/.
  5. (en) « À propos d'EY CertifyPoint », sur ey.com (consulté le ).