ISO/IEC 27017

L'ISO/IEC 27017 est une norme internationale publiée conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), qui fournit un code de bonnes pratiques pour les contrôles de sécurité de l'information appliqués aux services en nuage. Développée dans le cadre du sous-comité ISO/IEC JTC 1/SC 27, elle complète l'ISO/IEC 27002 par des recommandations et contrôles spécifiquement conçus pour les environnements cloud, à destination des prestataires de services cloud (Cloud Service Providers, CSP) comme des clients (Cloud Service Customers, CSC). Sa première édition a été publiée le 15 décembre 2015 sous le titre complet « Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services » ; une seconde édition, alignée sur la révision de l'ISO/IEC 27002 de 2022, a été publiée en 2021.

L'essor rapide de l'informatique en nuage au cours des années 2010 a mis en évidence l'absence d'un référentiel de sécurité dédié aux spécificités des environnements cloud. Les normes existantes, notamment l'ISO/IEC 27002, avaient été conçues pour des systèmes d'information hébergés en interne et ne couvraient pas les enjeux propres à la mutualisation d'infrastructures, à la virtualisation ou au partage de responsabilités entre fournisseur et client.

Face à ce manque, l'ISO/IEC JTC 1/SC 27 a engagé des travaux de normalisation dès 2012. La première édition de la norme, publiée en décembre 2015, a formalisé un ensemble de contrôles applicables à la fois aux fournisseurs et aux utilisateurs de services cloud. Ces travaux ont été conduits en coordination étroite avec d'autres initiatives de normalisation, notamment le développement d'ISO/IEC 27018, norme complémentaire dédiée à la protection des données à caractère personnel dans le cloud public, publiée en 2014.

La seconde édition d'ISO/IEC 27017, parue en 2021, a été révisée pour s'aligner structurellement sur la nouvelle architecture de l'ISO/IEC 27002 (édition 2022), qui réorganise les contrôles en quatre thèmes (organisationnels, humains, physiques et technologiques) au lieu des quatorze domaines antérieurs.

ISO/IEC 27017 s'applique à tout type de service cloud, qu'il s'agisse d'infrastructures en tant que service (IaaS), de plateformes en tant que service (PaaS) ou d'applications en tant que service (SaaS). Elle couvre l'ensemble des modèles de déploiement : cloud public, cloud privé, cloud hybride et cloud communautaire.

Les objectifs principaux de la norme sont :

• fournir des lignes directrices pour la sélection, la mise en œuvre et la gestion des contrôles de sécurité dans les environnements cloud ;
• clarifier les rôles et responsabilités respectifs du fournisseur de services cloud et du client, via le modèle de responsabilité partagée ;
• proposer des mesures de sécurité supplémentaires non couvertes par l'ISO/IEC 27002 en raison des spécificités du cloud, notamment la virtualisation, la mutualisation et la géolocalisation des données ;
• soutenir les organisations dans leur démarche de conformité réglementaire, notamment au regard de la réglementation RGPD et de la Directive NIS2.

ISO/IEC 27017 est organisée autour de deux catégories de contrôles : les contrôles hérités de l'ISO/IEC 27002, adaptés au contexte cloud avec des conseils d'implémentation supplémentaires, et les contrôles additionnels spécifiques aux environnements cloud, identifiés par le préfixe « CLD ».

La norme reprend 37 contrôles de l'ISO/IEC 27002 en les enrichissant de conseils d'implémentation propres au cloud. Ces contrôles couvrent notamment :

• la gestion des identités et des accès, incluant l'authentification multifacteur obligatoire et la gestion des privilèges dans un environnement mutualisé ;
• la protection cryptographique des données en transit et au repos, avec des recommandations spécifiques sur la gestion des clés de chiffrement dans le cloud ;
• la sauvegarde et restauration des données hébergées chez un prestataire cloud, en tenant compte des contraintes de localisation géographique ;
• la gestion des incidents de sécurité dans un contexte cloud, incluant les procédures de notification et d'escalade entre CSP et CSC ;
• la gestion des risques liés aux tiers, en particulier l'évaluation des fournisseurs cloud et la chaîne de sous-traitance.

ISO/IEC 27017 introduit 7 contrôles supplémentaires identifiés par le préfixe « CLD », sans équivalent dans l'ISO/IEC 27002 :

Référence	Intitulé	Destinataire principal
CLD.6.3.1	Rôles et responsabilités partagés dans l'environnement cloud	CSP et CSC
CLD.8.1.5	Retrait et restitution des actifs	CSP et CSC
CLD.9.5.1	Ségrégation dans les environnements de calcul virtuel	CSP
CLD.9.5.2	Durcissement des machines virtuelles	CSP
CLD.12.1.5	Sécurité opérationnelle de l'administrateur	CSP
CLD.12.4.5	Surveillance des services cloud	CSP et CSC
CLD.13.1.4	Alignement de la gestion de la sécurité pour les réseaux virtuels et physiques	CSP

Le contrôle CLD.6.3.1 est particulièrement central : il exige que chaque fournisseur documente précisément les responsabilités de sécurité prises en charge par le CSP, celles qui incombent au CSC, et celles qui sont partagées. Cette documentation doit être accessible au client avant la conclusion du contrat et mise à jour à chaque évolution significative du service.

Le contrôle CLD.8.1.5 impose des procédures formalisées de restitution et d'effacement sécurisé des données et des actifs du client à la fin du contrat, ce qui répond directement aux exigences du RGPD en matière de droit à l'effacement.

Les contrôles CLD.9.5.1 et CLD.9.5.2 traitent des risques spécifiques à la virtualisation : isolation entre machines virtuelles appartenant à des clients différents (ségrégation réseau et système), durcissement des images de base, et contrôle des accès à l'hyperviseur.

L'apport conceptuel le plus structurant d'ISO/IEC 27017 réside dans la formalisation du modèle de responsabilité partagée. Dans un environnement cloud, la frontière entre les responsabilités du fournisseur et celles du client n'est pas fixe : elle varie selon le modèle de service et les contrats en vigueur.

En modèle IaaS, le fournisseur est responsable de la sécurité physique des centres de données, de l'hyperviseur et du réseau sous-jacent. Le client assume la responsabilité du système d'exploitation, des middlewares, des applications et des données. En modèle SaaS, la quasi-totalité des contrôles techniques incombe au fournisseur, le client conservant la responsabilité de la gestion des comptes utilisateurs, de la classification des données et de la configuration des droits d'accès.

ISO/IEC 27017 recommande que cette répartition soit documentée dans un tableau de responsabilités (Shared Responsibility Matrix) annexé au contrat de service, couvrant explicitement chacun des 7 contrôles CLD et les contrôles ISO 27002 applicables.

• ISO/IEC 27001 : cadre du système de management de la sécurité de l'information (SMSI). ISO/IEC 27017 peut être intégrée comme référentiel de contrôles dans une certification ISO 27001, via la Déclaration d'Applicabilité (Statement of Applicability, SoA). Plusieurs organismes de certification proposent des attestations combinées ISO 27001 + ISO 27017 (+ ISO 27018).
• ISO/IEC 27002 : code de bonnes pratiques dont ISO/IEC 27017 est une extension directe. Les deux normes doivent être lues conjointement ; ISO/IEC 27017 ne remplace pas ISO/IEC 27002 mais l'enrichit.
• ISO/IEC 27018 : norme complémentaire sur la protection des données personnelles (Personally Identifiable Information, PII) dans le cloud public. ISO/IEC 27017 traite la sécurité au sens large, tandis qu'ISO/IEC 27018 se concentre sur la vie privée et les obligations des sous-traitants au sens du RGPD.

• CSA STAR (Cloud Security Alliance Security, Trust, Assurance and Risk) : programme de certification cloud qui s'appuie directement sur les contrôles d'ISO/IEC 27017 et ISO/IEC 27018. Le niveau 2 du programme intègre une évaluation par tierce partie alignée sur ces normes et sur la Cloud Controls Matrix (CCM) de la CSA.
• NIST Cybersecurity Framework et NIST SP 800-144 : référentiels américains dont les exigences recoupent partiellement celles d'ISO/IEC 27017, facilitant les démarches de reconnaissance mutuelle pour les organisations opérant en contexte transatlantique.
• Directive NIS2 : directive européenne sur la cybersécurité des entités essentielles et importantes. Ses exigences sur la sécurité de la chaîne d'approvisionnement numérique et des prestataires cloud sont cohérentes avec ISO/IEC 27017 ; la conformité à la norme constitue un élément de démonstration des mesures techniques appropriées.
• Conformité RGPD : le RGPD (article 28) impose aux responsables de traitement de ne recourir qu'à des sous-traitants présentant des garanties suffisantes en matière de sécurité. La conformité certifiée à ISO/IEC 27017 est reconnue comme un élément probant de ces garanties lors des audits de la CNIL ou d'autorités de contrôle équivalentes.

Pour un CSP, la mise en œuvre d'ISO/IEC 27017 comprend généralement les étapes suivantes :

1. Réalisation d'un état des lieux (gap analysis) des contrôles existants par rapport aux 7 contrôles CLD et aux contrôles ISO 27002 retenus dans le périmètre.
2. Documentation du tableau de responsabilités partagées pour chaque service et modèle de déploiement proposé.
3. Mise en place de contrôles techniques spécifiques : ségrégation des environnements virtuels, durcissement des hyperviseurs et des images de machines virtuelles, journalisation centralisée via un SIEM.
4. Définition de procédures formalisées de restitution et d'effacement sécurisé des données à la fin du contrat (CLD.8.1.5), incluant la preuve d'effacement.
5. Déploiement d'une surveillance continue des services cloud et de procédures d'escalade des incidents vers les clients, conformément à CLD.12.4.5.
6. Formation des équipes d'administration aux procédures de sécurité opérationnelle spécifiques au cloud (CLD.12.1.5), notamment la gestion des accès privilégiés et la traçabilité des actions administrateurs.

Pour un CSC, les actions prioritaires comprennent :

1. Vérification de la conformité du fournisseur retenu : certificat ISO 27001 couvrant ISO 27017, attestation CSA STAR de niveau 2, ou rapports SOC 2 Type II.
2. Examen du tableau de responsabilités partagées fourni par le CSP avant la conclusion du contrat.
3. Définition d'une politique de gestion des identités et des accès adaptée au cloud : MFA obligatoire sur tous les comptes d'administration, gestion du cycle de vie des comptes, principe du moindre privilège.
4. Chiffrement des données sensibles avant leur hébergement dans le cloud, avec conservation des clés de chiffrement hors de l'environnement du fournisseur.
5. Intégration des services cloud dans le plan de continuité d'activité et le plan de reprise d'activité informatique, en tenant compte des RPO et RTO contractuels du fournisseur.
6. Réalisation d'audits de sécurité réguliers couvrant les interfaces d'administration cloud (API, consoles de gestion, droits d'accès).
7. Sécurisation des accès réseaux via des connexions dédiées ou des VPN pour les environnements cloud hébergeant des données sensibles.

ISO/IEC 27017 n'est pas une norme de certification autonome : aucun organisme accrédité ne délivre de certificat ISO/IEC 27017 indépendant. La certification passe obligatoirement par le cadre ISO 27001, dont ISO/IEC 27017 constitue une extension du périmètre de contrôles.

En pratique, les organismes de certification accrédités (BSI, Bureau Veritas, SGS, AFNOR Certification, etc.) proposent des certifications combinées couvrant simultanément ISO/IEC 27001, ISO/IEC 27017 et ISO/IEC 27018. L'audit de certification évalue alors les 7 contrôles CLD supplémentaires en plus du périmètre ISO 27001 habituel.

Les auditeurs examinent en particulier :

• la complétude et la précision du tableau de responsabilités partagées (CLD.6.3.1) ;
• les mécanismes de ségrégation entre locataires (tenants) du cloud, vérifiés par des tests d'isolation (CLD.9.5.1) ;
• les procédures documentées et les preuves d'exécution d'effacement sécurisé des données clients (CLD.8.1.5) ;
• les journaux de surveillance et les procédures d'escalade des incidents vers les clients (CLD.12.4.5).

Les cycles de certification ISO 27001 étendus à ISO/IEC 27017 suivent le même rythme triennal : audit initial complet, puis audits de surveillance annuels.

La maîtrise d'ISO/IEC 27017 est une compétence technique recherchée dans plusieurs filières de la cybersécurité et de l'ingénierie cloud :

• le RSSI (Responsable de la Sécurité des Systèmes d'Information) doit intégrer les exigences cloud dans la politique de sécurité globale, gérer les relations contractuelles avec les fournisseurs cloud et superviser les audits de conformité ISO 27017 ;
• l'architecte cloud sécurité conçoit les environnements cloud en appliquant les contrôles de ségrégation, de chiffrement et de gestion des accès définis par la norme, et traduit le tableau de responsabilités partagées en exigences techniques ;
• l'auditeur en cybersécurité évalue la conformité des fournisseurs et des implémentations cloud vis-à-vis des contrôles CLD, en s'appuyant sur des référentiels croisés (ISO 27001, CSA STAR, SOC 2) ;
• le consultant en gestion des risques informatiques utilise ISO/IEC 27017 comme grille d'analyse lors de l'évaluation des risques liés au recours à des prestataires cloud tiers, notamment dans le cadre de diligences raisonnables (vendor due diligence).

Les formations conduisant à ces métiers abordent généralement ISO/IEC 27017 dans le cadre des certifications ISO 27001 Lead Implementer ou Lead Auditor (délivrées notamment par PECB, BSI ou LSTI), ainsi que dans les parcours spécialisés en sécurité du cloud tels que le CCSP (Certified Cloud Security Professional) de l'(ISC)² ou le CompTIA Cloud+.

• ISO/IEC 27001
• ISO/IEC 27002
• ISO/IEC 27018
• Sécurité du cloud
• Système de management de la sécurité de l'information
• Modèle de responsabilité partagée
• Gestion des risques informatiques
• Audit de cybersécurité
• Responsable de la sécurité des systèmes d'information
• Conformité RGPD