Iso 27001 pour le cloud

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Lorsque l’on parle de sécurisation des informations confidentielles, la première chose qui vient à l’esprit est la certification ISO 27001. La norme ISO 27001 aide les organisations à rendre plus sûres leurs politiques et procédures de sécurité de l’information et de protection des données. Depuis sa première publication, elle a gagné en importance et les entreprises sont chaque année plus nombreuses à demander la certification. Il s’agit de l’une des normes les plus importantes dans le domaine de la sécurité informatique et elle peut être appliquée à tout type de système de gestion des données, comme un fournisseur de services en nuage nécessitant une certification de l’Organisation internationale de normalisation (ISO) ou de l’Organisation mondiale de la santé (OMS). Sources : 5,2,16,4]

Un système conforme à la norme ISO 27001 garantit la responsabilité des fournisseurs et aide les clients à prendre des décisions éclairées sur la sécurité de leurs données dans le cloud. Il s’agit d’un outil externe important pour démontrer la qualité et la sécurité des services en nuage. La certification ISO-27001 et 27018 est une étape importante dans l’établissement de normes appropriées pour les entreprises qui traitent et stockent des données dans les nuages. Sources : 12,11,6]

Pour avoir une meilleure idée de ce à quoi vous devez vous préparer, voici quelques-uns des contrôles inclus dans la norme ISO 27018. La norme ISO 27018 comporte un ensemble de contrôles qui peuvent résoudre le problème du CISO d’une entreprise qui doit gérer le cloud. L’aspect le plus important de la façon dont l’infrastructure est construite et gérée dans le cloud est la certification ISO 27001, qui est maintenue par les fournisseurs de services de cloud public. Sources : 0,4,6]

Conformément à la norme ISO – IEC 27001, cette certification est complétée par deux autres normes pour les services en nuage : ISO-27017 et ISO / I EC 27018, qui portent sur les exigences en matière de protection des données personnelles. La norme ISO / Iec 27017 (2015) définit des exigences supplémentaires pour la gestion des infrastructures de cloud, tandis que la norme ISO / IEC27018 (2019) prévoit la protection des données personnelles telles que les mots de passe, les numéros de carte de crédit et d’autres données sensibles. Il faut examiner chacune de ces normes pour voir comment elles peuvent fonctionner ensemble pour protéger vos données personnelles dans le cloud. Sources : 7,15,3]

La norme ISO-27017 se concentre sur la protection des informations dans les services en nuage, tandis que la norme ISO / IEC 27018 se concentre sur la protection de la vie privée dans le nuage, comme décrit dans les exigences de protection des données personnelles. ISO / Iec 27001 est une norme largement connue qui fournit des lignes directrices pour la gestion de la sécurité de l’information pour le cloud computing et la gestion de l’infrastructure du cloud. La famille ISO 27000 définit les meilleures pratiques en matière de gestion de la sécurité de l’information. La norme ISO / 27018 a été la première du genre au monde et constitue la base de la norme CSA STAR (Cloud Information Security Standard), un cadre d’évaluation de la sécurité de l’information, cette dernière concernant spécifiquement le cloud computing. Sources : 10,3,6,5]

L’ISO / 27001 a contribué à l’élaboration de la norme CSA STAR (Cloud Information Security Standard) en coopération avec l’ISO / IEC 27017 en 2015. Établie en octobre 2005 par l’Organisation internationale de coopération et de développement économiques (ISO) et l’Union européenne (UE), la norme ISO 27001 (2005) a été conçue pour garantir que les entreprises mettent en œuvre la sécurité d’une manière uniforme, cohérente et rentable. La norme fournit un cadre pour améliorer et étendre les systèmes de gestion de la sécurité de l’information, tels que le système de protection des données et de gestion de l’information (PIMS). InISO / 27002 et la protection des données dans les services en nuage. Basé sur l’ISO et l’Iec 2701 Cloud Services, qui fournissent des conseils basés sur l’ISO (2702) pour la gestion de l’infrastructure du nuage. [Sources : 12,9,14,8]

L’idée est que les organisations ont une structure de caractéristiques générales qui est couverte par ISO / 27001, et des contrôles de sécurité spécifiques qui sont couverts par la matrice des contrôles du cloud de la CSA. En d’autres termes, l’ISO (27017) propose des contrôles spécifiques pour les domaines où l’ISO / 27002 ne couvre pas adéquatement le cloud. La collaboration avec des fournisseurs de services en nuage certifiés tels que Amazon Web Services (AWS) et Microsoft Azure montre que, quel que soit le type de service en nuage, des mesures importantes peuvent être prises pour protéger les données personnelles des utilisateurs dans un environnement en nuage. Sources : 10,3,6]

En identifiant les menaces pesant sur les systèmes d’information de PTC et en améliorant leurs pratiques de sécurité, la certification ISO / 27001 permet d’accroître la confiance dans nos produits et services et d’accroître la confiance de nos clients. Sources : 1]

La certification ISO / 27001 est délivrée sur une période de trois ans et est destinée à couvrir les systèmes de gestion actifs. Avec la certification ISO / 27001 for Cloud nouvellement acquise pour FireEye Email Security Cloud Edition, OVHcloud consolide son arsenal pour renforcer la confiance des clients et la sécurité de son infrastructure. Il faut confirmer aujourd’hui que vos données de messagerie sont sécurisées grâce à la certification ISO (International Organization for Standardization) reçue. Le système de gestion de la sécurité de l’information (ISMS) pris en charge dans l’édition cloud de la sécurité de la messagerie Fire eyeEUR ™ est limité à la prise en charge de la messagerie électronique, du webmail, des SMS, des médias sociaux et d’autres formes de communication par e-mail. Il existe une déclaration d’applicabilité du 11 juin 2018 pour l’édition cloud de Fire Eye Email Security. [Sources : 7,13,13,16]

La certification ISO / 27001 exige deux années de surveillance pour vérifier que le système de gestion de la sécurité de l’information (SGSI) a été maintenu par des activités d’amélioration continue, y compris la surveillance continue de la performance du système et la conformité aux exigences ISO / 27001. Sources : 16]

Sources: 

  • 0] : https://www.cloudneeti.com/2018/06/cloudneeti-offers-iso-27001-continuous-validation-for-public-cloud-workloads/
  • 1] : https://www.upu.int/en/Postal-Solutions/Technical-Solutions/Products/ISO-27001-certified-cloud-environment
  • 2] : https://www.markleygroup.com/blog/1/information-security-with-iso-27001
  • 3] : https://advisera.com/27001academy/blog/2015/11/30/iso-27001-vs-iso-27017-information-security-controls-for-cloud-services/
  • [4] : https://www.valencynetworks.com/blogs/how-iso-27001-will-make-your-cloud-secure/
  • [5] : https://www.blazeclan.com/blog/raising-the-cloud-information-security-layer-through-iso-27001-certification/
  • [6] : https://auth0.com/blog/what-is-iso-27018-2019-everything-executives-need-to-know/
  • [7] : https://www.ovh.com/world/news/press/cpl1778.security-and-data-protection-ovhcloud-expands-iso-27001-and-iso-27701-certifications-all-its-cloud
  • [8] : https://www.dropbox.com/business/trust/compliance/certifications-compliance
  • [9] : https://www.e-startupindia.com/blog/what-is-the-role-of-iso-27001-in-cloud-computing/10238.html
  • [10] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs-cloud-security-alliance-star
  • [12] : https://www.mimecast.com/resources/press-releases/dates/2012/3/mimecast-attains-isoiec-27001-security-certification/
  • [13] : https://www.fireeye.com/blog/products-and-services/2018/10/email-security-in-the-cloud-why-iso-27001-and-fedramp-reauthorization-matter.html
  • [16] : https://www.schellman.com/blog/fedramp-vs-iso-27001