Conformité ISO/IEC 27017
Contrôles de sécurité cloud et responsabilités partagées
Qu’est-ce que l’ISO/IEC 27017 ?
ISO/IEC 27017 est une norme internationale fournissant des lignes directrices pour les contrôles de sécurité de l’information applicables aux services cloud. Elle étend le cadre ISO/IEC 27002 en traitant des risques et responsabilités spécifiques aux fournisseurs et aux clients de services cloud.
Son objectif est de garantir des environnements cloud sécurisés, de protéger les informations sensibles et de clarifier les responsabilités de sécurité partagées.
Exigences clés de l’ISO/IEC 27017 :
- Responsabilités partagées : Définir clairement les rôles et responsabilités de sécurité entre fournisseurs cloud et clients.
- Gestion des accès utilisateurs : Contrôler les accès privilégiés et appliquer une authentification forte aux ressources cloud.
- Journalisation et surveillance spécifiques au cloud : Garantir l’enregistrement, la surveillance et la traçabilité des activités liées au cloud.
- Protection des environnements virtuels : Protéger les machines virtuelles, conteneurs et flux de données entre eux.
- Contrats de services cloud : Définir les obligations de conformité, les mesures de protection des données et les droits d’audit dans les contrats.
Comment Visual Guard facilite la conformité ISO/IEC 27017 :
Gestion centralisée des accès :
Définir et appliquer les droits d’accès pour les applications et services cloud.
Authentification forte et MFA :
Appliquer le MFA et des mécanismes d’identité fédérée afin de sécuriser les connexions aux environnements cloud.
Traçabilité des activités cloud :
Capturer et conserver les journaux des actions utilisateurs dans des environnements SaaS, PaaS et sur site.
Règles basées sur les rôles et le contexte :
Restreindre l’accès aux ressources cloud sensibles selon le département, le rôle ou le contexte d’utilisation.
Support pour les audits de conformité :
Fournir des tableaux de bord et rapports démontrant le respect des contrôles ISO/IEC 27017.
Capacités techniques détaillées
Contrôle d’accès et gestion des utilisateurs
- Centralisation de la gestion des identités pour les utilisateurs cloud
- Application de règles basées sur les rôles et le contexte (département, locataire, localisation)
- Mise en œuvre de la séparation des tâches (SoD) et du principe du moindre privilège dans des environnements multi-locataires
Authentification forte et fédérée
- Application du MFA (OTP par email, SMS, application ou jetons matériels)
- Support du SSO et de l’authentification fédérée via Entra ID, Active Directory, SAML 2.0, OAuth 2.0 et OpenID Connect
Gestion du cycle de vie des identités
- Automatisation du provisionnement et du déprovisionnement des utilisateurs cloud
- Synchronisation des identités avec Entra ID, AWS IAM ou Google Workspace
Journalisation et surveillance
- Génération de journaux d’audit immuables des accès et actions administratives
- Fourniture de tableaux de bord de conformité et de rapports exportables
Règles contextuelles spécifiques au cloud
- Contrôles d’accès adaptatifs basés sur le locataire, la géolocalisation, l’appareil ou l’horaire
Cas d’usage
Application de l’ISO/IEC 27017 chez un fournisseur SaaS
Un fournisseur SaaS proposant des solutions RH et de paie doit s’aligner sur l’ISO/IEC 27017. Il doit appliquer un contrôle d’accès strict, sécuriser sa plateforme multi-locataires et assurer une traçabilité complète des accès aux données clients.
Comment Visual Guard a aidé :
- Centralisation de la gestion des identités pour des milliers d’organisations clientes.
- Application du MFA pour tous les administrateurs et utilisateurs privilégiés.
- Mise en place de restrictions d’accès par locataire pour isoler les données clients.
- Génération de rapports de conformité démontrant l’adhésion à l’ISO/IEC 27017.
Résultat : Le fournisseur SaaS a sécurisé sa plateforme cloud, renforcé la confiance de ses clients et simplifié sa certification en démontrant clairement sa conformité à l’ISO/IEC 27017.