08 – Fiche synthétique de révision ISO/IEC 27017
Tip
Cette fiche résume les points clés à maîtriser pour l’examen ou l’audit ISO/IEC 27017.
📌 À retenir
- ✅ Norme non certifiable mais recommandée comme extension ISO/IEC 27002
- ✅ Vise à sécuriser les environnements Cloud
- ✅ Couvre à la fois les clients et fournisseurs
- ✅ Ajoute 7 nouveaux contrôles
- ✅ Étend 37 contrôles existants
🧩 Nouveaux contrôles
| Contrôle | Sujet |
|---|---|
| 12.1.5 | Suppression des actifs clients |
| 12.4.5 | Surveillance activité client |
| 13.1.4 | Séparation des environnements |
| 14.2.1.1 | Configuration sécurisée des VM |
| 14.2.7.1 | Durcissement environnement |
| 15.1.1.1 | Clauses contractuelles Cloud |
| 18.1.5.1 | Localisation et juridiction |
🧠 Bonnes pratiques
- Cartographier ses services Cloud
- Exiger la transparence contractuelle
- Intégrer les contrôles 27017 dans son SMSI
- Prévoir une politique de réversibilité
- Auditer la séparation des environnements Cloud
⚠️ Pièges fréquents
- Confusion des responsabilités
- Journalisation partielle
- Pas de vérification des emplacements de données
- API Cloud non sécurisées