TL;DR 

ISO 27017 et 27018 sont des extensions d'ISO 27001 axées sur le cloud.

27017 = contrôles de sécurité pour la responsabilité partagée dans l'infra cloud (CSPs + clients).

27018 = comment gérer les données personnelles (PII) dans le cloud public.

Pas de certifications distinctes — généralement examinées lors des audits ISO 27001. Un signal fort pour l'alignement GDPR et les pratiques de cloud sécurisées.

ISO 27017 / 27018 – Résumé du tableau de bord :

• Effort du développeur : Modéré (Nécessite la compréhension des responsabilités liées au cloud, la mise en œuvre de configurations de sécurité cloud spécifiques, et potentiellement le développement de fonctionnalités pour la gestion/les droits des PII, le cas échéant). L'effort est additif à la norme ISO 27001.
• Coût des outils : Coût incrémental minimal par rapport à ISO 27001 (Utilise les outils ISO 27001 existants ; les coûts sont principalement liés à la mise en œuvre de contrôles spécifiques comme la surveillance améliorée ou le chiffrement si non déjà présents).
• Impact sur le marché : Élevé (En particulier pour les CSP et les entreprises utilisant massivement le cloud ; ISO 27018 est essentielle pour démontrer la protection des PII dans le cloud, pertinente pour le GDPR).
• Flexibilité : Modérée (Fournit des orientations et des contrôles spécifiques au sein du cadre flexible de l'ISO 27001).
• Intensité de l'audit : Évaluée dans le cadre d'un audit ISO 27001 de haute intensité (ajoute des domaines spécifiques à examiner par les auditeurs concernant le cloud et les PII).

Que sont ISO 27017 / 27018 ?

ISO/IEC 27017 et ISO/IEC 27018 sont des normes internationales de la famille ISO 27000, offrant des lignes directrices sectorielles pour le cloud computing. Elles s'appuient sur le cadre général et les contrôles présents dans l'ISO 27001 et l'ISO 27002 (qui fournit des directives de mise en œuvre pour les contrôles de l'Annexe A).

• ISO/IEC 27017:2015 (Code de bonnes pratiques pour les contrôles de sécurité de l'information basés sur l'ISO/IEC 27002 pour les services cloud) :
  
  • Fournit des conseils sur 37 contrôles de la norme ISO 27002 spécifiquement pertinents pour la sécurité du cloud.
  • Introduit 7 nouveaux contrôles spécifiques au cloud non présents dans la norme ISO 27002, couvrant des domaines tels que les rôles et responsabilités partagés, la surveillance des services cloud, le durcissement des machines virtuelles et la suppression des actifs pour les clients.
  • Clarifie les rôles et responsabilités entre le fournisseur de services Cloud (CSP) et le client de services Cloud (CSC) pour la mise en œuvre de chaque contrôle.
  • Se concentre largement sur la gestion de la sécurité de l'information dans le cloud.
• ISO/IEC 27018:2019 (Code de bonnes pratiques pour la protection des informations personnelles identifiables (DPI) dans les clouds publics agissant en tant que sous-traitants de DPI) :
  
  • Se concentre spécifiquement sur la protection des PII traitées par les CSP publics.
  • Établit des objectifs et fournit des directives pour la mise en œuvre de contrôles afin de satisfaire aux exigences de protection des PII.
  • Aborde des principes tels que le consentement et le choix, la légitimité de la finalité, la minimisation des données, la limitation de l'utilisation/de la conservation/de la divulgation, l'exactitude, les mesures de sécurité, la transparence et la responsabilité pour les responsables du traitement des PII.
  • S'aligne étroitement sur les réglementations de confidentialité comme le RGPD.
  • Ses contrôles étendent largement les contrôles ISO 27002 existants avec des interprétations spécifiques pour la protection des PII dans le cloud.

Il est crucial de noter que ni l'ISO 27017 ni l'ISO 27018 ne sont des normes de système de management comme l'ISO 27001. Vous n'êtes pas certifié selon la 27017 ou la 27018 directement. Au lieu de cela, vous mettez en œuvre leurs directives au sein d'un Système de Management de la Sécurité de l'Information (SMSI) conforme à l'ISO 27001, et un auditeur évalue votre mise en œuvre de ces contrôles spécifiques lors de votre audit ISO 27001.

Pourquoi sont-ils importants ?

Bien que des extensions de l'ISO 27001, l'ISO 27017 et l'ISO 27018 soient vitales pour les organisations utilisant ou fournissant des services cloud :

• Clarifie les responsabilités cloud : La norme ISO 27017 aborde spécifiquement le modèle de responsabilité partagée, souvent complexe, dans le cloud, aidant ainsi les CSP et les clients à comprendre qui est responsable de quels contrôles de sécurité.
• Renforce la confiance dans les services Cloud : Démontrer l'alignement avec ces normes assure aux clients qu'un CSP suit les meilleures pratiques pour la sécurité du Cloud (ISO 27017) et la protection des PII (ISO 27018).
• Aborde les risques spécifiques au cloud : ISO 27017 fournit des directives adaptées aux menaces et vulnérabilités spécifiques au cloud (par exemple, la sécurité de la virtualisation, la ségrégation des environnements clients).
• Prend en charge la conformité à la confidentialité (RGPD, etc.) : L'ISO 27018 fournit un cadre clair aux CSP pour qu'ils respectent les obligations des sous-traitants en vertu du RGPD et d'autres lois sur la confidentialité, en se concentrant sur la transparence, le consentement et les droits des personnes concernées liés aux PII.
• Avantage concurrentiel : Pour les CSP, démontrer la conformité (souvent via l'inclusion dans le périmètre d'un audit ISO 27001) est un différenciateur majeur sur le marché, surtout lorsqu'il s'agit d'industries réglementées ou de clients soucieux de la confidentialité.
• Posture de sécurité renforcée : La mise en œuvre des contrôles et des directives supplémentaires renforce véritablement les pratiques de sécurité et de confidentialité dans l'environnement cloud.

Elles traduisent essentiellement les principes généraux des normes ISO 27001/27002 dans le contexte spécifique du cloud computing et du traitement des PII en son sein.

Quoi et comment implémenter (Technique et Politique)

La mise en œuvre se déroule dans le cadre d'un SMSI ISO 27001 existant ou planifié :

1. Définition du périmètre (dans le cadre de l'ISO 27001) : Assurez-vous que le périmètre de votre SMSI inclut clairement les services cloud que vous fournissez ou consommez.
2. Évaluation des risques (dans le cadre de l'ISO 27001) : Identifier spécifiquement les risques liés au cloud (en utilisant les directives ISO 27017) et les risques de traitement des PII dans le cloud (en utilisant les directives ISO 27018).
3. Sélection des contrôles (Déclaration d'applicabilité - SoA) :
   
   • Examinez les contrôles ISO 27002 à travers le prisme de l'ISO 27017, en tenant compte des directives spécifiques au cloud pour les CSP et les CSC.
   • Mettez en œuvre les 7 nouveaux contrôles de l'ISO 27017 si applicable en fonction des risques (par exemple, la définition des responsabilités partagées, le durcissement des VM).
   • Examinez les contrôles ISO 27002 à travers le prisme de l'ISO 27018 si vous traitez des PII en tant que CSP public, en mettant en œuvre les objectifs de contrôle étendus (par exemple, concernant le consentement, la minimisation des données, la transparence, les droits des utilisateurs).
   • Mettez à jour votre SoA pour refléter l'applicabilité et l'état de mise en œuvre de ces contrôles spécifiques au cloud.
4. Mettez en œuvre des contrôles techniques et de politique :
   
   • Exemples ISO 27017 :
     
     • Documentez clairement les responsabilités partagées avec votre CSP/client (directive A.6.1.1).
     • Mettez en œuvre des procédures de suppression/retour d'actifs lors de la résiliation d'un service cloud (directives A.8.3.1, nouveau contrôle CLD.6.3.1).
     • Ségréger les environnements virtuels (directive A.13.1.3, nouveau contrôle CLD.9.5.1).
     • Renforcer les images de machines virtuelles (nouveau contrôle CLD.9.5.2).
     • Définir et mettre en œuvre une surveillance spécifique de la sécurité des utilisateurs du cloud (conformément à la directive A.12.4.1).
   • Exemples ISO 27018 (pour les CSP traitant des DPI) :
     
     • S'engager contractuellement à ne pas traiter les PII à des fins autres que celles instruites par le client (directive A.18.1.4).
     • Maintenir la transparence concernant les sous-traitants traitant les données personnelles (PII) (directives A.15.1.1, A.15.1.2).
     • Mettez en œuvre des mécanismes pour soutenir la conformité des clients aux droits des personnes concernées (accès, rectification, effacement) (directives A.18.1.4).
     • Supprimez ou restituez les PII en toute sécurité à la résiliation du contrat (directives A.8.3.1, A.11.2.7).
     • Chiffrez les PII transmises sur les réseaux publics (conformément aux directives A.13.2.1, A.13.2.3).
     • Mettez en œuvre des procédures de notification de violation de données spécifiques aux PII (directives A.16.1).
5. Formation et sensibilisation : S'assurer que le personnel concerné comprend les responsabilités en matière de sécurité du cloud (ISO 27017) et les obligations de protection des PII (ISO 27018).
6. Audit : Inclure les contrôles ISO 27017 / ISO 27018 mis en œuvre dans le périmètre de vos audits ISO 27001 internes et externes.

L'accent est mis sur l'application de perspectives spécifiques de protection du cloud et des PII à vos contrôles ISMS existants.

Erreurs courantes à éviter

Erreurs courantes lors de la gestion des normes ISO 27017 / 27018 :

1. Les considérer comme des certifications autonomes : Ce sont des codes de pratique qui complètent l'ISO 27001, et non des certifications indépendantes.
2. Ignorer la base ISO 27001 : Tenter de mettre en œuvre les contrôles 27017/27018 sans un SMIS ISO 27001 approprié en place (évaluation des risques, SoA, etc.).
3. Définition incorrecte du périmètre: Ne pas inclure les services cloud pertinents ou les activités de traitement des PII dans le périmètre du SMSI.
4. Négligence de la responsabilité partagée (ISO 27017) : Supposer que le CSP gère tout, ou ne pas documenter clairement les responsabilités entre le fournisseur et le client.
5. Focalisation insuffisante sur les PII (ISO 27018) : Pour les CSP, ne pas comprendre ou implémenter pleinement les exigences spécifiques en matière de consentement, de transparence, de support des droits des personnes concernées et de limitations sur l'utilisation des PII.
6. Manque d'implémentation technique : Traiter les directives comme de simples politiques sans implémenter les contrôles techniques nécessaires (par exemple, chiffrement, contrôles d'accès, configurations sécurisées spécifiques à l'environnement cloud).
7. Oublier le rôle du client (ISO 27017) : Les clients Cloud ont également des responsabilités définies dans l'ISO 27017 ; ce n'est pas seulement pour les fournisseurs.

Ce que les auditeurs demanderont (Focus Développeur)

Lors d'un audit ISO 27001 incluant ISO 27017 / 27018 dans son périmètre, les auditeurs pourraient poser des questions relatives aux opérations cloud et au traitement des PII :

• (27017) "Comment assurez-vous la configuration sécurisée et le durcissement des images de machines virtuelles déployées dans le cloud ?" (CLD.9.5.2)
• (27017) "Montrez-moi la documentation définissant les responsabilités en matière de sécurité entre vous (en tant que client/fournisseur) et votre fournisseur/client cloud." (A.6.1.1 guidance)
• (27017) "Comment surveillez-vous les événements de sécurité spécifiquement au sein de votre environnement cloud ?" (A.12.4.1 guidance)
• (27017) "Quelles procédures sont en place pour la suppression sécurisée de vos données/actifs lors de la résiliation du service cloud ?" (CLD.6.3.1)
• (27018 - pour les CSP) "Comment votre système prend-il en charge la capacité de votre client à répondre aux demandes d'accès ou d'effacement des données des personnes concernées pour les PII que vous traitez ?" (A.18.1.4 guidance)
• (27018 - pour les CSP) "Comment assurez-vous que les PII ne sont pas utilisées à des fins de marketing/publicité sans consentement explicite ?" (Purpose limitation principle)
• (27018 - pour les CSP) "Quelles techniques cryptographiques sont utilisées pour protéger les PII en transit et au repos au sein de votre service cloud ?" (A.10.1 / A.13.2.1 guidance)
• (27018 - pour les CSP) "Comment informez-vous les clients des sous-traitants impliqués dans le traitement de leurs PII ?" (A.15.1.1 / A.15.1.2 guidance)

Ils rechercheront des preuves que les directives spécifiques de protection du cloud et des PII ont été prises en compte et mises en œuvre au sein du SMIS.

Gains rapides pour les équipes de développement

S'aligner sur les principes ISO 27017 / 27018 peut commencer ici :

1. Comprenez le rôle de votre fournisseur cloud (ISO 27017) : Examinez la documentation du modèle de responsabilité partagée de votre CSP. Sachez quelle sécurité il gère et ce que vous devez gérer dans la couche application/configuration.
2. Renforcer les images de VM/conteneurs (ISO 27017) : Utiliser des images de base minimales, supprimer les services inutiles et appliquer des configurations de sécurité avant le déploiement. (Lié à CLD.9.5.2)
3. Utiliser les outils de sécurité Cloud (ISO 27017) : Utiliser les outils intégrés des fournisseurs de cloud pour la surveillance, le contrôle d'accès (IAM) et la gestion de la configuration (comme AWS Config, Azure Policy).
4. Cartographier les flux de données PII (ISO 27018) : Si vous traitez des PII, comprenez exactement où elles entrent, comment elles sont traitées, où elles sont stockées et qui y accède au sein de votre application cloud.
5. Chiffrer les PII (ISO 27018) : Prioriser le chiffrement des PII aussi bien en transit (TLS) qu'au repos (chiffrement de base de données/stockage).
6. Plan pour les droits des personnes concernées (ISO 27018) : Lors de la conception de fonctionnalités impliquant des PII, réfléchissez à la manière dont vous récupéreriez, corrigeriez ou supprimeriez techniquement les données de cet utilisateur spécifique si cela était demandé.

Ignorez ceci et... (Conséquences de l'échec)

Étant donné que ISO 27017 / 27018 sont évaluées dans le cadre d'un audit ISO 27001, un « échec » signifie généralement la réception de non-conformités lors de cet audit :

• Échec de l'audit ISO 27001 : Des non-conformités majeures liées à des contrôles 27017/27018 non implémentés (si dans le périmètre) peuvent compromettre votre certification ISO 27001 elle-même, entraînant une suspension ou un échec de la certification.
• Perte de confiance : Ne pas démontrer l'adhésion aux meilleures pratiques de sécurité du cloud (ISO 27017) ou de protection des PII (ISO 27018) nuit à la confiance des clients et partenaires qui dépendent de vos services cloud.
• Problèmes Contractuels/de Marché : L'incapacité à satisfaire aux exigences contractuelles spécifiant l'adhésion à ces normes, entraînant potentiellement la perte d'affaires ou d'accès au marché.
• Risque accru : Ignorer les directives signifie potentiellement manquer des contrôles de sécurité cruciaux spécifiques au cloud ou des mesures de protection des PII, augmentant le risque de violations ou d'atteintes à la vie privée.
• Non-conformité réglementaire : Pour ISO 27018, le non-respect de ses directives de protection des PII pourrait entraîner une non-conformité avec des réglementations comme le RGPD, menant à des amendes et des actions en justice.

FAQ

Puis-je être certifié directement selon ISO 27017 ou ISO 27018 ?

Non. Ce sont des codes de bonne pratique, pas des normes de système de management. La conformité est évaluée dans le cadre d'un audit de certification ISO 27001 où ces normes sont incluses dans le périmètre.

Ai-je besoin des deux normes ISO 27017 et ISO 27018 ?

Pas nécessairement. ISO 27017 est pertinente pour presque toute organisation utilisant ou fournissant des services cloud significatifs. ISO 27018 est spécifiquement pertinente pour les fournisseurs de services Cloud publics qui traitent des informations personnelles identifiables (PII) pour le compte de leurs clients. Si vous êtes un CSP traitant des PII, vous considéreriez probablement les deux. Si vous êtes un client cloud ne traitant pas de PII significatives dans le cloud, seule ISO 27017 pourrait être pertinente.

Quel est le lien entre les normes ISO 27017/27018 et ISO 27001 ?

Ce sont des extensions qui fournissent des directives de mise en œuvre détaillées pour des contrôles spécifiques des normes ISO 27001/27002 dans le contexte du cloud computing (ISO 27017) et de la protection des PII dans le cloud (ISO 27018). Un SMIS ISO 27001 est nécessaire comme fondation.

L'ISO 27017 est-elle uniquement destinée aux fournisseurs de services Cloud (FSC) ?

Non. L'ISO 27017 fournit des lignes directrices pour les deux, les fournisseurs de services Cloud (CSP) et les clients de services Cloud (CSC), clarifiant les responsabilités de chaque partie.

L'ISO 27018 est-elle uniquement destinée aux fournisseurs de services Cloud (FSC) ?

Principalement, oui. L'ISO 27018 se concentre sur les exigences pour les CSP agissant en tant que sous-traitants de PII. Les clients Cloud (responsables du traitement des PII) pourraient l'utiliser pour évaluer les CSP, mais la charge de l'implémentation incombe principalement au fournisseur.

La mise en œuvre de la norme ISO 27018 me rend-elle conforme au RGPD ?

Pas automatiquement, mais cela aide considérablement. ISO 27018 fournit un cadre solide aux CSP pour répondre à de nombreuses exigences du RGPD liées au traitement des PII (obligations de l'Article 28), telles que la sécurité, la transparence, la sous-traitance et l'assistance aux droits des personnes concernées. C'est un outil précieux pour démontrer la conformité au RGPD pour le traitement des PII dans le cloud.

Comment sont-ils audités ?

Un organisme de certification accrédité réalise un audit ISO 27001. Si les normes ISO 27017 / 27018 sont incluses dans le périmètre de votre SMSI et votre Déclaration d'Applicabilité, l'auditeur évaluera votre mise en œuvre des contrôles et des directives pertinents de ces normes pendant le processus d'audit ISO 27001.