10_Comparaison_27001_27018
L’ISO/IEC 27018 ne doit pas être étudiée isolément. Elle s’inscrit dans la famille ISO 27000 et complète des normes existantes :
- IEC 27001 (ISMS – Information Security Management System) et IEC 27002 (Mesures – Code of practice for information security controls) : cadre général de gouvernance et catalogue de mesures de sécurité.
- IEC 27017 (Cloud – Security controls for cloud services) : extension spécifique à la sécurité des services Cloud.
- IEC 27018 (Protection PII – Protection of Personally Identifiable Information in public clouds acting as PII processors) : extension spécifique à la protection des PII dans le Cloud.
- Règlement général sur la protection des données (RGPD – General Data Protection Regulation) : règlement juridique contraignant sur la protection des données personnelles en Europe.
Articulation entre les référentiels
- 27001/27002 : définissent les bases du SMSI et un catalogue de mesures génériques applicables à tout SI (politique de sécurité, contrôle d’accès, gestion des incidents, continuité).
- 27017 : transpose ces mesures dans le contexte Cloud (multi-tenancy, responsabilités client/fournisseur, portabilité des données).
- 27018 : va plus loin en cadrant les PII dans le Cloud, avec un accent sur le DPA, les sous-traitants, la notification d’incidents PII et la réversibilité.
- RGPD : cadre légal qui impose les bases légales du traitement (consentement, contrat, obligation légale), les droits des personnes, et les obligations contractuelles (art. 28, 32, 46).
Tableau comparatif
| Thème | 27001/27002 (Général) | 27017 (Cloud) | 27018 (PII Cloud) | RGPD |
|---|---|---|---|---|
| Rôles | SMSI générique (direction, RSSI, métiers) | Responsabilités Client/Fournisseur Cloud | Sous-traitant Cloud traitant des PII | Responsable & Sous-traitant (art. 4) |
| TOMs | Mesures générales (contrôles accès, sauvegardes, chiffrement) | Mesures Cloud (isolation tenant, portabilité) | Mesures spécifiques PII Cloud (logs privacy by default, DPA, SCCs) | Art. 32 : sécurité des traitements |
| Contrats | Clauses sécurité génériques (Annexe A, 27002) | Clauses Cloud spécifiques (accès, réversibilité) | DPA PII Cloud (finalités, transferts, sous-traitants, SLA notification) | Art. 28 (sous-traitants), Art. 46 (transferts) |
| Incidents | Processus génériques de gestion d’incident | Processus de notification Cloud | Notification PII (72h, registre violations) | Art. 33/34 (notification autorité et personnes) |
| Transferts | Non spécifié | Localisation Cloud | SCCs, TIAs, obligations contractuelles PII | Art. 44-49 (transferts internationaux) |
| Audit | Audits SMSI (ISO 27001 certification) | Preuves Cloud (rapports SOC2, Artifact) | Audits PII Cloud (preuve suppression, registres sub-processors) | Pouvoirs CNIL/EDPB d’investigation |
Cas concret
Une entreprise SaaS européenne (gestion RH) applique :
- ISO 27001 pour son SMSI (politique sécurité, gouvernance).
- ISO 27017 pour garantir l’isolation des tenants RH et la réversibilité des données.
- ISO 27018 pour encadrer le DPA avec Microsoft Azure (notification 72h, liste des sub-processors).
- RGPD comme cadre juridique (art. 28 DPA, art. 32 TOMs, art. 46 transferts).
L’audit a validé la cohérence de l’ensemble car chaque norme est alignée avec le RGPD, donnant une couverture à la fois technique (ISO) et juridique (RGPD).
Objectifs pédagogiques
À la fin de ce chapitre, l’apprenant doit être capable de :
- Expliquer comment 27018 complète 27001/27002 et 27017.
- Identifier les correspondances directes entre exigences ISO et RGPD.
- Situer les rôles et responsabilités : client, fournisseur, sous-traitant PII.
- Utiliser ce comparatif comme outil de cadrage lors des audits ou négociations contractuelles.
Checklist RSSI
- Vérifier que le SMSI (27001) couvre la gouvernance globale.
- Contrôler que les mesures Cloud (27017) sont mises en œuvre.
- Confirmer que le fournisseur est conforme 27018 pour les PII.
- Vérifier que le DPA est conforme RGPD (art. 28, 32, 46).
- Consolider les audits en croisant preuves ISO et obligations RGPD.