ISO/IEC 27017:2015
Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques pour les contrôles de sécurité de l'information basé sur l'ISO/IEC 27002 pour les services cloud
Le code de bonnes pratiques ISO/IEC 27017:2015 est conçu pour que les organisations l'utilisent comme référence pour sélectionner les contrôles de sécurité des informations des services cloud lors de la mise en œuvre d'un système de gestion de la sécurité des informations du cloud computing basé sur la norme ISO/IEC 27002:2013. Il peut également être utilisé par les fournisseurs de services cloud comme document d'orientation pour la mise en œuvre de contrôles de protection communément acceptés.
Cette norme internationale fournit des conseils de mise en œuvre supplémentaires spécifiques au cloud, basés sur la norme ISO/IEC 27002, et fournit des contrôles supplémentaires pour faire face aux menaces et aux risques liés à la sécurité des informations spécifiques au cloud, en se référant aux articles 5 à 18 de la norme ISO/IEC 27002 : 2013 pour les contrôles, les conseils de mise en œuvre, et d'autres informations. Plus précisément, cette norme fournit des lignes directrices sur 37 contrôles de la norme ISO/IEC 27002, et elle présente également sept nouveaux contrôles qui ne sont pas dupliqués dans la norme ISO/IEC 27002.
Ces nouveaux contrôles abordent les domaines importants suivants :
Rôles et responsabilités partagés dans un environnement de cloud computing
Suppression et restitution des actifs des clients du service cloud à la résiliation du contrat
Protection et séparation de l'environnement virtuel d'un client des environnements d'autres clients
Exigences de renforcement des machines virtuelles pour répondre aux besoins de l'entreprise
Procédures pour les opérations administratives d'un environnement de cloud computing
Permettre aux clients de surveiller les activités pertinentes dans un environnement de cloud computing
Alignement de la gestion de la sécurité pour les réseaux virtuels et physiques
La norme ISO/IEC 27017 est unique en ce qu'elle fournit des conseils aux fournisseurs de services cloud et aux clients de services cloud. Il fournit également aux clients des services cloud des informations pratiques sur ce qu'ils doivent attendre des fournisseurs de services cloud. Les clients peuvent bénéficier directement de la norme ISO/IEC 27017 en s'assurant qu'ils comprennent les responsabilités partagées dans le cloud.
La norme fournit des conseils basés sur le cloud sur 37 des contrôles de la norme ISO/IEC 27002, mais propose également sept nouveaux contrôles cloud qui traitent des éléments suivants :
Qui est responsable de quoi entre le fournisseur de services cloud et le client cloud
L'enlèvement/restitution des avoirs en cas de résiliation du contrat
Protection et séparation de l’environnement virtuel du client
Configuration de la machine virtuelle
Opérations et procédures administratives associées à l'environnement cloud
Surveillance par les clients du cloud de l'activité dans le cloud
Alignement de l'environnement réseau virtuel et cloud
Contrôles de sécurité
Ce n’est pas seulement la séparation des responsabilités que la norme contribue à définir :
La norme ISO/IEC 27017 donne également beaucoup plus de détails sur le type de contrôles de sécurité que les fournisseurs de services devraient mettre en œuvre et contribue à réduire les obstacles à l'adoption du cloud.
La norme ISO/IEC 27017 permet aux fournisseurs de services cloud d'indiquer le niveau de contrôles mis en œuvre. Cela signifie des preuves documentées
—soutenu par des sources indépendantes comme la certification selon certaines normes
—montrent que des politiques appropriées ont été mises en œuvre et, surtout, quels types de contrôles ont été introduits.
Ces informations doivent être partagées avec le client cloud avant la signature de tout contrat afin de contribuer à atténuer tout problème potentiel à l'avenir.
Dans les cas où les audits indépendants ne sont pas pratiques ou poseraient un risque plus important pour la sécurité des informations, la norme offre aux CSP la possibilité de s'auto-évaluer.
Lorsque tel est le cas, le CSP doit informer les clients qu'ils se sont auto-évalués.
Cryptography
Il existe également des conseils sur toute cryptographie utilisée.
Cela s'applique au client et au fournisseur, car tous deux ont des responsabilités dans ce domaine.
Le fournisseur doit expliquer au client comment il utilise la cryptographie et l’aider à appliquer sa propre protection. Il convient également de prendre en compte des cas particuliers, tels que les données sur la santé, pour lesquels il peut s'agir de lignes directrices réglementaires supplémentaires.
Les clients doivent également être francs sur le type de cryptographie qu’ils utilisent – et ils devraient l’utiliser si l’analyse des risques suggère que cela est nécessaire.
En fait, c’est le genre de différend ou de malentendu qui sous-tend la nécessité d’une norme. Non seulement les deux parties doivent s’assurer que le réseau est protégé, mais elles doivent également pouvoir s’assurer mutuellement de la compatibilité entre les deux systèmes.
Et, surtout, il convient de déterminer si ces contrôles s’appliquent aux données au repos, en transit ou aux deux, car cela a déjà provoqué des malentendus.