ISO/CEI 27017

La norme ISO/CEI 27017:2015^[1] du nom officiel « Technologies de l'information -- Techniques de sécurité -- Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage^[2] » traite des aspects de la sécurité de l'information du nuage (en anglais Cloud computing).

La 1^re Édition de l’ISO 27017:2015 date de 2015. Cette norme a été définie conjointement avec la norme ISO/CEI 27018.

Cette norme donne des directives pour la sécurité de l’information et pour le contrôle applicable à la disposition et à l’utilisation de services du Cloud computing.

La norme ISO/CEI 27017:2015 fournit :

• Des conseils de mise en œuvre supplémentaires pour des contrôles appropriés indiqués dans l'ISO/CEI 27002 ;

• Des contrôles supplémentaires avec des conseils de mise en œuvre qui touchent spécifiquement aux services du cloud. Ces derniers visent tout autant les prestataires que les utilisateurs.

• Cette norme complète la norme ISO/CEI 27002 en précisant les mesures de sécurité notamment sur la politique des fichiers personnels, l’organisation de la sécurité, la gestion d’actifs, le contrôle d’accès ou la gestion d’incidents liée à la sécurité. D’autres mesures ont été ajoutées telles que la délimitation des responsabilités entre les utilisateurs et les fournisseurs de services du cloud, la communication des incidents liée à la sécurité du fournisseur vers ses clients, les moyens utiles fournis aux utilisateurs au sujet de la surveillance des services du cloud ou encore l’élimination des actifs d’un client lors la rupture ou l’arrivée au terme d’un contrat avec le fournisseur.

Voici comment est détaillée la norme ISO/CEI 27017 :
0 Introduction
1 Portée
2 Références normatives
3 Termes et définitions
4 Vue d'ensemble
5 Politiques de sécurité de l'information
6 Organisation de la sécurité de l'information
7 Sécurité des ressources humaines
8 Gestion d'actifs
9 Contrôle d'accès
10 Cryptographie
11 Zones sécurisées
12 Sécurité des opérations
13 Sécurité de la communication
14 Acquisition, développement et maintenance du système
15 Relations avec les fournisseurs
16 Gestion des incidents de sécurité de l'information
17 Aspects de la sécurité de l'information dans la gestion de la continuité
18 Conformité

Annexe Un ensemble de contrôle étendu du service Cloud Annexe B Références sur le risque de sécurité informatique lié au cloud computing

La partie 2 contient : 2.1 Recommandations identiques International, 2.2 Références supplémentaires

La partie 3 contient : 3.1 Termes définis ailleurs, 3.2 Abréviations

La partie 4 contient : 4.1 Aperçu, 4.2 Relation fournisseur dans les services de cloud, 4.3 Relations entre les clients du service cloud et le fournisseur de services cloud, 4.4 Gérer les risques de sécurité de l'information dans les services cloud, 4.5 Structure de cette norme

La partie 5 contient : 5.1 Direction de la gestion pour la sécurité de l'information

La partie 6 contient : 6.1 Organisation interne, 6.2 Appareils mobiles et télétravail

La partie 7 contient : 7.1 Avant l'emploi, 7.2 Pendant l'emploi, 7.3 Résiliation et changement d'emploi

La partie 8 contient : 8.1 Responsabilité pour les actifs, 8.2 Classification de l'information, 8.3 Médias une manipulation

La partie 9 contient : 9.1 Besoins professionnels du contrôle d'accès, 9.2 Gestion de l'accès des utilisateurs, 9.3 Responsabilités de l'utilisateur, 9.4 Contrôle d'accès au système et aux applications

La partie 10 contient : 10.1 Contrôles cryptographiques

La partie 11 contient : 11.1 Zones sécurisées, 11.2 Équipement

La partie 12 contient : 12.1 Procédures et responsabilités opérationnelles, 12.2 Protection contre les logiciels malveillants, 12.3 Sauvegarde, 12.4 Enregistrement et surveillance, 12.5 Contrôle du logiciel opérationnel, 12.6 Gestion technique des vulnérabilités, 12.7 Considérations d'audit du système d'information

La partie 13 contient : 13.1 Gestion de la sécurité du réseau, 13.2 Transfert d'information

La partie 14 contient : 14.1 Exigences de sécurité des systèmes d'information, 14.2 Sécurité dans les processus de développement et de support, 14.3 Données de test

La partie 15 contient : 15.1 Sécurité de l'information dans les relations avec les fournisseurs, 15.2 Gestion de la livraison des services aux fournisseurs

La partie 16 contient : 16.1 Gestion des incidents et des améliorations de la sécurité de l'information

La partie 17 contient : 17.1 Continuité de la sécurité de l'information, 17.2 Redondance

La partie 18 contient : 18.1 Conformité avec la loi, 18.2 Revues de sécurité de l'information

ISO/CEI 27017:2015 s'applique à tous les types et tailles d'organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif qui fournissent des services de traitement de l'information en tant que processeurs PII via le cloud computing.

De grandes entreprises ont déjà été certifiées 27017 telles que Google, Amazon Services Web^[3], Orange ou encore OVH.

Cependant, l'AFNOR^[4] énonce que ces normes ne sont pas obligatoires pour une entreprise proposant des services de Cloud computing.

• l'Association française de normalisation (AFNOR)
• L’Organisation internationale de normalisation (ISO)
• EY CertifyPoint^[5], un organisme de certification ISO accrédité par le conseil d'accréditation des Pays-Bas et membre de l'International Accreditation Forum (IAF). Les certificats délivrés par EY CertifyPoint sont reconnus dans tous les pays membres de l'IAF.

Les données peuvent être distribuées par tous et toutes. Le client ne sait pas forcement où se trouvent ces dernières et qui est susceptible de les acquérir. Le cloud peut ainsi paraître non sécurisé.

Il y a différents points sur lesquels il faut se concentrer autour des données : localisation, la réversibilité, le volet juridique.

Un contrat pour se protéger du fournisseur peut être mis en place afin de maîtriser ses informations ou les récupérer.

Les utilisateurs recherchent des informations sur la confidentialité, l’intégrité et la disponibilité de l’information.

Ces derniers cherchent également à savoir comment les services sont contrôlés et comment ils sont appliqués.

Le but principal est de rassurer les utilisateurs à travers la transparence entre fournisseurs et utilisateurs du cloud.

Cette norme est donc présente pour sécuriser les données.

• OVH se conforme à l'ISO 27017
• La norme est-elle obligatoire ?
• Le Cloud security mark (gold), l'ISO à la japonaise

v · m Audit de sécurité informatique
Test	Test Génie logiciel Prise d'empreinte de la pile TCP/IP
Outils	Fuzzing Rétro-ingénierie Boîte blanche Boîte noire Cryptanalyse
Attaque	Dépassement de tampon Attaque de l'homme du milieu
Protection	Sécurité par l'obscurité
Normes ISO/CEI	17799 27001 27002 27006

v · m Suite ISO/CEI 27000
ISO/CEI 27000:2012 ISO/CEI 27001:2013 ISO/CEI 27002:2013 ISO/CEI 27003:2010 ISO/CEI 27004:2009 ISO/CEI 27005:2011 ISO/CEI 27006:2011 ISO/CEI 27007:2011 ISO/CEI 27008:2011 ISO/CEI 27011:2008 ISO/CEI 27013:2012 ISO/CEI 27017:2015 ISO/CEI 27018:2014 ISO/CEI TR 27019:2013 ISO/CEI 27799:2008

v · m Normes ISO
1 3 4 9 31 216 217 228 233 259 269 639 646 690 843 1000 2022 2108 2709 3103 3166 3166-1 3166-2 3166-3 3297 3533 3901 4217 5218 5426 6166 6358 6438 6709 7010 7185 7810 8601 8613 8859 9001 9002 9003 9004 9075 9126 9241 9362 9594 9646 9660 9945 9984 10006 10007 10118-3 10303 10303-11 10303-238 10383 10589 10646 10664 10957 11179 11238 11239 11240 11544 11615 11616 11783 11801 12207 13211-1 13216 13250 13335 13399 13485 13568 13616 14000 14001 14064 14069 14396 14882 15189 15408 15444 15489 15504 15511 15706 15836 15924 16023 16262 16610 17025 17799 18004 19005 19110 19115 19439 19501 19510 19775-1 20000 20252 21127 21500 22000 23270 25178 26000 26300 27001 27002 27005 27006 27017 27018 29500 32000 50001
Liste de normes ISO Liste des normes de romanisation ISO

• Portail de la sécurité de l’information