ISO 27017:2015

ISO 27017

Code de pratiques pour le Cloud Computing
basées sur ISO/IEC 27002

Date de publication Decembre 2015
Nombre de pages (corps du document) 44
Nombre de pages (annexes) 10
Traduction en français Non Prévu

ISO/IEC 27017:2015 : Un besoin réel de normalisation

Il existe un besoin réel de rassurer les clients par rapport aux aspects de la sécurité des offres Cloud, notamment sur la disponibilité, la confidentialité, ainsi que l’usage qu'il peut être fait de leurs données

Les entreprises sont perdues vis à vis de la multiplication des acteurs internationaux, français, la multiplications des offres dans un environnement de plus en plus complexe :

  • IaaS (AWS, Azure, Cloudwatt, Numergy, ...)
  • PaaS
  • SaaS
  • PRA as a Service (voir offre de Nuabee)
  • CompaaS, DSaaS, NaaS et CaaS...

C'est d'antant plus vrai pour les Responsables Informatiques de PME qui ont un besoin de clarté et de lisibilité de ces offres et n'ont pas le temps d'analyser les centaines de pages de contrat Cloud.

ISO 27017 : une bonne réponse ?

Tout d'abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, ...), mais de la compléter :

  • en précisant les mesures de sécurité existantes dans la 27002 et en distinguant l'application de cette mesure soit :
    • vers le fournisseur Cloud 
    • vers le Client (et on sait que la plupart des grands évènements de sécurité des dernières années ont été provoqués par la non application par les Clients des règles de sécurité préconisées par le fournisseur du Cloud)
    • vers les 2 parties
  • en ajoutant des mesures de sécurité manquantes de la 27002 comme :
    • la délimitation des responsabilités entre fournisseurs Cloud et Client (de type matrice RACI), 
    • la traçabilité des actions des administrateurs du fournisseur du Cloud sur les environnements Clients (sujet hautement important), 
    • la communication des incidents de sécurité du fournisseur du Cloud vers ses Clients (pas le sujet où les fournisseurs sont les plus loquaces ...)
    • ...

Si cette norme n'est pas plus technique que les autres normes de la série 2700x, elle couvre bien l'ensemble des problématiques de sécurité du Cloud.

Les autres référentiels de sécurité Cloud

Il existe d'autres référentiels de sécurité en cours d'élaboration :

  • référentiel sur le cloud computing de l’ANSSI
  • certification STAR de la CSA (cloud security alliance)
  • ...

Les limites et les intérêts d'une norme ISO restent les mêmes, large diffusion et consensus, lenteur d'élaboration et consensus mou ...

 

En conclusion, ISO 27017 nous semble une norme très intéressante, bien construite.

Mais elle pourra devenir encore plus pertinente si elle devient  une norme certifiante et remplacera les certifications ISO 27001 qui n'ont que peu de sens dans le domaine du Cloud Computing.

ISO 27004:2009

ISO 27004

Mesurage de la sécurité

Date de publication octobre 2009
Nombre de pages (corps du document) 30
Nombre de pages (annexes) 24
Traduction en français Non

Mesurage de la sécurité

Il est certain que le mesurage de la sécurité reste un sujet complexe qui reste mal appréhendé dans la plupart des SMSI.

Objectifs de l'ISO 27004

Sert à mesurer le niveau d'efficacité du SMSI mais également le niveau de sécurité de l'entreprise :

  • c'est la démarche de gestion des risques et notamment le plan de traitement des risques qui peut lier le niveau de sécurité
  • la mesure de l'efficacité d'un SMSI (de sa maturité ?) pourrait être dans l'absolu la dimension des incidents de sécurité (critiques et non critiques). Malheureusemùnt sur quelle échelle temps ?

Les objectifs de mise en place des tableaux de bord

  • Démontrer le niveau de conformité d'une organisation vis à vis du référentiel de ses obligations (légales, réglementaires, etc.)
  • Permettre l'identification de problèmes de sécurité insoupçonnés ou non détectés à ce jour
  • Améliorer la faculté à répondre aux besoins en reporting de la Direction
  • Fournir des éléments pour le processus de gestion des risques de la sécurité de l'information, audits du SMSI et revues de Direction

Quelques définitions bien utiles

mesurable (adj.) : 1.qui peut être mesuré, est susceptible de l'être.

Norme sur le mesurage : déterminer la valeur d'une quantité [Classe]

ISO 27000:2014

ISO 27000

VUE D'ENSEMBLE
ET VOCABULAIRE

Date de publication Fevrier 2016
Nombre de pages (corps du document) 24
Nombre de pages (annexes) 6
Traduction en français Non

Synthèse de la norme

L'ISO/CEI 27000 est un document qui offre une vue d'ensemble des SMSI, ainsi que des termes et définitions d'usage courant.

Cette norme ISO 27000 fournit :

  • une vue d'ensemble de la famille de normes du SMSI (en fait de la famille ISO 2700x)
  • une introduction aux systèmes de management de la sécurité de l'information (SMSI)
  • une brève description du processus : Planifier-Déployer-Contrôler-Agir
  • —les principales définitions des termes utilisés dans la famille de normes du SMSI.

Quelques définitions

En fait le chapitre des définitions reprend les définitions des différentes normes "référentes" (ISO 73, ISO 9000) et synthétise les définitions présentes dans les normes ISO2700x. 

Mesure de sécurité (en l'anglais control dans la 27002) : moyens de gestion du risque, comprenant les politiques, les procédures, les lignes directrices, les pratiques ou l'organisation, qui peuvent être de nature administrative, technique, manégériale ou juridique

SMSI : partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information.

Autres ressources :

  • Diaporama de présentation ISO 2700x

ISO 27001:2013

ISO 27001

Système de Management de la
Sécurité de l'Information

Date de publication octobre 2013
Nombre de pages (corps du document) 10
Nombre de pages (annexes) 13
Traduction en français Oui

Synthèse de la norme

ISO 27001:2013 est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI.

La Norme internationale ISO 27001:2013 est décomposée en 6 chapitres principaux (du chapitre 4 au chapitre 10, ce qui représente 10 pages) :

  • Chapitre 4 : Contexte de l'organisation : périmètre du SMSI, interfaces, domaine d'application
  • Chapitre 5 : Leadership : Engagement de la Direction Générale et définition des responsabilités vis à vis du SMSI
  • Chapitre 6 :  Planification : Management des risques et définition du portefuille des mesures de sécurité
  • Chapitre 7 : Ressources : Ressources humaines et compétences, communication (interne & externe), gestion de la documentation (sécurité et SMSI), 
  • Chapitre 8 :  Fonctionnement : Contrôle opérationnels, appréciation et traitement des risques
  • Chapitre 9 : Evaluation des performances : Audit interne, revues de Direction, Surveillance, mesures, ..
  • Chapitre 10 : Amélioration : Traitement des non-conformités, actions correctives, amélioration continue

Exigences vis à vis de la documentation du SMSI

ISO 27001 exige certains documents :

  • Pour la partie définition du périmètre :
    • La politique du SMSI qui définit le périmètre du SMSI (business, légal, interfaces ...) : ce document de quelques pages était souvent séparé de la PGSI, 
  • Pour la partie Gestion des Risques (voir ISO 27005) :
    • une description de la méthodologie d'appréciation du risques (attention donc aux méthodes "maison" faites avec 3 feuilles excel)
    • un rapport d'appréciation du risque
    • le plan de traitement du risque
  • Pour la partie déploiement
    • les procédures documentées, ISO 27001 n'exige pas procédure en particulier :
      • alors que l'ISO 9001:2008 exige qu'il ait des «procédures documentées» pour les six activités suivantes : Maîtrise des documents - Maîtrise des enregistrements - Audit interne - Maîtrise du produit non conforme - Actions correctives - Actions préventives
  • Pour la partie contrôle :
    • les enregistrements apportant la preuve que le SMSI est appliqué et fonctionne efficacement
    • mais également les rapports d'audit interne ou externe
    • l'ensemble de ces éléments devant être "lisibles, faciles à identifier et accessibles"

Evidemment ISO 27001 demande que la documentation soit bien gérée (circuit de validation, versionning, publiés, archivés, ..), bref il devient assez vite souhaitable de disposer d'un Wiki d'entreprise pour gérer cette ensemble documentaire.

Evolutions de la version ISO 27001:2013

Par rapport à la version 2005, cette évolution de la norme apporte des simplication et des clarifications :

  • l'élaboration de la politique de sécurité est de la responsabilité du Top Management
  • diminution du nombre de documents imposés (PGSI, Politique SMSI, ..)
  • possibilité d'utiliser une méthode de gestion des risques non documentée de façon formelle 
  • indication claire que l'annexe A des mesures de scéurité peut être complétée par des mesures de sécurité adaptées aux enjeux

Cette évolution peut être vue comme une ouverture pour simplifier la certification (qui en l'état reste facile), notamment pour les PME ou, si on est optimiste, pour oter tout le formalisme abscons des documents imposés que les auditeurs, en général, n'analysaient que rapidement. 

Quelques définitions

En fait le chapitre des définitions reprend les définitions des différentes normes "référentes" (ISO 73, ISO 9000)

mesure de sécurité (en l'anglais control dans la 27002) : moyens de gestion du risque, comprenant les politiques, les procédures, les lignes directrices, les pratiques ou l'organisation, qui peuvent être de nature administrative, technique, manégériale ou juridique

SMSI : partie du système de management global, basée sur une approche du risque lié à l'activité, visant à établir, mettre en oeuvre, exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l'information.

ISO 27003:2010

ISO 27003

Lignes directrices pour la
mise en oeuvre du SMSI

Date de publication Fevrier 2010
Nombre de pages (corps du document) 47
Nombre de pages (annexes) 30
Traduction en français Non

 

Objectif de la norme :

 

ISO 27003 fournit une approche orientée processus pour la réussite de la mise en œuvre d’un SMSI conformément à l’ISO 27001.

ISO/CEI 27003:2010 couvre le processus de spécification et de conception du SMSI, de la phase initiale à la production de plans d'exécution. La norme donne des recommandations sur la façon de convaincre la direction, ainsi que les différents concepts pour la conception et la planification d’un projet SMSI dont la réalisation sera un succès garanti.

Destinée à être utilisée avec les normes ISO/CEI 27001:2005 et ISO/CEI 27002:2005, ISO/CEI 27003:2010 ne modifie, ni ne limite les exigences spécifiées dans ces deux normes.

Domaine d’application :

Cette Norme internationale fournit des lignes directrices pratiques de mise en œuvre et apporte des informations complémentaires pour :
l'établissement, la mise en oeuvre, l’exploitation, la surveillance, le réexamen, la mise à jour et l'amélioration d'un SMSI selon l’ISO/CEI 27001.
 

ISO 27003 fournit en annexe :

  • un exemple de modèle de cartographie de conformité

Plus d'articles...


Copyright Ysosecure © 2002 - 2019