Management de la qualité

Certification ISO 27017

La norme ISO 27017 fournit un cadre de référence pour répondre de façon structurée et documentée aux risques spécifiques liés à l’utilisation de services cloud (environnements mutualisés, accès distants, responsabilités partagées entre fournisseurs et clients, etc.).

Organisme de certification à l’expertise reconnue et acteur majeur de la confiance numérique, Certi-Trust mène des projets de certification ISO 27017. Cette démarche, qui intervient en extension d’une certification ISO 27001, constitue un signal de maturité.

Qu’est-ce que la norme ISO 27017 ?

L’ISO/IEC 27017:2015 Technologies de l’information – Techniques de sécurité est un code de bonnes pratiques pour les contrôles de sécurité de l’information. Cette norme s’appuie sur l’ISO/IEC 27002, avec des recommandations de sécurité spécifiques aux services d’informatique en nuage. Elle s’adresse à la fois aux fournisseurs de services cloud et à leurs clients.

La norme précise, pour chacune de ces deux catégories d’acteurs, les responsabilités qui leur incombent dans le cadre du modèle de « responsabilité partagée ». Elle propose des contrôles de sécurité additionnels adaptés aux caractéristiques propres aux environnements cloud : virtualisation, architecture multi-tenant, gestion des accès administrateurs, séparation des environnements, journalisation et suppression sécurisée des données.

La certification ISO 27017 intervient en extension d’un Système de Management de la Sécurité de l’Information (SMSI) ISO 27001 existant. Elle l’enrichit par des contrôles de sécurité ciblant précisément les risques liés au cloud.

Quels sont les objectifs de la norme ISO 27017 ?

  • Adapter les mesures de sécurité aux risques propres aux environnements cloud : virtualisation, multi-tenancy, accès distants, etc.
  • Clarifier les responsabilités respectives entre les fournisseurs de services cloud et les clients.
  • Renforcer la maîtrise des données et des ressources hébergées dans le cloud.
  • Démontrer la conformité aux exigences de sécurité cloud, à la fois pour les clients et les donneurs d’ordre.

Quels sont les avantages de la certification ISO 27017 ?

  • Différenciation sur le marché des services cloud, qui s’avère être de plus en plus concurrentiel.
  • Preuve externe et indépendante de la maturité des pratiques de sécurité cloud.
  • Réponse directe aux exigences des donneurs d’ordre en matière de sécurité des prestataires numériques.
  • Complémentarité naturelle avec les normes ISO 27001 et ISO 27018, pour une couverture globale de la sécurité cloud.

Comment se déroule le processus de certification ISO 27017 ?

L’obtention d’une certification ISO repose sur un processus d’évaluation structuré, conduit par des auditeurs compétents et indépendants, conformément aux exigences de la norme ISO/IEC 17021-1.

  1. 1

    Recevabilité et contractualisation

    Une analyse préalable de la demande permet de définir le périmètre d’application, de dimensionner le programme d’audit et de constituer l’équipe d’évaluation. Un contrat formalise l’engagement des deux parties.

  2. 2

    Audit de phase 1 – Revue du système documentaire

    L’équipe d’audit procède à l’examen des informations documentées du système de management (politique, procédures, résultats d’audits internes, revue de direction) afin de statuer sur la préparation de l’organisme pour la phase suivante.

  3. 3

    Audit de phase 2 – Évaluation sur site

    L’équipe d’audit évalue in situ la mise en œuvre effective et l’efficacité du système de management, au travers d’entretiens avec le personnel, d’observations terrain et de l’examen des preuves de conformité.

  4. 4

    Rapport d'audit et décision de certification

    Les constats sont consignés dans un rapport d’audit transmis à un Certification Manager, seul habilité à prononcer la décision de délivrance du certificat.

  5. 5

    Surveillance et renouvellement triennal

    Le maintien de la certification est assuré par des audits de surveillance périodiques, garants de l’amélioration continue, suivis d’un audit de renouvellement à l’échéance du cycle de trois ans.

Pourquoi choisir Certi-Trust pour sa certification ISO 27017 ?

  • Présence internationale

    Grâce à ses différentes implantations, Certi-Trust est présent en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient. Son expertise et ses certifications sont reconnues à l’international.

  • Acteur majeur de la confiance numérique

    Certi-Trust a fait de la confiance numérique son cœur de métier. Son expertise sur les enjeux de cybersécurité et de souveraineté numérique est de plus en plus reconnue par les professionnels de ces secteurs.

    Organisme de certification sur les normes ISO et centre d’évaluation pour les programmes de qualification ANSSI, Certi-Trust est capable de répondre à l’ensemble des projets de conformité des entreprises. Grâce à ses équipes d’auditeurs et d’évaluateurs, Certi-Trust couvre différentes normes ISO et référentiels ANSSI, de manière conjointe. Un vrai gain en efficacité pour les entreprises.

  • Expertise, efficacité et adaptabilité

    Grâce à leur expertise technique et leur maîtrise fine de nombreux référentiels ISO, les équipes d’auditeurs Certi-Trust se distinguent par leur efficacité. Cette expertise se traduit par une qualité de service constante, et une capacité à s’adapter aux besoins des organisations.