ISO/IEC 27001 définit un système de management de la sécurité de l’information générique, tandis qu’ISO/IEC 27017 et ISO/IEC 27018 apportent des lignes directrices spécifiques au cloud. Elles précisent les responsabilités partagées et la protection des données dans les environnements cloud.
ISO/IEC 27001 établit un cadre général pour la gestion de la sécurité de l’information. ISO/IEC 27017 et ISO/IEC 27018 complètent ce cadre en apportant des contrôles et des orientations spécifiques aux environnements cloud, notamment sur la répartition des responsabilités et la protection des données personnelles.
Avec l’externalisation croissante des infrastructures, les exigences de gouvernance et de conformité se sont renforcées. Les auditeurs et autorités attendent des organisations qu’elles démontrent comment les exigences générales de sécurité sont adaptées au cloud, où les actifs ne sont plus directement maîtrisés.
ISO/IEC 27017 traite de sujets comme la gestion des machines virtuelles, les accords contractuels cloud et les opérations administratives. ISO/IEC 27018 se concentre sur la confidentialité, incluant le consentement, la limitation des finalités et la notification des violations de données. Les deux normes s’appuient sur ISO/IEC 27001 comme socle de management.
Les organisations utilisent ISO/IEC 27001 pour structurer leur ISMS et appliquent ISO/IEC 27017 et 27018 aux services cloud inclus dans le périmètre, afin de définir les contrôles et preuves attendues.
Nous observons souvent des implémentations cloud qui se limitent à une déclaration de conformité. Les organisations les plus matures documentent précisément qui fait quoi, comment les contrôles sont vérifiés et comment les incidents sont gérés avec les fournisseurs. C’est cette précision opérationnelle qui fait la différence lors des audits.
“« ISO 27001 définit le cadre, mais ISO 27017 et 27018 traduisent ce cadre dans la réalité du cloud. »”
Expert Trainer
Expert Trainer
La certification PECB Certified Lead Cloud Security Manager valide la capacité à concevoir, mettre en œuvre, gérer et améliorer un programme de sécurité cloud fondé sur ISO/IEC 27017 et ISO/IEC 27018. Elle atteste la maîtrise de la gestion des risques cloud, des responsabilités partagées, des contrôles spécifiques et de la gestion des incidents.
L’ISO/IEC 27005 fournit les lignes directrices opérationnelles permettant de réaliser les évaluations et traitements des risques exigés par l’ISO/IEC 27001. Elle détaille la mise en œuvre de la clause 6.1.2 de manière structurée et vérifiable.
La certification ISO 27001 Foundation valide la compréhension de la structure, des principes et de la logique de gouvernance d’un Système de management de la sécurité de l’information (SMSI) conforme à ISO/IEC 27001:2022. Elle atteste la capacité à interpréter la norme et à expliquer comment gouvernance, gestion des risques, contrôles, audits et amélioration continue s’articulent.
Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.