ISO/CEI 27017

L'ISO/CEI 27017 est une norme internationale concernant la sécurité de l'information. Elle a été publiée conjointement en 2015 par l'organisation internationale de normalisation (ISO) et la Commission Électrotechnique Internationale (CEI). Son titre en français est Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage. Elle fait partie de la série ISO/CEI 27000^[1].

L'ISO/CEI 27017 contient des lignes directrices relatives aux mesures de sécurité de l'information applicables dans le cadre de la fourniture ou l'utilisation des services cloud. Elle propose notamment ^[2]:

• Des recommandations supplémentaires concernant la mise en œuvre de 37 mesures de sécurité spécifiées dans l'ISO/CEI 27002.
• 7 nouvelles mesures de sécurité supplémentaires spécifiquement en lien avec les services cloud.

Même si un organisme peut l'utiliser seule, l'ISO/CEI 27017 a initialement vocation à être utilisée conjointement avec l'ISO/CEI 27001 et l'ISO/CEI 27002. Les contrôles et les conseils de mise en œuvre qu'elle fournit sont adaptés aux organisations qui construisent ou maintiennent un SMSI conforme l'ISO/CEI 27001^[3].

La conformité d'un organisme à l'ISO/CEI 27017 n'est pas obligatoire mais comporte de nombreux avantages^[3]:

• Cybersécurité améliorée pour l'infrastructure cloud
• Gestion des risques améliorée pour les menaces spécifiques au cloud
• Confiance et crédibilité accrues
• Alignement avec les normes et exigences réglementaires existantes
• Différenciation concurrentielle
• Efficacité opérationnelle

Le document de l'ISO/CEI 27017 contient 18 chapitres^[4]:

1. Domaine d'application
2. Références normatives
3. Termes, définitions et abréviations
4. Concepts spécifiques au secteur du nuage
5. Politiques de sécurité de l'information
6. Organisation de la sécurité de l'information
7. Sécurité des ressources humaines
8. Gestion d'actifs
9. Contrôle d'accès
10. Cryptographie
11. Sécurité physique et environnementale
12. Sécurité liée à l'exploitation
13. Sécurité des communications
14. Acquisition, développement et maintenance des systèmes d'information
15. Relations avec les fournisseurs
16. Gestion des incidents liés à la sécurité de l'information
17. Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité
18. Conformité

Ainsi que 2 annexes :

• Annexe A : Ensemble étendu de mesures pour les services en nuage
• Annexe B : Références sur les risques de sécurité de l'information liés à l'informatique en nuage

Les chapitres 5 à 18 correspondent à la structure de l'ISO/CEI 27002:2013 et aux 14 domaines dans lesquels sont répartis les mesures de sécurité. Pour chaque mesure et objectif de l'ISO/CEI 27002, la norme indique s'ils sont applicables tels quels ou s'il y a des recommandations spécifiques au secteur du cloud. Lorsqu'il y a des compléments de mise en œuvre, il y a 2 cas. Soit les préconisations sont différentes pour le client et le fournisseur, soit elles sont identiques^[5].

L'ISO/CEI 27017 fournit 7 nouvelles mesures de sécurité spécifiquement liées au cloud qui abordent respectivement les sujets suivants^[2]:

• Partage de la responsabilité entre le fournisseur de services cloud et son client
• Suppression/Restitution des ressources au moment de la résiliation d'un contrat
• Protection et séparation de l'environnement virtuel du client
• Configuration des machines virtuelles
• Opérations et procédures administratives associées à l'environnement cloud
• Surveillance de la part du client de l'activité dans le cloud
• Alignement des environnements réseau cloud et virtuel

ISO/CEI 27017:2015 s'applique à tous les types et tailles d'organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif qui fournissent des services de traitement de l'information en tant que processeurs PII via le cloud computing.

De grandes entreprises ont déjà été certifiées 27017 telles que Google, Amazon Services Web^[6], Orange ou encore OVH.

Cependant, l'AFNOR^[7] énonce que ces normes ne sont pas obligatoires pour une entreprise proposant des services de Cloud computing.

• l'Association française de normalisation (AFNOR)
• L’Organisation internationale de normalisation (ISO)
• EY CertifyPoint^[8], un organisme de certification ISO accrédité par le conseil d'accréditation des Pays-Bas et membre de l'International Accreditation Forum (IAF). Les certificats délivrés par EY CertifyPoint sont reconnus dans tous les pays membres de l'IAF.

• OVH se conforme à l'ISO 27017
• La norme est-elle obligatoire ?
• Le Cloud security mark (gold), l'ISO à la japonaise

v · m Suite ISO/CEI 27000
ISO/CEI 27000:2018 ISO/CEI 27001:2022 ISO/CEI 27002:2022 ISO/CEI 27003:2017 ISO/CEI 27004:2016 ISO/CEI 27005:2022 ISO/CEI 27006:2024 ISO/CEI 27007:2020 ISO/CEI 27008:2019 ISO/CEI 27011:2024 ISO/CEI 27013:2021 ISO/CEI 27017:2015 ISO/CEI 27018:2019 ISO/CEI TR 27019:2024 ISO/CEI 27799:2016

v · m Normes ISO
1 3 4 9 31 216 217 228 233 259 269 639 646 690 843 1000 2022 2108 2709 3103 3166 3166-1 3166-2 3166-3 3297 3533 3901 4217 5218 5426 6166 6358 6438 6709 7010 7185 7810 8601 8613 8859 9001 9002 9003 9004 9075 9126 9241 9362 9594 9646 9660 9945 9984 10006 10007 10118-3 10303 10303-11 10303-238 10383 10589 10646 10664 10957 11179 11238 11239 11240 11544 11615 11616 11783 11801 12207 13211-1 13216 13250 13335 13399 13485 13568 13616 14000 14001 14064 14069 14396 14882 15189 15408 15444 15489 15504 15511 15706 15836 15924 16023 16262 16610 17025 17799 18004 19005 19110 19115 19439 19501 19510 19775-1 20000 20252 21127 21500 22000 23270 25178 26000 26300 27001 27002 27005 27006 27017 27018 29500 32000 50001
Liste de normes ISO Liste des normes de romanisation ISO

• Portail de la sécurité de l’information
• Portail de la sécurité informatique