La mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 passe par la mise en œuvre de bonnes pratiques détaillées dans la norme ISO 27002. La norme ISO 27017 complète ces bonnes pratiques pour les services de Cloud. La sélection des mesures doit être la conclusion d’une analyse de risques, en utilisant par exemple la méthode EBIOS. Les exigences légales et réglementaires sont prises en considération en amont de l’analyse. Certaines mesures préconisées par l’ISO 27017 sont destinées aux clients et d’autres aux fournisseurs Cloud. La sécurité dans le Cloud mettant en jeu une relation client / fournisseur, y compris dans la plupart des cas des Cloud privés pour lesquels plusieurs parties interviennent, la sécurité de la chaine de sous-traitance joue un rôle important : se référer à ce sujet à la série ISO 27036 et au concept de SCRM.

Mettre en œuvre un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 est décidé par de plus en plus d’entreprises privées et publiques. Pour répondre à une exigence légale, par exemple pour le cas des hébergeurs de données de santé ou bien prouver à des clients potentiels qu’un cadre de cybersécurité est en place, par exemple pour les fournisseurs de service Cloud. Le travail pour être certifié dépend de plusieurs facteurs : maturité en cybersécurité, taille et complexité de l’entité, niveau de formalisation des processus, implication de la direction et des métiers, documentation existante. Plusieurs démarches de conformité s’inspirent de l’ISO 27001 comme la qualification SecNumCloud de l’ANSSI en France.

Le règlement européen sur la protection des données personnelles (GDPR en anglais) prévoit des obligations et des sanctions pour renforcer le contrôle des citoyens sur leurs données. Un travail de fond, plus ou moins important en fonction du niveau de maturité, est nécessaire pour se mettre en conformité avec ce règlement. Une approche pragmatique consiste à s’appuyer sur un Système de Management de la Sécurité de l’Information (SMSI) ISO 27001 sur le périmètre « traitement de données à caractère personnel ».

La législation sur l’hébergement des données de santé a récemment évolué. L’agrément a été remplacé par la certification HDS par le décret n° 2018-137 du 26 février 2018 qui pose les fondements de la nouvelle procédure. Cette certification est obtenue auprès d’un organisme accrédité par le COFRAC (ou équivalent européen). Après un processus d’audit documentaire et sur site, la certification est délivrée pour 3 ans, avec une surveillance annuelle. Des certificats sont délivrés pour deux métiers d’hébergement distincts :

  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle.
  • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

La norme ISO 27004 fournit des bonnes pratiques pour évaluer le niveau d’efficacité de son SMSI (système de management de la sécurité d’information). Il s’agit d’une exigence pour être certifié ISO 27001 et HDS, issue de la clause 9.1 « surveillance, mesures, analyse et évaluation ». L’organisation doit déterminer ce qu’il est nécessaire de surveiller, les méthodes, la fréquence, les responsabilités et les conditions d’analyse et de traitement des résultats. Au-delà de la certification ISO 27001, il est fondamental de mesurer son niveau afin de prendre les décisions de pilotage adéquates et de justifier les ressources, en particulier financières allouées à la cyber sécurité. D’autres documents fournissent des recommandations intéressantes comme le NIST 800–55 (performance measurement guide for information security) et la norme ISO 15939 (processus de mesure pour l’ingénierie des systèmes et du logiciel).