Bonnes pratiques pour la sécurité dans le Cloud : la norme ISO 27017

La mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 passe par la mise en œuvre de bonnes pratiques détaillées dans la norme ISO 27002. La norme ISO 27017 complète ces bonnes pratiques pour les services de Cloud. La sélection des mesures doit être la conclusion d’une analyse de risques, en utilisant par exemple la méthode EBIOS. Les exigences légales et réglementaires sont prises en considération en amont de l’analyse. Certaines mesures préconisées par l’ISO 27017 sont destinées aux clients et d’autres aux fournisseurs Cloud. La sécurité dans le Cloud mettant en jeu une relation client / fournisseur, y compris dans la plupart des cas des Cloud privés pour lesquels plusieurs parties interviennent, la sécurité de la chaine de sous-traitance joue un rôle important : se référer à ce sujet à la série ISO 27036 et au concept de SCRM. ISO 27017 est aussi utilisé par le catalogue allemand C5 et par les bonnes pratiques Cloud de la CSA.

 

Structure de la norme

La norme ISO 27017 reprend la structure et les articles 5 à 18 de la norme ISO 27002 rappelés ci-après :

  •  Politique.
  •  Organisation.
  • Sécurité des ressources humaines.
  • Gestion des actifs.
  • Contrôle d’accès.
  •  Cryptographie.
  • Sécurité physique.
  • Exploitation.
  • Réseaux.
  • Acquisitions, développement et maintenance.
  • Fournisseurs.
  • Gestion des incidents.
  • Aspects sécurité dans la continuité des activités.
  • Conformité.

Lorsque les objectifs et les mesures de la norme ISO 27002 sont applicables, seule la référence vers le numéro de la mesure est indiquée. Les compléments sont fournis selon deux types :

  • Type 1 : si les préconisations sont différentes pour le client et le fournisseur.
  • Type 2 : si les préconisations sont les mêmes pour le client et le fournisseur.

Exemples des mesures

Quelques exemples de mesures à adapter selon les préconisations de la norme ISO 27017 sont récapitulés ci-après.

  • Politique de sécurité des systèmes d’information (PSSI).
  • Partages des responsabilités.
  • Relations avec les autorités.
  •  Sensibilisation.
  • Inventaire des actifs.
  • Accès réseaux.
  • Enregistrement et révocation des comptes administrateurs pour les fournisseurs.
  • Accès privilégies.
  • Comptes de service.
  • Gestion des clés.
  • Vulnérabilités.
  •  Segmentation.
  • Clauses contractuelles.
  • Réponse aux incidents.
  •  Notifications.

Références

L’annexe B de la norme récapitule quelques références qu’il peut être intéressant de consulter comme :

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Cloud, ISO 27001, ISO27017, CCSP, CCSK