ISO 27017:2015

ISO 27017

Code de pratiques pour le Cloud Computing
basées sur ISO/IEC 27002

Date de publication Decembre 2015
Nombre de pages (corps du document) 44
Nombre de pages (annexes) 10
Traduction en français Non Prévu

ISO/IEC 27017:2015 : Un besoin réel de normalisation

Il existe un besoin réel de rassurer les clients par rapport aux aspects de la sécurité des offres Cloud, notamment sur la disponibilité, la confidentialité, ainsi que l’usage qu'il peut être fait de leurs données

Les entreprises sont perdues vis à vis de la multiplication des acteurs internationaux, français, la multiplications des offres dans un environnement de plus en plus complexe :

  • IaaS (AWS, Azure, Cloudwatt, Numergy, ...)
  • PaaS
  • SaaS
  • PRA as a Service (voir offre de Nuabee)
  • CompaaS, DSaaS, NaaS et CaaS...

C'est d'antant plus vrai pour les Responsables Informatiques de PME qui ont un besoin de clarté et de lisibilité de ces offres et n'ont pas le temps d'analyser les centaines de pages de contrat Cloud.

ISO 27017 : une bonne réponse ?

Tout d'abord sur le fond, cette norme a le mérite de ne pas vouloir réécrire une 27002 pour le Cloud Computing (comme cela a été le cas dans des déclinaisons de la 27002 pour le domaine de la santé, ...), mais de la compléter :

  • en précisant les mesures de sécurité existantes dans la 27002 et en distinguant l'application de cette mesure soit :
    • vers le fournisseur Cloud 
    • vers le Client (et on sait que la plupart des grands évènements de sécurité des dernières années ont été provoqués par la non application par les Clients des règles de sécurité préconisées par le fournisseur du Cloud)
    • vers les 2 parties
  • en ajoutant des mesures de sécurité manquantes de la 27002 comme :
    • la délimitation des responsabilités entre fournisseurs Cloud et Client (de type matrice RACI), 
    • la traçabilité des actions des administrateurs du fournisseur du Cloud sur les environnements Clients (sujet hautement important), 
    • la communication des incidents de sécurité du fournisseur du Cloud vers ses Clients (pas le sujet où les fournisseurs sont les plus loquaces ...)
    • ...

Si cette norme n'est pas plus technique que les autres normes de la série 2700x, elle couvre bien l'ensemble des problématiques de sécurité du Cloud.

Les autres référentiels de sécurité Cloud

Il existe d'autres référentiels de sécurité en cours d'élaboration :

  • référentiel sur le cloud computing de l’ANSSI
  • certification STAR de la CSA (cloud security alliance)
  • ...

Les limites et les intérêts d'une norme ISO restent les mêmes, large diffusion et consensus, lenteur d'élaboration et consensus mou ...

 

En conclusion, ISO 27017 nous semble une norme très intéressante, bien construite.

Mais elle pourra devenir encore plus pertinente si elle devient  une norme certifiante et remplacera les certifications ISO 27001 qui n'ont que peu de sens dans le domaine du Cloud Computing.


Copyright Ysosecure © 2002 - 2018