ISO/CEI 27017
La norme ISO/CEI 27017:2015[1] du nom officiel « Technologies de l'information -- Techniques de sécurité -- Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage[2] » traite des aspects de la sécurité de l'information du nuage (en anglais Cloud computing).
Historique
La 1re Édition de l’ISO 27017:2015 date de 2015. Cette norme a été définie conjointement avec la norme ISO/CEI 27018.
Contenu de la norme
Cette norme donne des directives pour la sécurité de l’information et pour le contrôle applicable à la disposition et à l’utilisation de services du Cloud computing.
Contenu global
La norme ISO/CEI 27017:2015 fournit :
- Des conseils de mise en œuvre supplémentaires pour des contrôles appropriés indiqués dans l'ISO/CEI 27002 ;
- Des contrôles supplémentaires avec des conseils de mise en œuvre qui touchent spécifiquement aux services du cloud. Ces derniers visent tout autant les prestataires que les utilisateurs.
- Cette norme complète la norme ISO/CEI 27002 en précisant les mesures de sécurité notamment sur la politique des fichiers personnels, l’organisation de la sécurité, la gestion d’actifs, le contrôle d’accès ou la gestion d’incidents liée à la sécurité. D’autres mesures ont été ajoutées telles que la délimitation des responsabilités entre les utilisateurs et les fournisseurs de services du cloud, la communication des incidents liée à la sécurité du fournisseur vers ses clients, les moyens utiles fournis aux utilisateurs au sujet de la surveillance des services du cloud ou encore l’élimination des actifs d’un client lors la rupture ou l’arrivé au terme d’un contrat avec le fournisseur.
Contenu issu de la table des matières
Voici comment est détaillée la norme ISO/CEI 27017 :
0 Introduction
1 Portée
2 Références normatives
3 Termes et définitions
4 Vue d'ensemble
5 Politiques de sécurité de l'information
6 Organisation de la sécurité de l'information
7 Sécurité des ressources humaines
8 Gestion d'actifs
9 Contrôle d'accès
10 Cryptographie
11 Zones sécurisées
12 Sécurité des opérations
13 Sécurité de la communication
14 Acquisition, développement et maintenance du système
15 Relations avec les fournisseurs
16 Gestion des incidents de sécurité de l'information
17 Aspects de la sécurité de l'information dans la gestion de la continuité
18 Conformité
Annexe Un ensemble de contrôle étendu du service Cloud Annexe B Références sur le risque de sécurité informatique lié au cloud computing
La partie 2 contient : 2.1 Recommandations identiques International, 2.2 Références supplémentaires
La partie 3 contient : 3.1 Termes définis ailleurs, 3.2 Abréviations
La partie 4 contient : 4.1 Aperçu, 4.2 Relation fournisseur dans les services de cloud, 4.3 Relations entre les clients du service cloud et le fournisseur de services cloud, 4.4 Gérer les risques de sécurité de l'information dans les services cloud, 4.5 Structure de cette norme
La partie 5 contient : 5.1 Direction de la gestion pour la sécurité de l'information
La partie 6 contient : 6.1 Organisation interne, 6.2 Appareils mobiles et télétravail
La partie 7 contient : 7.1 Avant l'emploi, 7.2 Pendant l'emploi, 7.3 Résiliation et changement d'emploi
La partie 8 contient : 8.1 Responsabilité pour les actifs, 8.2 Classification de l'information, 8.3 Médias une manipulation
La partie 9 contient : 9.1 Besoins professionnels du contrôle d'accès, 9.2 Gestion de l'accès des utilisateurs, 9.3 Responsabilités de l'utilisateur, 9.4 Contrôle d'accès au système et aux applications
La partie 10 contient : 10.1 Contrôles cryptographiques
La partie 11 contient : 11.1 Zones sécurisées, 11.2 Équipement
La partie 12 contient : 12.1 Procédures et responsabilités opérationnelles, 12.2 Protection contre les logiciels malveillants, 12.3 Sauvegarde, 12.4 Enregistrement et surveillance, 12.5 Contrôle du logiciel opérationnel, 12.6 Gestion technique des vulnérabilités, 12.7 Considérations d'audit du système d'information
La partie 13 contient : 13.1 Gestion de la sécurité du réseau, 13.2 Transfert d'information
La partie 14 contient : 14.1 Exigences de sécurité des systèmes d'information, 14.2 Sécurité dans les processus de développement et de support, 14.3 Données de test
La partie 15 contient : 15.1 Sécurité de l'information dans les relations avec les fournisseurs, 15.2 Gestion de la livraison des services aux fournisseurs
La partie 16 contient : 16.1 Gestion des incidents et des améliorations de la sécurité de l'information
La partie 17 contient : 17.1 Continuité de la sécurité de l'information, 17.2 Redondance
La partie 18 contient : 18.1 Conformité avec la loi, 18.2 Revues de sécurité de l'information
Les personnes concernées
ISO/CEI 27017:2015 s'applique à tous les types et tailles d'organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif qui fournissent des services de traitement de l'information en tant que processeurs PII via le cloud computing.
De grandes entreprises ont déjà été certifiées 27017 telles que Google, Amazon Services Web[3], Orange ou encore OVH.
Cependant, l'AFNOR[4] énonce que ces normes ne sont pas obligatoires pour une entreprise proposant des services de Cloud computing.
Organismes délivrant les certifications
- l'Association française de normalisation (AFNOR)
- L’Organisation internationale de normalisation (ISO)
- EY CertifyPoint[5], un organisme de certification ISO accrédité par le conseil d'accréditation des Pays-Bas et membre de l'International Accreditation Forum (IAF). Les certificats délivrés par EY CertifyPoint sont reconnus dans tous les pays membres de l'IAF.
But de la norme ISO 27017
Les données peuvent être distribuées par tous et toutes. Le client ne sait pas forcement où se trouvent ces dernières et qui est susceptible de les acquérir. Le cloud peut ainsi paraître non sécurisé.
Il y a différents points sur lesquels il faut se concentrer autour des données : localisation, la réversibilité, le volet juridique.
Un contrat pour se protéger du fournisseur peut être mis en place afin de maîtriser ses informations ou les récupérer.
Les utilisateurs recherchent des informations sur la confidentialité, l’intégrité et la disponibilité de l’information.
Ces derniers cherchent également à savoir comment les services sont contrôlés et comment ils sont appliqués.
Le but principal est de rassurer les utilisateurs à travers la transparence entre fournisseurs et utilisateurs du cloud.
Cette norme est donc présente pour sécuriser les données.
Voir aussi
Articles connexes
- Liste des normes ISO de la suite ISO/IEC 27000
- Système de gestion de la sécurité de l'information
- Gestion de la qualité
- Liste de normes ISO
- Liste de normes ISO par domaines
- IEEE
- ISO 9001, norme relative à l'assurance qualité
- ISO 9660, norme relative aux CD
- ISO 14001, norme relative à l'environnement
- ISO 10006, norme relative à la qualité dans le domaine de la gestion de projets
- ISO 10007, norme relative à la gestion de configuration
- ISO 19510, norme relative à la modélisation des procédés d'affaires
- ISO 21500, norme relative au management de projets
- ISO 26000, norme relative à la responsabilité sociétale des organisations
- ISO/CEI 27018, norme relative à la protection des données à caractère personnel dans l'informatique en nuages
- ISO 29110, norme relative à l'ingénierie de systèmes et du logiciel
- Commission électrotechnique internationale
Notes et références
- « ISO/IEC 27017:2015 - Technologies de l'information -- Techniques de sécurité -- Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage », sur www.iso.org (consulté le ).
- En anglais : Code of practice for information security controls based on ISO / CEI 27002 for cloud services.
- « Certification 27017 » [PDF], sur Amazone.
- « La norme est-elle obligatoire ? - AFNOR Normalisation », AFNOR Normalisation, 2014-12-04 lire en ligne=https://normalisation.afnor.org/actualites/la-norme-est-elle-obligatoire/.
- (en) « À propos d'EY CertifyPoint », sur http://www.ey.com (consulté le ).
- Portail de la sécurité de l’information