Kecvn : Publication via Quaero Hub

2026-06-05T12:13:40Z

Publication via Quaero Hub

← Version précédente		Version du 5 juin 2026 à 08:13
Ligne 146 :		Ligne 146 :
	* [[Responsable de la sécurité des systèmes d'information]]		* [[Responsable de la sécurité des systèmes d'information]]
	* [[Conformité RGPD]]		* [[Conformité RGPD]]

			[[Catégorie:Cybersécurité]]

Kecvn : Publication via Quaero Hub

2026-06-05T12:09:00Z

Publication via Quaero Hub

Nouvelle page

L''''ISO/IEC 27017''' est une norme internationale publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), qui fournit un code de bonnes pratiques pour les contrôles de [[Cybersécurité|sécurité de l'information]] appliqués aux services en nuage. Développée dans le cadre du sous-comité ISO/IEC JTC 1/SC 27, elle complète l'[[ISO/IEC 27002]] par des recommandations et contrôles spécifiquement conçus pour les environnements cloud, à destination des prestataires de services cloud (''Cloud Service Providers'', CSP) comme des clients (''Cloud Service Customers'', CSC). Sa première édition a été publiée le 15 décembre 2015 sous le titre complet « ''Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services'' » ; une seconde édition, alignée sur la révision de l'[[ISO/IEC 27002]] de 2022, a été publiée en 2021.

== Historique et développement ==

L'essor rapide de l'informatique en nuage au cours des années 2010 a mis en évidence l'absence d'un référentiel de sécurité dédié aux spécificités des environnements cloud. Les normes existantes, notamment l'[[ISO/IEC 27002]], avaient été conçues pour des systèmes d'information hébergés en interne et ne couvraient pas les enjeux propres à la mutualisation d'infrastructures, à la virtualisation ou au [[Modèle de responsabilité partagée|partage de responsabilités]] entre fournisseur et client.

Face à ce manque, l'ISO/IEC JTC 1/SC 27 a engagé des travaux de normalisation dès 2012. La première édition de la norme, publiée en décembre 2015, a formalisé un ensemble de contrôles applicables à la fois aux fournisseurs et aux utilisateurs de services cloud. Ces travaux ont été conduits en coordination étroite avec d'autres initiatives de normalisation, notamment le développement d'[[ISO/IEC 27018]], norme complémentaire dédiée à la protection des données à caractère personnel dans le cloud public, publiée en 2014.

La seconde édition d'ISO/IEC 27017, parue en 2021, a été révisée pour s'aligner structurellement sur la nouvelle architecture de l'[[ISO/IEC 27002]] (édition 2022), qui réorganise les contrôles en quatre thèmes (organisationnels, humains, physiques et technologiques) au lieu des quatorze domaines antérieurs.

== Périmètre et objectifs ==

ISO/IEC 27017 s'applique à tout type de service cloud, qu'il s'agisse d'infrastructures en tant que service ([[IaaS]]), de plateformes en tant que service ([[PaaS]]) ou d'applications en tant que service ([[SaaS]]). Elle couvre l'ensemble des modèles de déploiement : cloud public, cloud privé, cloud hybride et cloud communautaire.

Les objectifs principaux de la norme sont :
* fournir des lignes directrices pour la sélection, la mise en œuvre et la gestion des contrôles de [[Sécurité du cloud|sécurité dans les environnements cloud]] ;
* clarifier les rôles et responsabilités respectifs du fournisseur de services cloud et du client, via le [[Modèle de responsabilité partagée|modèle de responsabilité partagée]] ;
* proposer des mesures de sécurité supplémentaires non couvertes par l'[[ISO/IEC 27002]] en raison des spécificités du cloud, notamment la virtualisation, la mutualisation et la géolocalisation des données ;
* soutenir les organisations dans leur démarche de conformité réglementaire, notamment au regard de la [[Conformité RGPD|réglementation RGPD]] et de la [[Directive NIS2]].

== Structure de la norme ==

ISO/IEC 27017 est organisée autour de deux catégories de contrôles : les contrôles hérités de l'[[ISO/IEC 27002]], adaptés au contexte cloud avec des conseils d'implémentation supplémentaires, et les contrôles additionnels spécifiques aux environnements cloud, identifiés par le préfixe « CLD ».

=== Contrôles hérités de l'ISO/IEC 27002 ===

La norme reprend 37 contrôles de l'[[ISO/IEC 27002]] en les enrichissant de conseils d'implémentation propres au cloud. Ces contrôles couvrent notamment :

* la [[Gestion des identités et des accès|gestion des identités et des accès]], incluant l'[[Authentification multifacteur|authentification multifacteur]] obligatoire et la gestion des privilèges dans un environnement mutualisé ;
* la [[Chiffrement des données|protection cryptographique]] des données en transit et au repos, avec des recommandations spécifiques sur la gestion des clés de chiffrement dans le cloud ;
* la [[Sauvegarde informatique|sauvegarde et restauration]] des données hébergées chez un prestataire cloud, en tenant compte des contraintes de localisation géographique ;
* la [[Réponse aux incidents de sécurité|gestion des incidents de sécurité]] dans un contexte cloud, incluant les procédures de notification et d'escalade entre CSP et CSC ;
* la [[Gestion des risques informatiques|gestion des risques liés aux tiers]], en particulier l'évaluation des fournisseurs cloud et la chaîne de sous-traitance.

=== Contrôles spécifiques au cloud (CLD) ===

ISO/IEC 27017 introduit 7 contrôles supplémentaires identifiés par le préfixe « CLD », sans équivalent dans l'[[ISO/IEC 27002]] :

{| class="wikitable"
! Référence !! Intitulé !! Destinataire principal
|-
| CLD.6.3.1 || Rôles et responsabilités partagés dans l'environnement cloud || CSP et CSC
|-
| CLD.8.1.5 || Retrait et restitution des actifs || CSP et CSC
|-
| CLD.9.5.1 || Ségrégation dans les environnements de calcul virtuel || CSP
|-
| CLD.9.5.2 || Durcissement des machines virtuelles || CSP
|-
| CLD.12.1.5 || Sécurité opérationnelle de l'administrateur || CSP
|-
| CLD.12.4.5 || Surveillance des services cloud || CSP et CSC
|-
| CLD.13.1.4 || Alignement de la gestion de la sécurité pour les réseaux virtuels et physiques || CSP
|}

Le contrôle CLD.6.3.1 est particulièrement central : il exige que chaque fournisseur documente précisément les responsabilités de sécurité prises en charge par le CSP, celles qui incombent au CSC, et celles qui sont partagées. Cette documentation doit être accessible au client avant la conclusion du contrat et mise à jour à chaque évolution significative du service.

Le contrôle CLD.8.1.5 impose des procédures formalisées de restitution et d'effacement sécurisé des données et des actifs du client à la fin du contrat, ce qui répond directement aux exigences du [[Conformité RGPD|RGPD]] en matière de droit à l'effacement.

Les contrôles CLD.9.5.1 et CLD.9.5.2 traitent des risques spécifiques à la virtualisation : isolation entre machines virtuelles appartenant à des clients différents ([[Microsegmentation réseau|ségrégation réseau et système]]), durcissement des images de base, et contrôle des accès à l'hyperviseur.

== Modèle de responsabilité partagée ==

L'apport conceptuel le plus structurant d'ISO/IEC 27017 réside dans la formalisation du [[Modèle de responsabilité partagée|modèle de responsabilité partagée]]. Dans un environnement cloud, la frontière entre les responsabilités du fournisseur et celles du client n'est pas fixe : elle varie selon le modèle de service et les contrats en vigueur.

En modèle [[IaaS]], le fournisseur est responsable de la sécurité physique des centres de données, de l'hyperviseur et du réseau sous-jacent. Le client assume la responsabilité du système d'exploitation, des middlewares, des applications et des données. En modèle [[SaaS]], la quasi-totalité des contrôles techniques incombe au fournisseur, le client conservant la responsabilité de la gestion des comptes utilisateurs, de la classification des données et de la configuration des droits d'accès.

ISO/IEC 27017 recommande que cette répartition soit documentée dans un tableau de responsabilités (''Shared Responsibility Matrix'') annexé au contrat de service, couvrant explicitement chacun des 7 contrôles CLD et les contrôles ISO 27002 applicables.

== Relations avec d'autres normes et référentiels ==

=== Famille ISO/IEC 27000 ===

* '''[[ISO/IEC 27001]]''' : cadre du [[Système de management de la sécurité de l'information|système de management de la sécurité de l'information]] (SMSI). ISO/IEC 27017 peut être intégrée comme référentiel de contrôles dans une certification [[ISO/IEC 27001|ISO 27001]], via la Déclaration d'Applicabilité (''Statement of Applicability'', SoA). Plusieurs organismes de certification proposent des attestations combinées ISO 27001 + ISO 27017 (+ ISO 27018).
* '''[[ISO/IEC 27002]]''' : code de bonnes pratiques dont ISO/IEC 27017 est une extension directe. Les deux normes doivent être lues conjointement ; ISO/IEC 27017 ne remplace pas ISO/IEC 27002 mais l'enrichit.
* '''[[ISO/IEC 27018]]''' : norme complémentaire sur la protection des données personnelles (''Personally Identifiable Information'', PII) dans le cloud public. ISO/IEC 27017 traite la sécurité au sens large, tandis qu'ISO/IEC 27018 se concentre sur la vie privée et les obligations des sous-traitants au sens du RGPD.

=== Autres référentiels ===

* '''[[CSA STAR]]''' (Cloud Security Alliance Security, Trust, Assurance and Risk) : programme de certification cloud qui s'appuie directement sur les contrôles d'ISO/IEC 27017 et [[ISO/IEC 27018]]. Le niveau 2 du programme intègre une évaluation par tierce partie alignée sur ces normes et sur la ''Cloud Controls Matrix'' (CCM) de la CSA.
* '''[[NIST Cybersecurity Framework]]''' et '''[[Cadre de gestion des risques NIST|NIST SP 800-144]]''' : référentiels américains dont les exigences recoupent partiellement celles d'ISO/IEC 27017, facilitant les démarches de reconnaissance mutuelle pour les organisations opérant en contexte transatlantique.
* '''[[Directive NIS2]]''' : directive européenne sur la [[Cybersécurité|cybersécurité]] des entités essentielles et importantes. Ses exigences sur la sécurité de la chaîne d'approvisionnement numérique et des prestataires cloud sont cohérentes avec ISO/IEC 27017 ; la conformité à la norme constitue un élément de démonstration des mesures techniques appropriées.
* '''[[Conformité RGPD]]''' : le RGPD (article 28) impose aux responsables de traitement de ne recourir qu'à des sous-traitants présentant des garanties suffisantes en matière de sécurité. La conformité certifiée à ISO/IEC 27017 est reconnue comme un élément probant de ces garanties lors des audits de la CNIL ou d'autorités de contrôle équivalentes.

== Mise en œuvre ==

=== Démarche pour les fournisseurs de services cloud ===

Pour un CSP, la mise en œuvre d'ISO/IEC 27017 comprend généralement les étapes suivantes :

# Réalisation d'un état des lieux (''gap analysis'') des contrôles existants par rapport aux 7 contrôles CLD et aux contrôles ISO 27002 retenus dans le périmètre.
# Documentation du tableau de responsabilités partagées pour chaque service et modèle de déploiement proposé.
# Mise en place de contrôles techniques spécifiques : [[Microsegmentation réseau|ségrégation des environnements virtuels]], durcissement des hyperviseurs et des images de machines virtuelles, journalisation centralisée via un [[SIEM (informatique)|SIEM]].
# Définition de procédures formalisées de restitution et d'effacement sécurisé des données à la fin du contrat (CLD.8.1.5), incluant la preuve d'effacement.
# Déploiement d'une surveillance continue des services cloud et de procédures d'escalade des incidents vers les clients, conformément à CLD.12.4.5.
# Formation des équipes d'administration aux procédures de sécurité opérationnelle spécifiques au cloud (CLD.12.1.5), notamment la gestion des accès privilégiés et la traçabilité des actions administrateurs.

=== Démarche pour les clients cloud ===

Pour un CSC, les actions prioritaires comprennent :

# Vérification de la conformité du fournisseur retenu : certificat ISO 27001 couvrant ISO 27017, attestation [[CSA STAR]] de niveau 2, ou rapports SOC 2 Type II.
# Examen du tableau de responsabilités partagées fourni par le CSP avant la conclusion du contrat.
# Définition d'une politique de [[Gestion des identités et des accès|gestion des identités et des accès]] adaptée au cloud : [[Authentification multifacteur|MFA]] obligatoire sur tous les comptes d'administration, gestion du cycle de vie des comptes, principe du moindre privilège.
# [[Chiffrement des données|Chiffrement]] des données sensibles avant leur hébergement dans le cloud, avec conservation des clés de chiffrement hors de l'environnement du fournisseur.
# Intégration des services cloud dans le [[Plan de continuité d'activité|plan de continuité d'activité]] et le [[Plan de reprise d'activité informatique|plan de reprise d'activité informatique]], en tenant compte des RPO et RTO contractuels du fournisseur.
# Réalisation d'[[Audit de cybersécurité|audits de sécurité]] réguliers couvrant les interfaces d'administration cloud (API, consoles de gestion, droits d'accès).
# Sécurisation des accès réseaux via des connexions dédiées ou des [[VPN (réseau privé virtuel)|VPN]] pour les environnements cloud hébergeant des données sensibles.

== Certification et audit ==

ISO/IEC 27017 n'est pas une norme de certification autonome : aucun organisme accrédité ne délivre de certificat ISO/IEC 27017 indépendant. La certification passe obligatoirement par le cadre [[ISO/IEC 27001|ISO 27001]], dont ISO/IEC 27017 constitue une extension du périmètre de contrôles.

En pratique, les organismes de certification accrédités (BSI, Bureau Veritas, SGS, AFNOR Certification, etc.) proposent des certifications combinées couvrant simultanément [[ISO/IEC 27001]], ISO/IEC 27017 et [[ISO/IEC 27018]]. L'[[Audit de cybersécurité|audit de certification]] évalue alors les 7 contrôles CLD supplémentaires en plus du périmètre ISO 27001 habituel.

Les auditeurs examinent en particulier :
* la complétude et la précision du tableau de responsabilités partagées (CLD.6.3.1) ;
* les mécanismes de ségrégation entre locataires (''tenants'') du cloud, vérifiés par des tests d'isolation (CLD.9.5.1) ;
* les procédures documentées et les preuves d'exécution d'effacement sécurisé des données clients (CLD.8.1.5) ;
* les journaux de surveillance et les procédures d'escalade des incidents vers les clients (CLD.12.4.5).

Les cycles de certification ISO 27001 étendus à ISO/IEC 27017 suivent le même rythme triennal : audit initial complet, puis audits de surveillance annuels.

== Compétences professionnelles associées ==

La maîtrise d'ISO/IEC 27017 est une compétence technique recherchée dans plusieurs filières de la [[Cybersécurité|cybersécurité]] et de l'ingénierie cloud :

* le '''[[Responsable de la sécurité des systèmes d'information|RSSI]]''' (Responsable de la Sécurité des Systèmes d'Information) doit intégrer les exigences cloud dans la politique de sécurité globale, gérer les relations contractuelles avec les fournisseurs cloud et superviser les audits de conformité ISO 27017 ;
* l''''architecte cloud sécurité''' conçoit les environnements cloud en appliquant les contrôles de ségrégation, de [[Chiffrement des données|chiffrement]] et de [[Gestion des identités et des accès|gestion des accès]] définis par la norme, et traduit le tableau de responsabilités partagées en exigences techniques ;
* l''''auditeur en cybersécurité''' évalue la conformité des fournisseurs et des implémentations cloud vis-à-vis des contrôles CLD, en s'appuyant sur des référentiels croisés (ISO 27001, [[CSA STAR]], SOC 2) ;
* le '''consultant en [[Gestion des risques informatiques|gestion des risques informatiques]]''' utilise ISO/IEC 27017 comme grille d'analyse lors de l'évaluation des risques liés au recours à des prestataires cloud tiers, notamment dans le cadre de diligences raisonnables (''vendor due diligence'').

Les formations conduisant à ces métiers abordent généralement ISO/IEC 27017 dans le cadre des certifications ISO 27001 Lead Implementer ou Lead Auditor (délivrées notamment par PECB, BSI ou LSTI), ainsi que dans les parcours spécialisés en [[Sécurité du cloud|sécurité du cloud]] tels que le CCSP (''Certified Cloud Security Professional'') de l'(ISC)² ou le CompTIA Cloud+.

== Voir aussi ==

* [[ISO/IEC 27001]]
* [[ISO/IEC 27002]]
* [[ISO/IEC 27018]]
* [[Sécurité du cloud]]
* [[Système de management de la sécurité de l'information]]
* [[Modèle de responsabilité partagée]]
* [[Gestion des risques informatiques]]
* [[Audit de cybersécurité]]
* [[Responsable de la sécurité des systèmes d'information]]
* [[Conformité RGPD]]

ISO/IEC 27017 - Historique des versions

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub

Kecvn : Publication via Quaero Hub