La vision de Cyber Academy
ISO 27017 est l'extension de contrôles de sécurité cloud adossée à ISO 27001. Elle ajoute des contrôles spécifiques au cloud et précise la répartition des responsabilités entre prestataire et client. Si votre périmètre ISMS inclut des charges de travail hyperscaler (AWS, Azure, GCP, OVH), les auditeurs vous demanderont quels contrôles 27017 vous appliquez.
Ce qu'ISO/IEC 27017 ajoute concrètement
ISO/IEC 27017 n'est pas un schéma de certification autonome. C'est un code de bonnes pratiques qui se superpose à ISO/IEC 27002, le guide de mise en œuvre des mesures d'ISO/IEC 27001. Là où 27002 décrit une mesure de sécurité de l'information générique, 27017 ajoute des recommandations de mise en œuvre propres au cloud pour cette même mesure, et introduit par endroits des mesures supplémentaires qui n'ont de sens qu'à partir du moment où vos données résident sur une infrastructure que vous ne possédez pas. Ainsi, lorsque vous l'adoptez, vous ne pilotez pas un SMSI parallèle. Vous étendez celui que vous certifiez déjà au regard d'ISO 27001 pour qu'il parle le langage du cloud.
L'intérêt pratique est qu'il oblige les deux parties de la relation cloud à formaliser les choses par écrit. La norme est délibérément structurée de sorte que chaque recommandation possède une version pour le fournisseur de services cloud et une version pour le client de services cloud. Ce double cadrage est tout l'enjeu. Une mesure comme la gestion des accès ou le traitement des clés cryptographiques signifie quelque chose de différent selon que vous êtes le hyperscaler qui exploite la plateforme ou le locataire qui y déploie des charges de travail, et 27017 rend cette répartition explicite au lieu de la laisser à la supposition.
Une responsabilité partagée, rendue auditable
Toute conversation sur la sécurité du cloud aboutit tôt ou tard à la responsabilité partagée : le fournisseur sécurise l'infrastructure, le client sécurise ce qu'il y dépose. Le problème, c'est que la frontière se déplace selon le modèle de service. Avec l'infrastructure as a service, le client est responsable du système d'exploitation, des correctifs et de la majeure partie de la configuration. Avec le software as a service, presque tout incombe au fournisseur, et il ne reste guère au client que l'identité, les accès et la gouvernance des données. ISO 27017 transforme ce schéma flou en quelque chose qu'un auditeur peut tester.
- Elle demande au fournisseur de documenter quelles responsabilités de sécurité il conserve et lesquelles il transfère au client, afin qu'il n'y ait pas de lacune silencieuse.
- Elle demande au client de confirmer qu'il comprend et qu'il a réellement mis en œuvre sa part, plutôt que de supposer que le fournisseur s'en charge.
- Elle ajoute des recommandations propres aux environnements multi-locataires, au durcissement des machines virtuelles, aux opérations d'administration et à la ségrégation des clients s'exécutant sur du matériel partagé.
- Elle traite du retrait et de la restitution des actifs à la fin d'un contrat, point sur lequel de nombreuses sorties du cloud échouent.
Où elle se situe par rapport à ses voisines
27017 est facile à confondre avec les normes qui l'entourent, il est donc utile de garder la famille au clair. ISO/IEC 27001 est le système de management certifiable. ISO/IEC 27002 est le guide général des mesures. ISO/IEC 27017 est l'extension de ce guide à la sécurité du cloud. ISO/IEC 27018 est la cousine qui se concentre spécifiquement sur la protection des informations personnelles identifiables dans le cloud public, ce qui compte lorsque vos charges de travail cloud transportent aussi des données à caractère personnel et que vous répondez à des obligations de protection de la vie privée en plus des obligations de sécurité.
| Norme | Rôle | Certifiable seule |
|---|---|---|
| ISO/IEC 27001 | Exigences du système de management de la sécurité de l'information | Oui |
| ISO/IEC 27002 | Guide général de mise en œuvre des mesures de sécurité | Non, guide |
| ISO/IEC 27017 | Mesures de sécurité propres au cloud et répartition fournisseur/client | Non, intégrée au périmètre 27001 |
| ISO/IEC 27018 | Protection des données à caractère personnel dans le cloud public | Non, intégrée au périmètre 27001 |
Pour un praticien, le déroulé est cohérent. Vous exploitez un SMSI ISO 27001, vous intégrez les charges de travail cloud dans son périmètre, et vous utilisez 27017 pour décider quelles mesures cloud vous cartographiez et comment vous apportez la preuve des deux versants de la ligne de responsabilité. Si ces charges de travail traitent aussi des données à caractère personnel, vous l'associez à 27018. Aucune de ces normes ne remplace votre diligence contractuelle vis-à-vis du fournisseur ; elles vous offrent une manière structurée de prouver que vous l'avez exercée.
Frequently asked questions
01Peut-on être certifié ISO 27017 à lui seul ?
Non. ISO/IEC 27017 est un code de bonnes pratiques, pas un système de management certifiable. Les organisations certifient leur SMSI au regard d'ISO/IEC 27001 en intégrant 27017 dans le périmètre, puis apportent la preuve des mesures cloud qu'elles ont cartographiées.
02En quoi ISO 27017 diffère-t-elle d'ISO 27002 ?
ISO 27002 fournit un guide général des mesures de sécurité. ISO 27017 reprend ce guide et y ajoute des détails de mise en œuvre propres au cloud, ainsi que des mesures supplémentaires pour le cloud, avec une vue distincte pour le fournisseur et pour le client.
03Quel est le lien entre ISO 27017 et ISO 27018 ?
Ce sont des cousines reposant sur le même SMSI. 27017 couvre la sécurité du cloud au sens large, tandis que 27018 se concentre sur la protection des informations personnelles identifiables dans le cloud public. Si vos charges de travail cloud transportent des données à caractère personnel, vous utilisez généralement les deux.
04ISO 27017 définit-elle le modèle de responsabilité partagée ?
Elle le rend auditable. La norme structure ses recommandations de sorte que le fournisseur documente les responsabilités qu'il conserve et celles qu'il transfère, et que le client confirme et mette en œuvre sa part, supprimant ainsi les lacunes silencieuses.
05Qui devrait s'intéresser à ISO 27017 ?
Toute organisation dont le périmètre du SMSI inclut des charges de travail chez des hyperscalers tels qu'AWS, Azure, GCP ou OVH. Les auditeurs demanderont quelles mesures de 27017 vous cartographiez sur ces charges de travail et comment chaque versant de la répartition des responsabilités est mis en œuvre.