La norme commune élaborée conjointement par l'ISO/IEC et l'UIT-T, à savoir ISO/IEC 27017 et UIT-T X.1631, fournit des lignes directrices à la sécurité de l’information des services de cloud computing et en particulier des bonnes pratiques pour la gestion de cette sécurité. Cette norme a été élaborée à l’intention des entreprises désireuses de sélectionner et de mettre en œuvre les mesures et éléments de contrôle adéquats en matière de sécurité de l’information.
Un besoin réel de normalisation
Les utilisateurs de service cloud ont un réel besoin d’être rassurés quant à la sécurité des offres cloud, notamment sur la confidentialité, l’intégrité et la disponibilité de l’information. Etant donnée la diversité des offres (IaaS, PaaS, SaaS, NaaS, CaaS,..), le nombre important d’acteurs impliqués dans cet écosystème et la complexité des contrats cloud, les clients réclament en premier lieu plus de clarté et de lisibilité. La certification des services cloud d’un fournisseur selon des normes bien établies est un facteur important permettant de renforcer cette confiance.
La norme ISO/IEC 27017
Le nom officiel de la norme ISO/IEC 27017 est “Code of practice for information security controls based on ISO/IEC 27002 for cloud services”. Clairement, elle propose des contrôles de sécurité supplémentaires pour le cloud puisque l’ISO/IEC 27002, la norme dont elle découle et qu’elle enrichie, ne couvre pas cet aspect de manière adéquate.
Figure 1 – Relations entre normes ISO/IEC citées dans cet article *
La norme ISO/IEC 27017 complète la norme ISO/IEC 27002 de deux manières :
- en précisant les mesures de sécurité existantes dans la norme ISO/IEC 27002 et en distinguant l'application de ces mesures pour le fournisseur de services cloud et pour le client de services cloud. Les domaines couverts sont les politiques de Fpersonnelles, l’organisation de la sécurité, la gestion d’actifs, le contrôle d’accès, la gestion des incidents de sécurité…
- en ajoutant des mesures de sécurité manquantes par rapport à la norme ISO/IEC 27002 et décrites dans l’annexe A de la norme ISO/IEC 27017 telles que :
- la délimitation des responsabilités entre fournisseur et client de services cloud,
- la communication des incidents de sécurité du fournisseur vers ses clients ;
- les moyens pertinents fournis au client en matière de surveillance (« monitoring ») des services cloud ;
- la suppression des actifs d’un client lors de la terminaison d’un contrat avec le fournisseur
Perspectives d’utilisation
L’avenir de la norme ISO/IEC 27017, tout comme celui de la norme ISO/IEC 27018 en matière de protection des données personnelles, s’annonce prometteur : une norme de sécurité internationale pour un secteur de l’industrie en croissance forte.
Cette norme devrait atteindre le même niveau de succès que les normes de la série 27000 bien connues dans le secteur des technologies de l’information. La norme ISO/IEC 27017 devrait certainement être attrayante pour les entreprises qui offrent des services cloud, et qui veulent couvrir tous les angles de la sécurité dans le cloud computing.
Aussi, il apparaît probable que pour les entreprises impliquées dans le domaine du cloud, nous allons le plus souvent voir une mise en œuvre d’une combinaison de la norme ISO/IEC 27001 et ISO/IEC 27017 mise en œuvre avec un couplage avec la norme ISO/IEC 27018 pour les entreprises ayant à gérer beaucoup de données personnelles.
A noter aussi que pour ces entreprises, l’analyse des risques en matière de sécurité les conduira sans doute à prendre en compte des éléments complémentaires comme les contextes législatif et réglementaire ainsi que la situation géographique. Autre exemple d’utilisation, le Japon par l’intermédiaire de association JASA a récemment mis en place la marque « Cloud Security Mark » basée sur la norme ISO/IEC 27017, système de certification concernant la sécurité des fournisseurs de service cloud au Japon.
Olivier Le Grand
En collaboration avec Paul Richy
* Figure inspirée de la Figure 1 de la norme ISO/IEC 27000
Pour aller plus loin
Une nouvelle norme de bonnes pratiques pour la protection des données personnelles dans le cloud
Big Data et Cloud : une première norme d'engagement
EIDAS et la protection des données personnelles
J'assure, depuis 2010, la coordination des activités de normalisation relative aux réseaux du futur au sein d’Orange Labs. Impliqué activement dans les travaux de normalisation du cloud, je suis depuis 2012 éditeur de la future norme concernant l’architecture du cloud menée conjointement par l’UIT-T et l’ISO/IEC JTC1.
De 2008 à 2012, j'ai présidé le groupe de travail de l’UIT-T relatif à la définition d’architectures pour les réseaux de nouvelle génération et IPTV.
J'ai travaillé pendant 10 ans dans le domaine des architectures de commande pour les réseaux à haut débit au sein d'Orange.