ISO 27017
Code de pratiques pour le Cloud Computing |
Date de publication | Decembre 2015 |
Nombre de pages (corps du document) | 44 | |
Nombre de pages (annexes) | 10 | |
Traduction en français | Non Prévu |
Il existe un besoin réel de rassurer les clients par rapport aux aspects de la sécurité des offres Cloud, notamment sur la disponibilité, la confidentialité, ainsi que l’usage qu’il peut être fait de leurs données.
Les entreprises sont perdues vis à vis de la multiplication des acteurs internationaux, français, la multiplications des offres dans un environnement de plus en plus complexe :
C’est d’autant plus vrai pour les Responsables Informatiques de PME qui ont un besoin de clarté et de lisibilité de ces offres et n’ont pas le temps d’analyser les centaines de pages de contrat Cloud.
Tout d’abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, …), mais de la compléter :
Si cette norme n’est pas plus technique que les autres normes de la série 2700x, elle couvre bien l’ensemble des problématiques de sécurité du Cloud.
Il existe d’autres référentiels de sécurité en cours d’élaboration :
Les limites et les intérêts d’une norme ISO restent les mêmes, large diffusion et consensus, lenteur d’élaboration et consensus mou …
En conclusion, ISO 27017 nous semble une norme très intéressante, bien construite.
Mais elle pourra devenir encore plus pertinente si elle devient une norme certifiante et remplacera les certifications ISO 27001 qui n’ont que peu de sens dans le domaine du Cloud Computing.