ISO 27017 et ISO 27018 : Normes de sécurité cloud
L'ISO 27017 et l'ISO 27018 étendent l'ISO 27001 avec des directives spécifiques pour les environnements cloud computing. Comprendre ces normes aide les fournisseurs de services cloud et leurs clients à adresser les exigences de sécurité et de confidentialité spécifiques au cloud.
Points clés
| Point | Résumé |
|---|---|
| ISO 27017 | Contrôles de sécurité cloud pour les fournisseurs et les clients |
| ISO 27018 | Protection des informations personnelles identifiables (PII) dans les clouds publics |
| Prérequis | Les deux nécessitent la certification ISO 27001 comme base |
| Qui en a besoin | Fournisseurs de services cloud (principalement) ; clients cloud (sélectivement) |
| Valeur combinée | Démontre des pratiques matures de sécurité et de confidentialité cloud |
Réponse rapide : L'ISO 27017 fournit une guidance de sécurité spécifique au cloud, tandis que l'ISO 27018 se concentre sur la protection des données personnelles dans le cloud. Les deux s'appuient sur l'ISO 27001, donc vous avez besoin de la certification de base d'abord. Ces extensions sont particulièrement précieuses pour les fournisseurs de services cloud et les organisations traitant des données personnelles sensibles dans des environnements cloud.
Comprendre les normes cloud ISO 27000
ISO 27017 : Sécurité cloud
L'ISO 27017 fournit des directives pour les contrôles de sécurité de l'information applicables aux services cloud. Elle étend la guidance des contrôles ISO 27002 avec des considérations spécifiques au cloud pour :
- Les fournisseurs de services cloud (CSP) offrant des services
- Les clients de services cloud utilisant ces services
La norme reconnaît que le cloud computing introduit des considérations de sécurité uniques qui vont au-delà des environnements IT traditionnels.
ISO 27018 : Confidentialité cloud
L'ISO 27018 établit un code de pratique pour la protection des informations personnelles identifiables (PII) dans les environnements cloud publics. Elle se concentre spécifiquement sur les processeurs de PII : les organisations qui traitent des données personnelles pour le compte d'autres.
Cette norme aide les fournisseurs cloud à démontrer qu'ils gèrent les données personnelles de manière responsable, supportant les obligations de conformité en matière de confidentialité de leurs clients.
Quand avez-vous besoin de ces normes ?
Vous pourriez bénéficier de l'ISO 27017 si :
| Scénario | Pourquoi l'ISO 27017 aide |
|---|---|
| Vous êtes fournisseur de services cloud | Démontre la maturité de sécurité spécifique au cloud |
| Des clients enterprise l'exigent | Certains processus d'achat spécifient l'ISO 27017 |
| Environnements multi-tenant | Adresse les considérations de responsabilité partagée |
| Industries réglementées utilisant le cloud | Montre la diligence en sécurité cloud |
Vous pourriez bénéficier de l'ISO 27018 si :
| Scénario | Pourquoi l'ISO 27018 aide |
|---|---|
| Traitement de données personnelles dans le cloud | Démontre l'engagement de protection des PII |
| Exigences de conformité RGPD | Supporte les obligations de processeur de données |
| Services de santé ou financiers | Industries avec des attentes de confidentialité accrues |
| Traitement de données clients | Rassure les clients sur leurs données |
Vous n'avez probablement pas besoin de ces normes (encore) si :
- Vous débutez votre parcours compliance (concentrez-vous d'abord sur l'ISO 27001)
- Vous êtes principalement client cloud (pas fournisseur) avec des risques cloud limités
- Vos clients n'ont pas demandé ces certifications spécifiques
ISO 27017 : Sécurité cloud en détail
Structure et approche
L'ISO 27017 suit la structure de l'ISO 27002 (la guidance d'implémentation pour l'ISO 27001), ajoutant une guidance d'implémentation spécifique au cloud et sept nouveaux contrôles uniques aux environnements cloud.
Caractéristiques clés :
- Étend tous les contrôles ISO 27002 avec un contexte cloud
- Fournit une guidance pour les fournisseurs et les clients cloud
- Introduit des contrôles spécifiquement pour les environnements cloud
- Adresse le modèle de responsabilité partagée
Contrôles spécifiques cloud dans l'ISO 27017
| Domaine de contrôle | Objectif |
|---|---|
| Rôles et responsabilités partagés | Délimitation claire entre les devoirs du fournisseur et du client |
| Suppression des actifs à la terminaison | Gestion appropriée quand les services cloud prennent fin |
| Ségrégation dans les environnements virtuels | Considérations de sécurité multi-tenant |
| Hardening des machines virtuelles | Exigences de configuration spécifiques au cloud |
| Sécurité opérationnelle administrateur | Contrôles pour l'administration cloud |
| Surveillance client de l'activité cloud | Visibilité sur les opérations cloud |
| Sécurité réseau virtuel et cloud | Considérations de networking cloud |
Modèle de responsabilité partagée
Un concept central de l'ISO 27017 est le modèle de responsabilité partagée :
| Responsabilité | Fournisseur cloud | Client cloud |
|---|---|---|
| Infrastructure physique | ✓ | |
| Hyperviseur/plateforme | ✓ | |
| Infrastructure réseau | ✓ | Partagée |
| Sécurité application | ✓ | |
| Protection des données | Partagée | ✓ |
| Gestion des identités | Partagée | ✓ |
| Compliance | Partagée | Partagée |
La norme aide les deux parties à comprendre et documenter leurs responsabilités respectives.
ISO 27018 : Confidentialité cloud en détail
Structure et approche
L'ISO 27018 s'appuie sur l'ISO 27001 avec des exigences et guidance supplémentaires spécifiquement pour protéger les PII dans les environnements cloud. Elle est conçue pour les processeurs de PII : les organisations qui traitent des données personnelles pour le compte des contrôleurs de données.
Caractéristiques clés :
- Se concentre exclusivement sur les informations personnelles identifiables
- S'applique aux processeurs de PII dans le cloud public
- S'aligne avec les réglementations de confidentialité courantes (RGPD, etc.)
- Établit des attentes de transparence et de responsabilité
Principes de confidentialité dans l'ISO 27018
| Principe | Exigence |
|---|---|
| Consentement et choix | Supporter les exigences de consentement du contrôleur de données |
| Limitation de la finalité | Traiter les PII uniquement pour les finalités spécifiées |
| Minimisation des données | Limiter le traitement des PII à ce qui est nécessaire |
| Utilisation et divulgation | Restreindre comment les PII sont utilisées et partagées |
| Limitation de la rétention | Supprimer ou retourner les PII quand plus nécessaires |
| Transparence | Information claire sur les pratiques de traitement |
| Participation individuelle | Supporter les droits des personnes concernées |
| Responsabilité | Conformité démontrable aux principes |
Contrôles clés ISO 27018
| Domaine de contrôle | Objectif |
|---|---|
| Retour et destruction des PII | Gestion appropriée à la terminaison du contrat |
| Divulgation des sous-traitants | Transparence sur qui traite les données |
| Notification de brèche | Notification rapide des incidents de sécurité |
| Demandes de divulgation | Gestion des demandes légales/gouvernementales de données |
| Localisation des PII | Divulgation de où les données sont traitées |
| Transferts transfrontaliers | Contrôles pour les flux de données internationaux |
Relation entre les normes
La fondation : ISO 27001
L'ISO 27017 et l'ISO 27018 nécessitent toutes deux la certification ISO 27001 comme prérequis. Elles ne remplacent pas l'ISO 27001 ; elles l'étendent :
ISO 27001 (Fondation SMSI)
├── ISO 27017 (Extension sécurité cloud)
└── ISO 27018 (Extension confidentialité cloud)Comment elles se complètent
| Norme | Focus | Audience |
|---|---|---|
| ISO 27001 | SMSI complet | Toutes les organisations |
| ISO 27017 | Sécurité spécifique cloud | Fournisseurs et clients cloud |
| ISO 27018 | PII dans les environnements cloud | Processeurs de PII (principalement fournisseurs) |
Une organisation pourrait poursuivre :
- ISO 27001 uniquement (le plus courant pour les clients cloud)
- ISO 27001 + ISO 27017 (fournisseurs cloud focalisés sur la sécurité)
- ISO 27001 + ISO 27018 (organisations traitant des données personnelles)
- ISO 27001 + ISO 27017 + ISO 27018 (sécurité et confidentialité cloud complètes)
Considérations de certification
Processus de certification
La certification ISO 27017 et/ou ISO 27018 se produit typiquement :
- Comme extension à un audit ISO 27001 existant
- Par le même organisme de certification
- Avec des jours d'audit supplémentaires pour couvrir les exigences de l'extension
Timeline et investissement
| Scénario | Timeline supplémentaire | Investissement supplémentaire |
|---|---|---|
| Ajouter ISO 27017 à ISO 27001 | 2-4 semaines | Modéré |
| Ajouter ISO 27018 à ISO 27001 | 2-4 semaines | Modéré |
| Ajouter les deux extensions | 4-6 semaines | Significatif |
| Les trois ensemble (initial) | Inclus dans le projet global | Approche combinée efficace |
Maintenance
Comme l'ISO 27001, les extensions suivent un cycle de certification de trois ans avec audits de surveillance annuels. Les audits de surveillance couvrent les exigences des extensions aux côtés des exigences fondamentales ISO 27001.
Certifications des grands fournisseurs cloud
Pour contexte, les grands fournisseurs cloud détiennent typiquement ces certifications :
| Fournisseur | ISO 27001 | ISO 27017 | ISO 27018 |
|---|---|---|---|
| AWS | ✓ | ✓ | ✓ |
| Microsoft Azure | ✓ | ✓ | ✓ |
| Google Cloud | ✓ | ✓ | ✓ |
Cela signifie que les clients cloud peuvent souvent hériter d'aspects de ces certifications via le modèle de responsabilité partagée, concentrant leurs propres efforts de certification sur les zones qu'ils contrôlent.
Questions courantes
Ai-je besoin de l'ISO 27017/27018 si mon fournisseur cloud les a ?
Les certifications de votre fournisseur cloud couvrent leurs responsabilités, pas les vôtres. Si vous traitez des données dans le cloud, vous êtes toujours responsable de votre portion du modèle de responsabilité partagée. Cependant, vous pouvez peut-être tirer parti des certifications de votre fournisseur pour réduire votre périmètre d'audit.
Puis-je obtenir l'ISO 27017 ou 27018 sans l'ISO 27001 ?
Non. Les deux normes sont conçues comme extensions de l'ISO 27001. Vous avez besoin de la certification de base d'abord.
Devrais-je poursuivre l'ISO 27018 ou la conformité RGPD ?
Elles sont complémentaires, pas alternatives. L'ISO 27018 démontre de bonnes pratiques pour la protection des PII, ce qui supporte la conformité RGPD. Cependant, la certification ISO 27018 ne signifie pas automatiquement la conformité RGPD, car le RGPD a des exigences supplémentaires.
Ces normes sont-elles pertinentes pour le cloud privé ?
L'ISO 27017 s'applique aux environnements cloud privés. L'ISO 27018 adresse spécifiquement le cloud public, bien que ses principes puissent informer les pratiques de confidentialité du cloud privé.
Prendre la décision
Commencez par l'ISO 27001
Pour la plupart des organisations, la séquence de priorité est :
- ISO 27001 : Certification de base
- Évaluez les besoins d'extension : Selon les exigences clients et le contexte business
Considérez les extensions quand :
- Des clients demandent spécifiquement l'ISO 27017 ou ISO 27018
- Vous êtes fournisseur de services cloud cherchant la différenciation
- Vous traitez des volumes significatifs de données personnelles dans le cloud
- Des industries réglementées exigent une assurance supplémentaire
Approche pratique
Si vous anticipez avoir besoin des extensions :
- Considérez poursuivre toutes les certifications ensemble (plus efficace)
- Structurez votre SMSI pour accommoder les exigences spécifiques cloud dès le départ
- Travaillez avec un partenaire expérimenté en certifications sécurité cloud
Intéressé à comprendre quelles certifications ont du sens pour votre environnement cloud ? Parlez à notre équipe
Sources
- ISO/IEC 27017:2015 - Code de pratique pour les contrôles de sécurité de l'information pour les services cloud
- ISO/IEC 27018:2019 - Code de pratique pour la protection des PII dans les clouds publics
- ISO/IEC 27001:2022 - Norme SMSI de base