ISO/IEC 27017 – Famille 27000
La famille ISO/IEC 27000
La famille ISO/IEC 27000 constitue l’ensemble des normes internationales dédiées à la sécurité de l’information et au management des risques associés. Chaque norme a une finalité spécifique mais elles sont conçues pour être complémentaires. L’ISO/IEC 27017 s’inscrit dans ce corpus comme une extension Cloud de l’ISO/IEC 27002.
Historiquement, l’ISO/IEC 27001 (publiée en 2005 et révisée en 2013 puis 2022) a posé le cadre du Système de management de la sécurité de l’information (SMSI). L’ISO/IEC 27002 agit comme un guide pratique détaillant les mesures de sécurité. Avec l’essor du Cloud, deux extensions majeures ont vu le jour : ISO/IEC 27017 pour la sécurité Cloud et ISO/IEC 27018 pour la protection de la vie privée dans le Cloud.
Comparatif des principales normes
Le tableau suivant synthétise le rôle précis de chaque norme clé :
| Norme | Rôle | Portée | Preuves d’audit typiques |
|---|---|---|---|
| ISO/IEC 27001 | Norme de référence pour la mise en place d’un SMSI (certifiable). | Gouvernance, processus, risques, conformité globale. | Politique SSI, analyse de risques, SoA (Statement of Applicability), rapports d’audit. |
| ISO/IEC 27002 | Catalogue de mesures de sécurité (non certifiable, guide de bonnes pratiques). | Contrôles techniques, organisationnels et physiques. | Procédures documentées, configurations techniques, logs de sécurité. |
| ISO/IEC 27017 | Extension sectorielle pour la sécurité des services Cloud (clients et fournisseurs). | Responsabilité partagée, journalisation, configurations Cloud, clauses contractuelles. | Contrats Cloud, rapports d’accès, logs API (CloudTrail, Azure Monitor), configurations KMS. |
| ISO/IEC 27018 | Extension sectorielle pour la protection des données personnelles dans le Cloud. | Vie privée, conformité RGPD, traitement licite des données personnelles. | Clauses contractuelles RGPD, registres de traitement, preuves de chiffrement et de consentement. |
Info
L’ISO/IEC 27017 et l’ISO/IEC 27018 sont complémentaires : la première couvre la sécurité Cloud au sens large, la seconde renforce spécifiquement la protection des données personnelles.
Articulation et synergies
L’approche modulaire de la famille ISO/IEC 27000 permet d’adapter les référentiels selon les besoins d’une organisation. Par exemple, une banque migrante vers un Cloud hybride pourra s’appuyer sur :
- 27001 pour démontrer que son SMSI est certifié.
- 27002 pour justifier la mise en œuvre opérationnelle de mesures de sécurité.
- 27017 pour préciser les responsabilités partagées dans ses contrats Cloud.
- 27018 pour garantir la conformité au RGPD dans le traitement des données clients.
Un RSSI doit donc maîtriser cette articulation afin de dialoguer efficacement avec les auditeurs et les régulateurs.
Cas pratiques & retours d’expérience
- Secteur SaaS : une PME européenne a combiné ISO/IEC 27001 et ISO/IEC 27017 pour répondre à un appel d’offres public. La complémentarité a permis de démontrer la robustesse de son SMSI et la sécurité spécifique de son environnement Cloud.
- Secteur santé : un fournisseur Cloud certifié ISO/IEC 27001 et ISO/IEC 27018 a pu rassurer ses clients hospitaliers quant à la protection des données de santé, tout en s’appuyant sur ISO/IEC 27017 pour clarifier la répartition des obligations contractuelles.
Conseils opérationnels pour RSSI
- Toujours analyser la complémentarité des normes : ISO/IEC 27001 fixe le cadre, ISO/IEC 27002 détaille les mesures, ISO/IEC 27017 et 27018 précisent les exigences sectorielles Cloud.
- S’assurer que les contrats Cloud intègrent explicitement des références à ISO/IEC 27017 et ISO/IEC 27018.
- Préparer des preuves d’audit alignées avec chaque norme : documentation stratégique pour 27001, configurations techniques pour 27002, journaux et contrats Cloud pour 27017, registres de traitements pour 27018.
Objectifs pédagogiques
À la fin de ce chapitre, l’apprenant doit être capable de :
- Décrire le rôle de chaque norme clé de la famille ISO/IEC 27000.
- Comprendre les articulations et complémentarités entre 27001, 27002, 27017 et 27018.
- Préparer des preuves d’audit adaptées en fonction de la norme applicable.
Checklist RSSI
- Vérifier si l’organisation dispose d’une certification ISO/IEC 27001 valide.
- Confirmer que les mesures de sécurité sont alignées sur l’ISO/IEC 27002:2022.
- Examiner si les contrats Cloud incluent explicitement ISO/IEC 27017.
- Évaluer la conformité des traitements de données personnelles via ISO/IEC 27018.