ISO/IEC 27018:2025 : Nouvelle version pour les processeurs infonuagiques

Historique

• 2014 (1re édition) : première publication du « code de bonnes pratiques » pour les processeurs de RP infonuagique.
• 2019 (2e édition) : révision mineure pour corriger et clarifier la 1re édition.
• 2025 (3e édition) : Mise à niveau pour s’aligner sur la nouvelle norme ISO/IEC 27002:2022 avec nouvelles familles de contrôles, attributs, etc.

Les nouveautés de 2025

La nouvelle norme s’aligne sur la version ISO27002:2022 : les contrôles sont réorganisés par thèmes (organisation, personnes, physique, technologique). Exemples:

• Veille de menaces (5.7) et préparation à la continuité des TIC (5.30);
• Gestion de la configuration (8.9), suppression de l’information (8.10), masquage des données (8.11), prévention des fuites (8.12);
• Surveillance des activités (8.16), filtrage web (8.23), codage sécurisé (8.28).

Nouveaux controles “infonuagique public et RP” : ISO/IEC 27018 ajoute, pour plusieurs contrôles, un guide de mise en œuvre spécifique aux service infonuagique public et rajoute de l’information à l’annexe A lorsque des attentes spécifiques aux RP s’appliquent. Par exemple :

• Gestion des identités (5.16) : offrir au client les moyens de créer et retirer les accès de ses utilisateurs;
• Journalisation (8.15) : définir qui peut voir quoi, limiter l’accès aux journaux contenant des RP, prévoir des périodes de rétention et une suppression automatique;
• Cryptographie (8.24) : décrire les services de gestion des clés (KMS), les modules matériels de sécurité (HSM) et l’option « apportez votre propre clé » (BYOK) disponibles, ainsi que les choix de gestion des clés;
• Sauvegardes (8.13) : clarifier qui (vous ou votre client) est responsable des copies, de la restauration, des tests et où se trouvent les répliques.

Une nouvelle annexe B, c’est un tableau de correspondance 2019 → 2025 pour mettre en correspondance l’ancienne norme avec la nouvelle.

Intégration des exigences liées aux RP dès la création des services et répartition claire des responsabilités dans les contrats (client, fournisseur, sous‑traitants).

Mise à jour du contenu et des références (dont ISO/IEC 29100:2024) afin de mieux refléter les usages actuels infonuagique et les attentes en matière de confidentialité. La norme n’est pas une loi, mais elle s’aligne mieux avec le RGPD et la Loi 25.

Plus de mesure pour soutenir le client dans la collecte, la modification et le retrait du consentement, avec conservation de la preuve et prise d’effet opérationnelle (ex. arrêt immédiat d’un envoi courriel après retrait).

Augmentation des besoins de journalisation des accès, suppressions et modifications de RP, sur la justification des actions et sur la disponibilité de traces électroniques utiles aux audits et aux demandes des personnes.

Contrôles cohérents avec une approche de “confiance nulle” (Zero Trust): mise en œuvre du moindre privilège, séparation des environnements, visibilité sur les transferts et maîtrise des sous‑traitants, y compris pour les transferts transfrontaliers.

Clarification et distinction entre contrôleur (client) et processeur (fournisseur), mieux documentée et contractualisée dans toute la chaîne de sous‑traitance, avec des pistes d’audit pour démontrer les responsabilités.

Changer le vocabulaire, structure et clauses pour mieux harmonisés et faciliter les évaluations et la reconnaissance de la conformité avec normes et loi relatif à la vie privé dans le monde.

Exemples de contrôles spécifiques « 27018 »

Voici quelques exemples d’exigences de ISO27018

1) A.2.1 — Consentement et choix
Le processeur doit soutenir le client pour obtenir un consentement valable, permettre sa modification ou son retrait et conserver la preuve de ces décisions.
Donc il faut avoir un écran de consentement granulaire (par finalité), page de préférences accessible en tout temps, registre des décisions avec horodatage et identité de l’utilisateur, et mise à jour automatique des traitements (ex. cesser l’envoi de courriels marketing dès le retrait du consentement).

2) A.10.1 — Avertissement des atteintes aux RP
Tout incident doit être évalué pour déterminer s’il y a une atteinte aux RP; le client doit être avisé rapidement avec les informations nécessaires pour ses obligations légales.
Donc concrètement, l’organisation doit avoir une procédure d’incident avec critères (gravité, types de RP touchés), avis au client dans un délai défini (par exemple 24 à 72 h), registre des incidents, exemple de message qui précise cause, portée, mesures prises et actions recommandées au client.

3) A.11.8 — Identifiant unique obligatoire
Les accès doivent être attribués individuellement; les comptes partagés sont à éviter pour avoir une traçabilité.

4) A.12.1 — Localisation des RP
Le processeur documente où les RP sont traités et stockées (production, sauvegardes, relève), et tient ces informations à jour.

5) A.5.1 — Suppression des fichiers temporaires
Les fichiers temporaires contenant des RP doivent être supprimés lorsqu’ils ne sont plus nécessaires.

Rapide liste de vérification

Répondez Oui ou Non à chaque question.

1. Votre SoA reflète‑t‑il la structure 2025 (chapitres 5 à 8) et les contrôles RP pertinents ?
2. Offrez‑vous à vos clients des moyens d’exercer les droits des personnes (portail et API, délais clairement définis) ?
3. Tenez‑vous un registre des sous‑traitants à jour avec les lieux de traitement et les garanties ?
4. Vos contrats incluent‑ils des clauses RP standardisées (finalité, usage interdit, audit, notification, rétention/effacement, localisation) ?
5. La gestion des identités prévoit‑elle la délégation au client, un cycle de vie complet (création‑modification‑fin) et une validation périodique ?
6. La journalisation limite‑t‑elle l’accès par organisation, inclut‑elle des revues périodiques, des règles de rétention et de purge automatiques ?
7. Vos procédures de suppression sont‑elles testées (production et sauvegardes), avec des délais publiés et des preuves d’effacement conservées ?
8. Disposez‑vous d’un inventaire des options de service de gestion des clés (KMS), des modules matériels de sécurité (HSM) et de l’option « apportez votre propre clé » (BYOK), et la politique de gestion des clés est‑elle communiquée aux clients ?
9. Vos sauvegardes et restaurations ont‑elles des OTR/OPR définis et testés, avec des emplacements documentés ?
10. Votre processus d’incident qualifie‑t‑il une atteinte aux RP selon des critères clairs, avec des guides d’intervention pour la notification et des registres à jour ?
11. Les environnements d’essai interdisent‑ils les RP, ou utilisent‑ils des données pseudonymisées/masquées avec effacement rapide ?
12. Offrez‑vous des formations de sensibilisation RP adaptées aux rôles (conséquences, gestes interdits) ?
13. Réalisez‑vous des évaluations des facteurs de vie privée (EFVP) pour les transferts hors Québec/Canada/UE et avez‑vous des garde‑fous contractuels en place ?
14. Tenez‑vous un dossier de preuves à jour (rapports, captures, journaux) et prévoyez‑vous une revue indépendante ?

Bref, la version 2025 d’ISO/IEC 27018 ne réinvente pas le programme de protection des RP ; c’est une mise à jour des pratiques vers la norme ISO27002:2022 et rend les engagements contractuels plus clairs.