L’informatique en nuage devient de plus en plus populaire, les entreprises cherchent des moyens d’améliorer leur efficacité et de réduire leurs coûts.
La sécurité dans ce contexte est essentiel. Voilà qu’arrive la norme internationale ISO 27017, elle fournit un guide sur la manière de mettre en œuvre des contrôles de sécurité pour les services en nuage autant pour les clients que les fournisseurs.
Ce guide s’adresse aux entreprises infonuagiques ainsi qu’à leurs clients.
La norme ISO 27017 est un ajout à la norme ISO 27002, qui elle est un cadre largement utilisé pour la gestion de la sécurité de l’information.
Son nom complet est: ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
En sachant que la grande majorité des entreprises utilisent ou fournissent des services infonuagiques, l’utilisation du guide ISO27017 est utile pour ces entreprises puisqu’il comprend des contrôles supplémentaires spécifiquement liés à l’infonuagique, telle que la classification des données, l’accès sécurisé aux services dématérialisés ainsi que la séparation des clients dans un système avec multiples clients.
La mise en œuvre de la norme ISO 27017 peut aider les organisations à garantir que leurs données sont protégées lorsqu’elles sont stockées ou traitées dans le nuage. Elle peut également contribuer à améliorer la sécurité des applications et services basés dans le nuage.
Les organisations qui adoptent la norme ISO 27017 peuvent démontrer leur engagement à protéger les données dématérialisées. Cela leur confère un avantage concurrentiel sur le marché et les aide à établir une relation de confiance avec leurs clients.
L’ISO 27017 est une norme flexible qui peut être adaptée aux besoins spécifiques de toute organisation. Il est important de noter, cependant, qu’elle ne remplace pas la norme ISO 27002. Elle doit être utilisée conjointement avec la norme ISO 27002 pour fournir une approche globale de la gestion de la sécurité de l’information.
Ce standard ajoute 7 nouveaux items à la déclaration d’applicabilité de votre SGSI en plus d’en modifier 37 autres.
CLD 6.3.1 —Shared Roles and Responsibilities Within a Cloud Computer Environment
CLD 8.1.5. — Removal of cloud service customer assets
CLD 9.5.1 — Segregation in virtual computing environments
CLD 9.5.2 — Virtual machine hardening
CLD 12.1.5 — Administrator’s operational security
CLD 12.4.5 — Monitoring of cloud services
CLD 13.1.4 — Alignment of security management for virtual and physical networks
Concernant les 37 autres changements ou ajustement, la norme place beaucoup d’emphase sur les rôles et responsabilités, la relation avec les clients en matière de support et formation de l’équipe interne, la propriété des actifs informationnels dans un monde dématérialisé, les méthodes de chiffrement surtout pour contrôler les accès ou bloquer ces accès non autorisés.
De plus, chacun des items est décrit sous l’angle “Client de service infonuagique” et/ou “fournisseur de service infonuagique” afin de bien décrire les mesures de sécurité et d’ajuster ceux-ci au contexte de l’organisation. Connaissez vous votre rôle?
Finalement, du point de vue de l’organisation, les avantages de la mise en œuvre de la norme ISO 27017 sont les suivants :
- Une sécurité améliorée pour les données stockées ou traitées dans le nuage
- Une protection renforcée pour les applications et services basés sur le nuage
- Une plus grande confiance dans la sécurité des données dans le nuage
- Un avantage concurrentiel sur le marché
- Une confiance accrue de la part des clients et des autres parties prenantes.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
