Nous vivons aujourd’hui dans un contexte de numérisation et d’expansion des technologies de l’information par les organisations. L’un des aspects de transformation les plus importants est le transfert des systèmes de calcul et de stockage vers les fournisseurs dans le cloud, en raison des grands avantages et du potentiel de ces services.
Comme on pouvait s’y attendre, ces changements entraînent de nouveaux risques et de nouvelles opportunités en matière de sécurité de l’information, qui doivent être gérés correctement, de la même manière qu’ils sont appliqués et gérés lorsqu’il s’agit de systèmes internes. Les deux cas doivent être inclus dans le champ d’application du Système de gestion de la sécurité de l’information (SGSI) de la compagnie, basé sur la norme ISO 27001, afin de répondre aux exigences de l’entreprise.
Quels contrôles complémentaires la norme ISO 27017 introduit-elle ?
La norme ISO 27017 introduit un ensemble de contrôles complémentaires à la norme ISO 27002, axés sur les services déployés dans le nuage et les fournisseurs qui les réalisent, en proposant des contrôles spécifiques liés à la gestion et à la fourniture de services sécurisés dans le nuage.
Il convient de rappeler que la norme ISO 27001 définit un ensemble de 114 contrôles de sécurité structurés en 14 domaines, qui sont appliqués dans le cadre du champ d’application établi par chaque compagnie lors de la mise en œuvre de son système de gestion de la sécurité de l’information.
En ce qui concerne la gestion des risques, des références sont établies pour l’identification et l’atténuation des risques spécifiques liés aux environnements en nuage, afin qu’ils puissent être traités de manière appropriée.
En outre, la mise en œuvre de la norme ISO 27017 donne aux fournisseurs de services en nuage une image de cohérence et d’implication dans la gestion de la sécurité vis-à-vis de leurs clients, et nécessite de disposer au préalable de la norme ISO 27001. L’objectif principal est la gestion sécurisée des données stockées par les clients, en augmentant la confiance dans la gestion et le traitement de l’information.
Sur quoi la norme ISO 27017 porte-t-elle principalement ?
Cette norme porte sur la protection des environnements de virtualisation et la configuration des machines virtuelles qui y sont hébergées pour la prestation des services, ainsi que sur le processus de livraison et d’élimination des informations lorsqu’un client met fin à son contrat avec un fournisseur de services en nuage.
De même, elle établit le cadre de la relation entre le client et le fournisseur de services en nuage, en ce qui concerne la gestion et l’administration des services proposés par le fournisseur, dans le but de garantir la protection des dimensions clés de la sécurité de l’information, telles que la confidentialité, l’intégrité et la disponibilité des informations.
Du point de vue des entreprises qui souhaitent mettre en œuvre ou transférer une partie de leurs systèmes et services vers le cloud, la norme ISO 27017 fournit une référence claire en termes de contrôles et de risques qui doivent être correctement évalués et traités, ainsi qu’une visibilité des fournisseurs de services en nuage correctement alignés sur la technologie, la gestion des risques et la sécurité.
Pour les fournisseurs de services en nuage, il s’agit d’une excellente occasion de transmettre la confiance et la responsabilité dans les produits et services proposés.
Comment aborder la norme ISO 27017 par le biais d’un logiciel ?
Chez GlobalSuite Solutions, nous disposons de GlobalSuite® Security, un logiciel entièrement développé par notre équipe qui permet la mise en œuvre, la gestion et la maintenance des systèmes de gestion de la sécurité de l’information basés sur les normes ISO 27001 et ISO 27017. Cet outil aide les entreprises et les équipes de travail dans la gestion intégrale de la norme et respecte le cycle complet de celle-ci, depuis le début et la planification du projet jusqu’à la maintenance et l’amélioration continue.
En outre, notre équipe de consultants spécialisés offre les conseils et le soutien nécessaires pour aider les entreprises à se conformer aux normes ISO 27001 et ISO 27017.