La mise en place d’un système de management de la sécurité de l’information (SMSI) certifié ISO 27001 passe par la mise en œuvre de bonnes pratiques détaillées dans la norme ISO 27002. La norme ISO 27017 complète ces bonnes pratiques pour les services de Cloud. La sélection des mesures doit être la conclusion d’une analyse de risques, en utilisant par exemple la méthode EBIOS. Les exigences légales et réglementaires sont prises en considération en amont de l’analyse. Certaines mesures préconisées par l’ISO 27017 sont destinées aux clients et d’autres aux fournisseurs Cloud. La sécurité dans le Cloud mettant en jeu une relation client / fournisseur, y compris dans la plupart des cas des Cloud privés pour lesquels plusieurs parties interviennent, la sécurité de la chaine de sous-traitance joue un rôle important : se référer à ce sujet à la série ISO 27036 et au concept de SCRM.

La législation sur l’hébergement des données de santé a récemment évolué. L’agrément a été remplacé par la certification HDS par le décret n° 2018-137 du 26 février 2018 qui pose les fondements de la nouvelle procédure. Cette certification est obtenue auprès d’un organisme accrédité par le COFRAC (ou équivalent européen). Après un processus d’audit documentaire et sur site, la certification est délivrée pour 3 ans, avec une surveillance annuelle. Des certificats sont délivrés pour deux métiers d’hébergement distincts :

  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle.
  • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Le référentiel 800-53 est un document important produit et mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et de la sécurité associée. C’est aussi un document central pour les certifications de sécurité Cloud de type FedRamp. Au-delà des Etats-Unis, ce référentiel est beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework et du référentiel CIS.

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018 (voir premièreet deuxièmepartie)