TL;DR 

Les normes ISO 27017 et 27018 sont des extensions de la norme ISO 27001 axées sur l'informatique dématérialisée.

27017 = contrôles de sécurité pour la responsabilité partagée dans l'infrastructure en nuage (CSPs + clients).

27018 = comment traiter les données personnelles (PII) dans le cloud public.

Pas de certificats séparés - généralement examinés lors des audits ISO 27001. Un signal fort pour l'alignement sur le GDPR et les pratiques de cloud sécurisé.

Résumé du tableau de bord ISO 27017 / 27018 :

• Effort du développeur : Modéré (il faut comprendre les responsabilités de l'informatique dématérialisée, mettre en œuvre des configurations de sécurité spécifiques à l'informatique dématérialisée et, le cas échéant, créer des fonctions de gestion des informations confidentielles et des droits). L'effort s'ajoute à celui de la norme ISO 27001.
• Coût de l'outillage : Coût marginal minime par rapport à ISO 27001 (utilise l'outillage ISO 27001 existant ; les coûts sont principalement liés à la mise en œuvre de contrôles spécifiques tels que la surveillance renforcée ou le cryptage s'ils n'existent pas déjà).
• Impact sur le marché : élevé (en particulier pour les FSC et les entreprises qui utilisent massivement l'informatique dématérialisée ; la norme ISO 27018 est essentielle pour démontrer la protection des informations nominatives dans l'informatique dématérialisée dans le cadre du GDPR).
• Flexibilité : Modérée (fournit des orientations et des contrôles spécifiques dans le cadre flexible de la norme ISO 27001).
• Intensité de l'audit : Évalué dans le cadre d'un audit ISO 27001 de haute intensité (ajoute des domaines spécifiques que les auditeurs doivent examiner de près en ce qui concerne l'informatique dématérialisée et les informations confidentielles).

Que sont les normes ISO 27017 / 27018 ?

ISO/IEC 27017 et ISO/IEC 27018 sont des normes internationales de la famille ISO 27000, qui fournissent des orientations sectorielles pour l'informatique en nuage. Elles s'appuient sur le cadre général et les contrôles de la norme ISO 27001 et de la norme ISO 27002 (qui fournit des conseils de mise en œuvre pour les contrôles de l'annexe A).

• ISO/IEC 27017:2015 (Code de bonne pratique pour les contrôles de sécurité de l'information basés sur l'ISO/IEC 27002 pour les services en nuage) :
  
  • Fournit des orientations sur les 37 contrôles de la norme ISO 27002 qui concernent spécifiquement la sécurité des nuages.
  • Introduit 7 nouveaux contrôles spécifiques à l'informatique en nuage qui ne sont pas présents dans la norme ISO 27002, couvrant des domaines tels que le partage des rôles et des responsabilités, la surveillance des services en nuage, le durcissement des machines virtuelles et le retrait des actifs pour les clients.
  • Clarifie les rôles et les responsabilités entre le fournisseur de services en nuage (CSP) et le client de services en nuage (CSC) pour la mise en œuvre de chaque contrôle.
  • Se concentre largement sur la gestion de la sécurité de l'information dans l'informatique dématérialisée.
• ISO/IEC 27018:2019 (Code de bonne pratique pour la protection des informations personnelles identifiables (PII) dans les nuages publics agissant en tant que processeurs de PII) :
  
  • Se concentre spécifiquement sur la protection des IPI traitées par les FSC publics.
  • Il fixe des objectifs et fournit des orientations pour la mise en œuvre de contrôles visant à répondre aux exigences en matière de protection des informations confidentielles.
  • Elle aborde des principes tels que le consentement et le choix, la légitimité de la finalité, la minimisation des données, la limitation de l'utilisation, de la conservation et de la divulgation, l'exactitude, les garanties de sécurité, la transparence et la responsabilité des responsables du traitement des informations nominatives.
  • S'aligne étroitement sur les réglementations en matière de protection de la vie privée telles que le GDPR.
  • Ses contrôles étendent largement les contrôles ISO 27002 existants avec des interprétations spécifiques pour la protection des IIP dans l'informatique dématérialisée.

Il est important de noter que ni la norme ISO 27017 ni la norme ISO 27018 ne sont des normes de système de gestion comme la norme ISO 27001. Vous n'obtenez pas directement la certification selon les normes 27017 ou 27018. En revanche, vous mettez en œuvre leurs orientations dans le cadre d 'un système de gestion de la sécurité de l'information (SGSI) conforme à la norme ISO 27001, et un auditeur évalue la mise en œuvre de ces contrôles spécifiques lors de l'audit de la norme ISO 27001.

Pourquoi sont-ils importants ?

Bien qu'elles soient des extensions de la norme ISO 27001, les normes ISO 27017 et ISO 27018 sont essentielles pour les organisations qui utilisent ou fournissent des services en nuage :

• Clarification des responsabilités dans l'informatique dématérialisée : La norme ISO 27017 aborde spécifiquement le modèle de responsabilité partagée dans l'informatique dématérialisée, qui est souvent source de confusion, en aidant les CSP et les clients à comprendre qui est responsable de quels contrôles de sécurité.
• Renforce la confiance dans les services en nuage : La démonstration de l'alignement sur ces normes garantit aux clients qu'un CSP suit les meilleures pratiques en matière de sécurité du cloud(ISO 27017) et de protection des informations confidentielles(ISO 27018).
• Prise en compte des risques spécifiques à l'informatique en nuage : La norme ISO 27017 fournit des orientations adaptées aux menaces et vulnérabilités spécifiques à l'informatique en nuage (par exemple, la sécurité de la virtualisation, la séparation de l'environnement du client).
• Prise en charge de la conformité en matière de protection de la vie privée (GDPR, etc.) : La norme ISO 27018 fournit un cadre clair pour que les CSP respectent les obligations des processeurs en vertu du GDPR et d'autres lois sur la protection de la vie privée, en mettant l'accent sur la transparence, le consentement et les droits des sujets de données liés aux IPI.
• Avantage concurrentiel : Pour les CSP, la démonstration de l'adhésion (souvent par l'inclusion dans le champ d'application d'un audit ISO 27001) est un différentiateur important sur le marché, en particulier lorsqu'il s'agit d'industries réglementées ou de clients soucieux de la protection de la vie privée.
• Amélioration de la sécurité : La mise en œuvre des contrôles supplémentaires et des orientations renforce véritablement les pratiques en matière de sécurité et de respect de la vie privée dans l'environnement "cloud".

Elles traduisent essentiellement les principes généraux de la norme ISO 27001/27002 dans le contexte spécifique de l'informatique en nuage et du traitement des informations nominatives dans ce cadre.

Quoi et comment mettre en œuvre (technique et politique)

La mise en œuvre se fait dans le cadre d'un SMSI ISO 27001 existant ou planifié :

1. Définition du champ d'application (dans le cadre de la norme ISO 27001) : Veillez à ce que le champ d'application de votre SMSI englobe clairement les services en nuage que vous fournissez ou consommez.
2. Évaluation des risques (dans le cadre de la norme ISO 27001) : Identifier spécifiquement les risques liés à l'informatique dématérialisée (en utilisant les orientations de la norme ISO 27017 ) et les risques liés au traitement des informations nominatives dans l'informatique dématérialisée (en utilisant les orientations de la norme ISO 27018 ).
3. Sélection des contrôles (déclaration d'applicabilité - SoA) :
   
   • Examiner les contrôles ISO 27002 sous l'angle de la norme ISO 27017, en tenant compte des orientations spécifiques à l'informatique dématérialisée pour les CSP et les CSC.
   • Mettre en œuvre les 7 nouveaux contrôles de la norme ISO 27017, le cas échéant, en fonction du risque (par exemple, définition des responsabilités partagées, durcissement de la VM).
   • Examiner les contrôles ISO 27002 sous l'angle de la norme ISO 27018 si l'on traite des IIP en tant que CSP public, en mettant en œuvre les objectifs de contrôle étendus (par exemple, en ce qui concerne le consentement, la minimisation des données, la transparence, les droits des utilisateurs).
   • Mettez à jour votre SdA pour refléter l'applicabilité et l'état de mise en œuvre de ces contrôles spécifiques à l'informatique dématérialisée.
4. Mettre en œuvre des contrôles techniques et politiques :
   
   • Exemples de la norme ISO 27017 :
     
     • Documentez clairement les responsabilités partagées avec votre CSP/client (conseils A.6.1.1).
     • Mettre en œuvre des procédures pour le retrait/la restitution des actifs lors de la résiliation d'un service en nuage (orientations A.8.3.1, nouveau contrôle CLD.6.3.1).
     • Séparer les environnements virtuels (conseils A.13.1.3, nouveau contrôle CLD.9.5.1).
     • Durcir les images des machines virtuelles (nouveau contrôle CLD.9.5.2).
     • Définir et mettre en œuvre un contrôle spécifique de la sécurité des utilisateurs de l'informatique en nuage (orientations A.12.4.1).
   • Exemples de la norme ISO 27018 (pour les CSP qui traitent des informations confidentielles) :
     
     • s'engager contractuellement à ne pas traiter les IPI à des fins autres que celles indiquées par le client (A.18.1.4).
     • Maintenir la transparence sur les sous-traitants qui traitent les IPI (lignes directrices A.15.1.1, A.15.1.2).
     • Mettre en œuvre des mécanismes permettant au client de respecter les droits des personnes concernées (accès, rectification, effacement) (A.18.1.4).
     • Supprimer ou restituer les IPI en toute sécurité à la fin du contrat (A.8.3.1, A.11.2.7).
     • Chiffrer les IPI transmises sur les réseaux publics (orientations A.13.2.1, A.13.2.3).
     • Mettre en œuvre des procédures de notification des violations de données spécifiques aux IPI (lignes directrices A.16.1).
5. Formation et sensibilisation : Veiller à ce que le personnel concerné comprenne les responsabilités en matière de sécurité du cloud(ISO 27017) et les obligations en matière de protection des informations confidentielles(ISO 27018).
6. Audit : Incluez les contrôles ISO 27017 / ISO 27018 mis en œuvre dans le champ d'application de vos audits internes et externes ISO 27001.

L'accent est mis sur l'application d'objectifs spécifiques de protection de l'informatique en nuage et des IIP à vos contrôles ISMS existants.

Les erreurs courantes à éviter

Erreurs courantes dans le cadre des normes ISO 27017 / 27018:

1. Les traiter comme des certifications autonomes : Il s'agit de codes de pratique qui complètent la norme ISO 27001, et non de certifications indépendantes.
2. Ignorer les fondements de la norme ISO 27001 : Essayer de mettre en œuvre les contrôles 27017/27018 sans avoir mis en place un SMSI ISO 27001 approprié (évaluation des risques, SdA, etc.).
3. Ne pas définir correctement le champ d'application : Ne pas inclure les services en nuage ou les activités de traitement des informations confidentielles dans le champ d'application du SMSI.
4. Négliger la responsabilité partagée (ISO 27017) : Supposer que le CSP s'occupe de tout, ou ne pas documenter clairement les responsabilités entre le fournisseur et le client.
5. Une attention insuffisante portée aux IIP (ISO 27018) : Pour les CSP, il s'agit d'une incompréhension ou d'une mise en œuvre incomplète des exigences spécifiques en matière de consentement, de transparence, de soutien aux droits des personnes concernées et de limitation de l'utilisation des informations nominatives.
6. Absence de mise en œuvre technique : Traiter les orientations comme une simple politique sans mettre en œuvre les contrôles techniques nécessaires (par exemple, le cryptage, les contrôles d'accès, les configurations sécurisées spécifiques à l'environnement en nuage).
7. Oublier le rôle du client (ISO 27017) : Les clients de l'informatique en nuage ont également des responsabilités définies dans la norme ISO 27017 ; cette norme n'est pas réservée aux fournisseurs.

Ce que les auditeurs demanderont (Developer Focus)

Lors d'un audit ISO 27001 incluant les normes ISO 27017 / 27018, les auditeurs peuvent poser des questions sur les opérations en nuage et le traitement des informations confidentielles :

• (27017) "Comment assurez-vous la configuration sécurisée et le durcissement des images de machines virtuelles déployées dans le nuage ?" (CLD.9.5.2)
• (27017) "Montrez-moi la documentation définissant les responsabilités en matière de sécurité entre vous (en tant que client/fournisseur) et votre fournisseur/client de services en nuage." (A.6.1.1 guidance)
• (27017) "Comment surveillez-vous les événements de sécurité spécifiquement dans votre environnement en nuage ?" (A.12.4.1 guidance)
• (27017) "Quelles sont les procédures en place pour supprimer en toute sécurité vos données/actifs lors de la résiliation du service en nuage ?" (CLD.6.3.1)
• (27018 - pour les FSC) "Comment votre système permet-il à votre client de répondre aux demandes d'accès ou d'effacement des personnes concernées par les IIP que vous traitez ?" (Recommandation A.18.1.4)
• (27018 - pour les FSC) "Comment vous assurez-vous que les IPI ne sont pas utilisées à des fins de marketing/publicité sans consentement explicite ?" (principe de limitation de la finalité)
• (27018 - pour les CSP) "Quelles sont les techniques cryptographiques utilisées pour protéger les IPI en transit et au repos dans votre service en nuage ?" (Orientations A.10.1 / A.13.2.1)
• (27018 - pour les CSP) "Comment informez-vous les clients sur les sous-traitants impliqués dans le traitement de leurs IPI ?" (A.15.1.1 / A.15.1.2 guidance)

Ils chercheront à prouver que les directives spécifiques relatives à la protection des informations confidentielles et du cloud computing ont été prises en compte et mises en œuvre dans le cadre du SMSI.

Des gains rapides pour les équipes de développement

L'alignement sur les principes ISO 27017 / 27018 peut commencer ici :

1. Comprendre le rôle de votre fournisseur de services en nuage (ISO 27017) : Examinez la documentation du modèle de responsabilité partagée de votre CSP. Sachez ce qu'il fait en matière de sécurité et ce que vous devez faire au niveau de la couche application/configuration.
2. Durcir les images des machines virtuelles et des conteneurs (ISO 27017) : Utiliser des images de base minimales, supprimer les services inutiles et appliquer des configurations de sécurité avant le déploiement. (Relatif à CLD.9.5.2)
3. Exploiter les outils de sécurité de l'informatique en nuage (ISO 27017) : Utiliser les outils intégrés des fournisseurs de cloud pour la surveillance, le contrôle d'accès (IAM) et la gestion de la configuration (comme AWS Config, Azure Policy).
4. Cartographier les flux de données PII (ISO 27018) : Si vous manipulez des IIP, comprenez exactement où elles entrent, comment elles sont traitées, où elles sont stockées et qui y accède au sein de votre application en nuage.
5. Chiffrer les IPI (ISO 27018) : Donner la priorité au cryptage des IPI en transit (TLS) et au repos (cryptage de la base de données/du stockage).
6. Prévoir les droits des personnes concernées (ISO 27018) : Lorsque vous concevez des fonctionnalités impliquant des IPI, réfléchissez à la manière dont vous pourriez techniquement récupérer, corriger ou supprimer les données d'un utilisateur spécifique si celui-ci en faisait la demande.

Ignorez ceci et... (Conséquences de l'échec)

Étant donné que les normes ISO 27017 et 27018 sont évaluées dans le cadre d'un audit ISO 27001, le terme "échec" signifie généralement l'obtention de non-conformités au cours de cet audit :

• Échec de l'audit ISO 27001 : Des non-conformités majeures liées à des contrôles 27017/27018 non mis en œuvre (s'ils sont dans le champ d'application) peuvent mettre en péril votre certification ISO 27001 elle-même, conduisant à la suspension ou à l'échec de la certification.
• Perte de confiance : Le fait de ne pas démontrer le respect des meilleures pratiques en matière de sécurité du cloud(ISO 27017) ou de protection des informations confidentielles(ISO 27018) nuit à la confiance des clients et des partenaires qui font appel à vos services de cloud.
• Problèmes contractuels/de marché : Incapacité à respecter les exigences contractuelles qui spécifient l'adhésion à ces normes, ce qui peut entraîner la perte de marchés ou d'accès au marché.
• Risque accru : ignorer le guide signifie potentiellement manquer des contrôles de sécurité cruciaux spécifiques à l'informatique dématérialisée ou des mesures de protection des informations confidentielles, ce qui augmente le risque d'infractions ou de violations de la vie privée.
• Non-conformité réglementaire : Pour la norme ISO 27018, le fait de ne pas mettre en œuvre ses orientations en matière de protection des IIP pourrait contribuer à la non-conformité avec des réglementations telles que le GDPR, entraînant des amendes et des poursuites judiciaires.

FAQ

Puis-je obtenir directement la certification ISO 27017 ou ISO 27018 ?

Il s'agit de codes de pratique et non de normes de systèmes de gestion. La conformité est évaluée dans le cadre d'un audit de certification ISO 27001 lorsque ces normes sont incluses dans le champ d'application.

Ai-je besoin des deux normes ISO 27017 et ISO 27018 ?

Pas nécessairement. La norme ISO 27017 s'applique à presque toutes les organisations qui utilisent ou fournissent des services en nuage importants. La norme ISO 27018 concerne plus particulièrement les fournisseurs de services d'informatique en nuage qui traitent des informations d'identification personnelle (PII) pour le compte de leurs clients. Si vous êtes un CSP traitant des PII, vous devriez probablement envisager les deux. Si vous êtes un client de l'informatique en nuage qui ne traite pas d'IPI importantes dans l'informatique en nuage, seule la norme ISO 27017 peut être pertinente.

Comment les normes ISO 27017/27018 s'articulent-elles avec la norme ISO 27001 ?

Ces extensions fournissent des lignes directrices détaillées pour la mise en œuvre de contrôles ISO 27001/27002 spécifiques dans le contexte de l'informatique en nuage(ISO 27017) et de la protection des informations confidentielles en nuage(ISO 27018). Vous avez besoin d'un SMSI ISO 27001 comme base.

La norme ISO 27017 est-elle réservée aux fournisseurs de services en nuage (CSP) ?

Non. La norme ISO 27017 fournit des orientations aux fournisseurs de services en nuage (CSP) et aux clients de services en nuage (CSC), en clarifiant les responsabilités de chaque partie.

La norme ISO 27018 est-elle réservée aux fournisseurs de services d'informatique dématérialisée (CSP) ?

En premier lieu, oui. La norme ISO 27018 se concentre sur les exigences applicables aux CSP agissant en tant que processeurs d'informations nominatives. Les clients de l'informatique en nuage (contrôleurs d'informations nominatives) peuvent l'utiliser pour évaluer les FSC, mais la charge de la mise en œuvre incombe principalement au fournisseur.

La mise en œuvre de la norme ISO 27018 me rend-elle conforme au GDPR ?

Ce n'est pas automatique, mais c'est très utile. La norme ISO 27018 fournit un cadre solide permettant aux FSC de satisfaire à de nombreuses exigences du GDPR liées au traitement des IPI (obligations au titre de l'article 28), telles que la sécurité, la transparence, le sous-traitement et l'assistance en matière de droits des personnes concernées. Il s'agit d'un outil précieux pour démontrer l'alignement du GDPR pour le traitement des PII dans l'informatique dématérialisée.

Comment sont-elles contrôlées ?

Un organisme de certification accrédité effectue un audit ISO 27001. Si les normes ISO 27017 / 27018 sont incluses dans le champ d'application de votre SMSI et dans votre déclaration d'applicabilité, l'auditeur évaluera votre mise en œuvre des contrôles et des orientations pertinents de ces normes au cours du processus d'audit ISO 27001.