85 % des organisations devraient faire face à au moins un incident de sécurité cloud d'ici la fin de 2024.

Les environnements cloud sont particulièrement sensibles aux incidents de cybersécurité et aux violations de données en raison d'une combinaison de configurations complexes, d'ambiguïtés de responsabilité partagée, de défis de contrôle d'accès, d'API non sécurisées, de risques d'exposition de données, d'erreurs humaines et d'attaques ciblées.

ISO 27017 fournit un cadre complet pour aider les organisations à mettre en œuvre des pratiques de sécurité spécifiques à la protection des environnements cloud contre ces menaces complexes. En adoptant ce cadre, les organisations peuvent systématiquement relever les défis de sécurité du cloud computing, garantissant ainsi une posture de sécurité cloud robuste et fiable.

Dans cet article, nous explorerons les aspects clés de la conformité ISO 27017, ses avantages, les exigences en matière de contrôle, sa relation avec ISO 27001 et les étapes pour obtenir la certification.

Qu'est-ce que l'ISO/IEC 27017:2015 ?

ISO/IEC 27017:2015 est une norme de sécurité de l'information pour les services cloud. Elle s'appuie sur le cadre largement reconnu ISO/IEC 27002, qui décrit des contrôles généraux de sécurité de l'information, en les adaptant spécifiquement aux environnements de cloud computing.

ISO/IEC 27017:2015 se concentre sur :

1. Des contrôles spécifiques au cloud : Il offre des conseils spécifiques sur la mise en œuvre de contrôles de sécurité de l'information pour les fournisseurs de services cloud (CSP) et/ou les clients de services cloud (CSC).
2. Des mesures de sécurité renforcées : Il inclut des mesures de sécurité supplémentaires qui répondent aux risques et aux défis uniques associés au cloud computing, tels que l'isolation des données, la sécurité des machines virtuelles et l'administration des services cloud.
3. Complémentaire à ISO 27001 : Bien que l'ISO 27017 se concentre sur les contrôles spécifiques au cloud, il est conçu pour être utilisé en conjonction avec ISO 27001, qui fournit le cadre général pour un Système de Management de la Sécurité de l'Information (SMSI).

Conseils de mise en œuvre : Il fournit des conseils pratiques sur la façon de mettre en œuvre et de gérer ces contrôles efficacement pour assurer la sécurité des services et des données cloud.

ISO 27017 vs ISO 27001/ISO 27002 : Comment les normes sont liées

ISO 27017, ISO 27001 et ISO 27002 font tous partie de la série de normes ISO/IEC 27000, qui se concentre sur la gestion de la sécurité de l'information. Chaque norme a un rôle et un objectif spécifiques, se complétant mutuellement pour fournir une approche complète de la sécurité de l'information.

ISO 27001 est la norme principale qui définit les exigences pour la création d'un Système de Management de la Sécurité de l'Information (SMSI). Elle fournit une approche systématique pour protéger les informations sensibles à travers les personnes, les processus, les technologies et la gestion des risques. Les organisations peuvent compléter un audit externe par un organisme de certification accrédité pour obtenir la certification ISO 27001.

ISO 27002 est un cadre de guidage complémentaire à l'ISO 27001, qui détaille les contrôles de sécurité que les organisations peuvent mettre en œuvre pour construire, maintenir et améliorer continuellement leur SMSI en fonction de leurs besoins spécifiques et des évaluations des risques.

ISO 27017 se base encore sur l'ISO 27001 en fournissant des contrôles et des orientations supplémentaires spécifiques aux environnements de cloud computing. Les organisations qui construisent et/ou maintiennent un SMSI basé sur l'ISO 27001 peuvent utiliser l'ISO 27017 pour assurer des contrôles de sécurité cloud efficaces.

En intégrant l'ISO/IEC 27017 avec l'ISO 27001, les organisations peuvent garantir une posture de sécurité forte qui offre une couverture complète des contrôles de sécurité de l'information, y compris ceux propres aux services cloud.

Votre organisation devrait-elle mettre en œuvre l'ISO 27017 ?

La conformité à l'ISO 27017 n'est ni obligatoire ni exigée par la loi. Cependant, de nombreuses organisations choisissent de mettre en œuvre l'ISO 27017 en raison des avantages associés, notamment :

• Cybersécurité améliorée pour l'infrastructure cloud : La mise en œuvre de contrôles spécifiques au cloud aide les organisations à protéger les informations sensibles contre les menaces et les vulnérabilités liées au cloud.
• Gestion des risques améliorée pour les menaces spécifiques au cloud : l'ISO 27017 fournit une approche structurée pour identifier, évaluer et atténuer les risques spécifiquement associés au cloud computing.
• Confiance et crédibilité accrues : la conformité à l'ISO 27017 démontre aux clients, partenaires et parties prenantes que l'organisation suit les meilleures pratiques en matière de sécurité cloud, renforçant ainsi la confiance, la confiance et la fidélité.
• Alignement avec les normes et exigences réglementaires existantes : Comme elle complète l'ISO 27001, les organisations peuvent se baser sur leur SMSI existant et améliorer leurs mesures de sécurité pour les services cloud. Bien qu'elle ne garantisse pas la conformité, l'ISO 27017 aide également les organisations à répondre à de nombreuses exigences légales et réglementaires relatives à la protection des données dans le cloud.
• Différenciation concurrentielle : la certification ISO 27017 peut fournir une différenciation concurrentielle précieuse, mettant en évidence l'engagement de l'organisation envers les meilleures pratiques de sécurité des données cloud.
• Efficacité opérationnelle : des contrôles et des processus de sécurité standardisés peuvent conduire à des opérations plus efficaces et à moins d'incidents de sécurité. Une culture d'amélioration continue des pratiques de sécurité cloud aide également les organisations à être proactives et à rester à l'avant-garde des menaces et des vulnérabilités émergentes.

Déterminer si votre organisation bénéficierait de la conformité à l'ISO 27017 dépend en fin de compte de vos pratiques actuelles en matière de sécurité cloud, de vos besoins commerciaux et des exigences de vos clients.

Voici quelques questions à vous poser pour décider si la conformité à l'ISO 27017 est un choix judicieux pour votre organisation :

• Votre organisation dépend-elle fortement des services cloud pour ses opérations critiques et le stockage de données ? Votre organisation prévoit-elle d'étendre son utilisation des services cloud et souhaitez-vous vous assurer que des pratiques de sécurité robustes soient en place dès le départ ?
• Si vous utilisez plusieurs fournisseurs de services cloud, est-il nécessaire d'avoir des pratiques de sécurité standardisées pour tous ?
• Avez-vous déjà vécu ou craignez-vous des violations de données ou des incidents de sécurité liés aux services cloud ? Avez-vous une approche structurée pour la gestion des risques spécifiques au cloud ?
• Existe-t-il des normes légales, réglementaires ou industrielles qui imposent ou recommandent des mesures de sécurité spécifiques pour les services cloud ? Êtes-vous dans une industrie hautement réglementée (par exemple, finance, santé) avec des exigences strictes en matière de protection des données ?
• Vos clients ou partenaires attendent-ils ou préfèrent-ils que les fournisseurs de services cloud adhèrent à des normes de sécurité reconnues comme ISO 27017 ? La conformité à l'ISO 27017 pourrait-elle améliorer votre crédibilité et attirer plus de clients en montrant votre engagement envers la sécurité cloud ?
• Avez-vous les ressources et l'expertise nécessaires pour mettre en œuvre et maintenir la conformité à l'ISO 27017 ?
• Êtes-vous déjà conforme à l'ISO 27001 et souhaitez-vous améliorer votre SGSI pour couvrir des contrôles spécifiques au cloud ?

Si vos réponses indiquent une dépendance significative aux services cloud, un besoin de pratiques de sécurité cloud plus sécurisées, une demande des clients pour des garanties de sécurité ou des pressions réglementaires, alors chercher à obtenir la conformité à l'ISO 27017 serait probablement bénéfique pour votre organisation.

Organisations bénéficiant de l'ISO 27017

1. Fournisseurs de services cloud (CSP) : Organisations offrant des services cloud (IaaS, PaaS, SaaS) et voulant s'assurer qu'elles répondent aux normes internationales de sécurité de l'information. Les CSP désirant démontrer leur engagement à sécuriser les données des clients et à gérer efficacement les risques spécifiques au cloud.
2. Clients de services cloud (CSC) : Organisations utilisant des services cloud et voulant s'assurer que leurs fournisseurs de services respectent les meilleures pratiques de sécurité de l'information. Les CSC qui ont besoin de gérer leurs propres responsabilités dans le modèle de sécurité partagé de l'informatique en nuage.
3. Organisations en transition vers le cloud : Entreprises déplaçant leurs opérations ou leurs données vers le cloud et cherchant à établir des pratiques de sécurité robustes adaptées aux environnements cloud.
4. Industries hautement réglementées : Secteurs avec des exigences strictes en matière de protection et de sécurité des données (par exemple, finance, santé, gouvernement) qui doivent se conformer aux normes réglementaires et protéger les informations sensibles.

Exigences et contrôles ISO 27017

Les exigences ISO 27017 s'appuient sur les groupes de contrôle établis par ISO 27002, en améliorant ces contrôles avec des directives de mise en œuvre supplémentaires adaptées aux services cloud. Vous trouverez ci-dessous quelques exemples d'objectifs de contrôle ISO 27017.

1. Contrôles organisationnels

Rôles et responsabilités partagés dans l'environnement de cloud computing

• Objectif du contrôle : Définir et documenter clairement les rôles et responsabilités partagés des fournisseurs de services cloud (CSP) et des clients de services cloud (CSC). Assurer que toutes les parties comprennent leurs responsabilités respectives pour la mise en œuvre et le maintien des contrôles de sécurité.

2. Gestion des actifs

Retrait et retour des actifs du client de services cloud

• Objectif du contrôle : Établir des procédures pour le retrait et le retour des actifs des CSC à la résiliation d'un service cloud. Assurer le retour sécurisé et complet ou la suppression des données et des actifs des clients.

Protection et séparation de l'environnement virtuel du client

• Objectif du contrôle : Mettre en place des mécanismes pour protéger et isoler les environnements virtuels des CSC les uns des autres. Empêcher l'accès non autorisé et assurer l'isolation des données entre différents clients utilisant une infrastructure partagée.

Surveillance des activités par le client cloud

• Objectif de contrôle : Implémenter des mécanismes améliorés de journalisation et de surveillance spécifiques aux environnements cloud pour capturer et analyser les événements pertinents en matière de sécurité, en veillant à ce que les journaux soient protégés contre toute altération et accès non autorisé. Assurez-vous que les activités des services cloud sont journalisées et surveillées afin de détecter et de répondre efficacement aux incidents de sécurité.

Le processus de certification ISO 27017

Le processus de certification ISO/IEC 27017 reflète étroitement le processus de certification ISO 27001, y compris la mise en œuvre des contrôles, la préparation à l'audit, les audits de la phase 1 et de la phase 2 et le cycle de vie du certificat de trois ans. De plus, ISO 27017 est une extension d'ISO 27001, par conséquent, une organisation qui souhaite être certifiée sur ISO 27017 doit soit déjà être certifiée ISO 27001, soit se certifier à la fois pour ISO 27001 et 27017 en même temps.

Plongeons dans un aperçu détaillé du processus :

Étape 1 : Analyse des écarts

La première étape pour atteindre la conformité ISO 27017 consiste à comparer vos pratiques actuelles de sécurité cloud aux exigences ISO 27017 et à déterminer s'il existe des écarts.

Identifiez les domaines où vos pratiques ne répondent pas aux exigences de la norme, puis développez un plan d'atténuation pour remédier aux écarts identifiés. Assurez-vous de spécifier les délais, les ressources nécessaires et les personnes responsables de la mise en œuvre.

Étape 2 : Mise en œuvre des contrôles

Ensuite, il est temps de mettre en place les contrôles spécifiques au cloud nécessaires. Assurez-vous que les CSP et les CSC comprennent et remplissent leurs responsabilités respectives.

Créez ou mettez à jour la documentation pour refléter les contrôles mis en œuvre, y compris les politiques et les procédures, et assurez-vous que les documents sont accessibles aux parties prenantes concernées.

Si nécessaire, organisez des sessions de formation du personnel pour sensibiliser à l'importance de la sécurité des clouds, aux risques spécifiques de sécurité cloud auxquels l'entreprise est confrontée et aux politiques et processus spécifiques mis en œuvre pour garantir que le personnel comprend ses rôles et responsabilités.

Étape 3 : Audit interne

Une fois que vous avez mis en œuvre les contrôles et comblé les écarts dans votre posture de conformité, effectuez un audit interne pour déterminer l'efficacité des contrôles que vous avez mis en place. Évaluez le fonctionnement de vos contrôles de sécurité cloud dans la pratique et documentez toute action corrective.

Présentez les résultats de l'audit à la direction pour démontrer que la direction de l'entreprise s'engage à fournir le soutien nécessaire pour la conformité ISO 27017.

Étape 4 : Audits de certification

Maintenant que vous êtes prêt pour un audit de certification externe, vous devrez choisir un organisme de certification accrédité pour effectuer l'examen. Choisissez un organisme de certification reconnu et ayant de l'expérience avec ISO 27017.

Similaire à ISO 27001, l'audit de certification ISO initial lui-même est divisé en deux étapes.

Audit de la phase 1 (pré-évaluation) :

L'organisme de certification effectue un audit préliminaire pour examiner votre documentation et votre préparation à l'audit complet. Tout problème identifié à cette étape doit être résolu avant de passer à l'audit de la phase 2.

Audit de la phase 2 (audit de certification) :

L'auditeur effectue une évaluation complète de la mise en œuvre et de l'efficacité de vos contrôles de sécurité cloud. Cette étape comprendra des entretiens, des observations et des tests de contrôles.

Si l'organisme de certification est satisfait des résultats de l'audit, il délivrera une certification ISO/IEC 27017. Ce certificat est généralement valable trois ans, avec des audits de surveillance annuels entre les certifications pour garantir une conformité continue avec ISO 27017 et traiter toute non-conformité identifiée.

Après l'audit de certification initial, un cycle de vie de certificat de trois ans suit. Vous pouvez trouver plus de détails sur le processus de certification ISO 27001 ici.

Étape 5. Amélioration continue

Les organisations doivent surveiller et améliorer en permanence leurs pratiques de sécurité cloud. Pendant cette période, il est important de s'assurer que toutes les pratiques de sécurité cloud restent efficaces et conformes à la norme, et de documenter entièrement toute modification apportée aux systèmes et aux contrôles.

À la fin de la période de certification de trois ans, un audit de recertification sera nécessaire pour renouveler la certification ISO 27017.

Automatisez la conformité ISO 27017 avec Secureframe

La puissante plateforme d'automatisation de la sécurité et de la conformité de Secureframe prend en charge des dizaines de cadres de sécurité, y compris l'ISO 27017, rendant plus rapide et plus facile l'obtention de la certification ISO 27017 et la démonstration d'une posture de sécurité cloud solide.

• Intégrez Secureframe avec votre pile technologique pour cartographier rapidement les contrôles au cadre ISO 27017, évaluer votre niveau de conformité et identifier les lacunes de votre posture de sécurité
• Exploitez l'intelligence artificielle pour automatiser les processus de conformité tels que la réalisation d'évaluations des risques et la génération de politiques
• Plus de 200 intégrations profondes collectent automatiquement des preuves d'audit pour simplifier la préparation des audits
• Surveillez en continu les contrôles pour évaluer et maintenir la conformité année après année
• Bénéficiez d'un support dédié et d'orientations personnalisées de la part d'experts en sécurité et en conformité à chaque étape

En savoir plus sur la façon dont notre plateforme et notre équipe d'experts peuvent vous aider à atteindre la conformité ISO 27017 et ISO 27001, ou planifier une démo pour parler à un spécialiste produit.