ISO 27017 et 27018 : sécurité et confidentialité cloud

·

Lorsqu'une entreprise transfère ses données vers le cloud, elle signe un contrat avec son prestataire et fait confiance à ce qu'il y ait de l'autre côté bien plus que de bonnes intentions. Les normes ISO/IEC 27017:2015 et ISO/IEC 27018:2019 formalisent cette confiance : la première établit des contrôles de sécurité spécifiques aux services cloud ; la seconde ajoute une couche de protection pour les données à caractère personnel traitées dans ces environnements. Ensemble, elles couvrent le périmètre qu'ISO 27001, seule, laisse ouvert dans les contextes de cloud public ou hybride.

Note : ISO/IEC 27018 a été révisée en 2025 (édition en vigueur : ISO/IEC 27018:2025, publiée en octobre 2025, qui remplace l'édition de 2019). Le contenu de cet article est applicable aux deux éditions ; les principes et contrôles de confidentialité ont été maintenus en alignement avec ISO/IEC 27002:2022.

Chez Summum Marketing, nous accompagnons les entreprises depuis 2007 dans la mise en œuvre de systèmes de gestion de l'information. Nous avons constaté comment la migration massive vers le cloud a conduit des clients qui détenaient déjà ISO 27001 à devoir étendre leur certification à ces deux normes. Cet article explique ce que couvre chaque norme, quand la certification est obligatoire ou recommandée, et comment s'articule le processus lorsqu'on part de zéro ou d'une ISO 27001 existante.

Qu'est-ce qu'ISO 27017 : contrôles de sécurité pour le cloud

ISO/IEC 27017:2015 est un guide de contrôles de sécurité de l'information spécifiquement conçu pour les services cloud. Ce n'est pas une norme certifiable de façon indépendante : elle étend l'Annexe A d'ISO 27001 avec sept contrôles supplémentaires absents du catalogue original et précise comment d'autres contrôles existants doivent être appliqués lorsque l'environnement est cloud.

Les sept contrôles exclusifs qu'ajoute ISO 27017 répondent à des questions que tout dirigeant devrait se poser avant de signer un contrat avec un prestataire cloud :

La norme s'adresse à deux acteurs : le fournisseur de services cloud (CSP) — AWS, Azure, Google Cloud, un centre de données propre — et le client cloud (CSC) — l'entreprise qui utilise ces services. Chaque contrôle précise si la responsabilité incombe au CSP, au CSC ou aux deux. Cela supprime la zone grise qui existe dans de nombreux contrats de services gérés.

Qu'est-ce qu'ISO 27018 : confidentialité des données personnelles dans le cloud

ISO/IEC 27018:2025 (troisième édition, publiée en octobre 2025, qui révise et remplace l'édition de 2019) protège la vie privée des personnes physiques dont les données sont traitées dans des services cloud. Elle s'applique aux prestataires agissant en tant que sous-traitants au sens du Règlement général sur la protection des données (RGPD) : des entreprises qui traitent des données à caractère personnel pour le compte d'une autre organisation.

Si votre entreprise sous-traite la gestion des salaires à un SaaS RH, ou stocke des fiches clients dans un CRM cloud, le prestataire de ce service devrait pouvoir justifier d'ISO 27018. La norme fixe des principes tels que :

ISO 27018 n'est pas une certification de conformité au RGPD — cela relève de l'autorité nationale compétente — mais elle constitue une preuve technique reconnue qui facilite l'accréditation des sous-traitants et renforce les garanties contractuelles exigées par l'article 28 du RGPD.

Différences clés entre ISO 27017 et ISO 27018

Dimension ISO 27017:2015 ISO 27018:2019
Objet Sécurité de l'information dans les services cloud Confidentialité des données personnelles dans le cloud
Destinataires Prestataires et clients cloud (CSP et CSC) Prestataires cloud agissant comme sous-traitants
Cadre de référence Étend l'Annexe A d'ISO 27001 Étend ISO 27001 avec des principes de confidentialité (alignée sur ISO 29100)
Relation avec le RGPD Indirecte : améliore la sécurité technique que le RGPD exige Directe : couvre les garanties du sous-traitant (art. 28 RGPD)
Est-elle certifiable ? Oui, en tant qu'extension d'ISO 27001 Oui, en tant qu'extension d'ISO 27001
Version en vigueur ISO/IEC 27017:2015 ISO/IEC 27018:2025
Type de données protégées Tous les actifs informationnels dans le cloud Exclusivement les données à caractère personnel (PII)

Sont-elles certifiables ? Comment fonctionnent-elles avec ISO 27001 ?

Voici la question la plus fréquente : aucune des deux normes ne peut être certifiée de façon autonome. Toutes deux fonctionnent comme des extensions d'ISO 27001. Le processus habituel est le suivant :

  1. L'organisation met en œuvre ISO 27001 comme base (Système de Management de la Sécurité de l'Information, SMSI).
  2. Sur ce SMSI, on ajoute les contrôles supplémentaires d'ISO 27017, d'ISO 27018 ou des deux.
  3. L'organisme de certification accrédité (AENOR, Bureau Veritas, SGS, BSI ou d'autres accrédités par l'organisme national d'accréditation compétent) délivre un certificat ISO 27001 mentionnant explicitement dans son périmètre les extensions cloud appliquées.

Certains organismes délivrent des certificats combinés du type « ISO 27001:2022 + ISO 27017:2015 + ISO 27018:2019 ». Cela est particulièrement courant chez les prestataires SaaS ou dans les entreprises souhaitant se différencier auprès de clients du secteur public, financier ou de la santé.

Si votre entreprise dispose déjà d'une ISO 27001 en vigueur, l'extension à ISO 27017 et ISO 27018 n'impose pas de recommencer tout le processus depuis zéro. Il s'agit d'une analyse des écarts (gap analysis) sur les contrôles actuels, de l'intégration des contrôles cloud manquants et d'un audit d'extension. L'effort est significativement moindre qu'une première certification.

Si vous ne disposez pas encore d'ISO 27001, notre service de mise en œuvre ISO 27001 est le point de départ naturel : nous le construisons dès le début en tenant compte des exigences cloud afin que l'extension à ISO 27017 et ISO 27018 soit une étape simple et non un projet distinct.

Qui devrait certifier ISO 27017 et ISO 27018

Toutes les organisations n'ont pas besoin de ces certifications, mais certains profils les trouvent presque indispensables :

Prestataires de services SaaS, IaaS ou PaaS

Si votre activité consiste à fournir une infrastructure ou un logiciel en tant que service, ISO 27017 est la preuve que vos clients professionnels vous demanderont avant de signer un contrat. Les grands comptes — administrations publiques, banques, secteur de la santé, industries réglementées — incluent déjà ISO 27017 dans leurs cahiers des charges, soit comme exigence obligatoire, soit comme critère de notation.

Entreprises qui sous-traitent le traitement de données personnelles

Si votre CRM, votre plateforme d'e-mail marketing, votre ERP ou votre système de gestion RH fonctionnent dans le cloud et traitent des données de personnes physiques (employés, clients, patients), ISO 27018 chez le prestataire est la garantie technique que le RGPD vous oblige à vérifier. La signature d'un accord de sous-traitance ne suffit pas : il vous faut la preuve que les contrôles sont réellement appliqués.

Entreprises dont les clients opèrent dans des secteurs réglementés

La santé (loi nationale sur la protection des données, NIS2), les services financiers (DORA, PSD2), le secteur public (schémas nationaux de sécurité) et la défense exigent des niveaux d'assurance qui vont au-delà d'ISO 27001 de base. ISO 27017 et ISO 27018 couvrent une grande partie de cet écart et facilitent la conformité croisée.

Entreprises cherchant à se différencier commercialement

La certification est visible. La publier sur votre site web, dans vos propositions et dans vos contrats réduit les frictions commerciales avec les acheteurs qui disposent de listes de contrôle en matière de sécurité. Dans les secteurs où plusieurs prestataires possèdent ISO 27001, celui qui ajoute 27017 et 27018 part avec un avantage.

Comment se déroule le processus de mise en œuvre : étapes pratiques

Le chemin de la décision au certificat comporte des phases bien définies. Chez Summum, nous accompagnons tout le parcours, sans déléguer au client la partie technique ni documentaire :

1. Diagnostic initial (gap analysis cloud)

Nous dressons l'inventaire des services cloud utilisés par l'organisation (IaaS, PaaS, SaaS), identifions les flux de données personnelles qui transitent par ces services et comparons les contrôles actuels avec ceux exigés par ISO 27017 et ISO 27018. Le résultat est un plan d'action priorisé par niveau de risque.

2. Conception du périmètre et politique de sécurité cloud

Nous définissons quels services cloud entrent dans le périmètre de certification, documentons les responsabilités partagées avec chaque prestataire et mettons à jour la politique de sécurité pour refléter l'environnement hybride ou multicloud réel.

3. Mise en œuvre des contrôles

Nous appliquons les sept contrôles exclusifs d'ISO 27017 et les procédures de confidentialité d'ISO 27018 : procédure de suppression sécurisée des données en fin de contrat, protocole de notification des violations, gestion des accès privilégiés dans les environnements virtualisés, segmentation des réseaux cloud et journaux d'activité consolidés entre prestataire et client.

4. Audit interne et revue de direction

Nous vérifions en interne que les contrôles fonctionnent avant d'exposer le système à l'audit externe. Nous identifions et corrigeons les écarts mineurs. La direction examine et approuve le système étendu.

5. Audit de certification

L'organisme accrédité réalise l'audit de phase 1 (revue documentaire) et de phase 2 (vérification sur site). En l'absence de non-conformités majeures, il délivre le certificat avec le périmètre cloud défini.

Si vous détenez déjà ISO 27001, le processus se condense : le gap analysis est plus rapide, la documentation de base existe déjà et l'audit externe peut être envisagé comme un audit d'extension de périmètre. Dans de nombreux cas, le délai total du début jusqu'au certificat se situe entre trois et six mois.

Vous pouvez obtenir davantage d'informations sur notre service spécifique sur la page de mise en œuvre et certification ISO 27017 et ISO 27018, où nous détaillons le périmètre, les phases et les profils d'entreprises qui en bénéficient le plus.

ISO 27017 et ISO 27018 dans le contexte réglementaire 2025-2026

L'environnement normatif a évolué de façon notable au cours des deux dernières années et renforce la pertinence de ces normes :

Le constat est clair : si votre entreprise opère dans le cloud et sert des clients réglementés ou l'administration publique, ISO 27017 et ISO 27018 cessent d'être optionnelles et deviennent une condition d'accès au marché.

Questions fréquentes

Puis-je certifier ISO 27017 ou ISO 27018 sans disposer d'ISO 27001 ?

Non. Les deux normes sont des extensions d'ISO 27001 et requièrent que le Système de Management de la Sécurité de l'Information (SMSI) de base soit mis en œuvre et certifié. ISO 27001 établit le cadre de management, les contrôles, les audits internes et les revues de direction sur lesquels s'appuient les contrôles cloud supplémentaires. Sans cette base, aucune certification n'est possible. Si vous partez de zéro, le projet commence par ISO 27001 et intègre les exigences cloud dès le départ afin que l'extension à 27017 et 27018 s'inscrive dans le même effort, et non dans un projet ultérieur.

ISO 27018 équivaut-elle à la conformité au RGPD ?

Elle n'y est pas équivalente, mais elle la complète. ISO 27018 n'est pas une certification de conformité réglementaire au sens du RGPD ; les autorités nationales de contrôle ne la reconnaissent pas comme substituable aux obligations légales. Ce qu'elle fait, c'est fournir une preuve technique auditée que le prestataire cloud applique des contrôles de confidentialité alignés sur les principes du RGPD (minimisation, limitation des finalités, droit à l'effacement, notification des violations). Cette preuve facilite considérablement la diligence raisonnable exigée par l'article 28 du RGPD lorsque le responsable du traitement doit démontrer qu'il a choisi un sous-traitant offrant des garanties suffisantes.

Combien de temps dure le processus si nous disposons déjà d'ISO 27001 ?

Cela dépend du nombre de services cloud dans le périmètre et du niveau de maturité des contrôles actuels, mais la plage habituelle est de trois à six mois. Le gap analysis initial dure généralement deux à quatre semaines ; la mise en œuvre des contrôles supplémentaires, entre six et dix semaines ; et l'audit externe est planifié une fois le système stabilisé. Le facteur qui raccourcit le plus les délais est d'avoir l'architecture cloud et les contrats avec les prestataires bien documentés. Si cette documentation n'existe pas, la génération de l'inventaire des services et des matrices de responsabilités partagées prend du temps avant de pouvoir s'attaquer aux contrôles.

Les grands prestataires cloud comme Azure ou AWS disposent déjà de ces certifications. En bénéficié-je automatiquement ?

Microsoft Azure, Amazon Web Services et Google Cloud sont certifiés ISO 27017 et ISO 27018 sur leur infrastructure. Cependant, cela ne couvre que la responsabilité du prestataire selon le modèle de responsabilité partagée. La couche applicative, la configuration des accès, la gestion des identités, les sauvegardes et le traitement des données personnelles effectués par votre organisation sur cette infrastructure demeurent de votre responsabilité. Utiliser Azure avec ISO 27017 ne fait pas automatiquement de votre organisation une entité certifiée ISO 27017 : vous devez démontrer que vous appliquez également les contrôles qui vous incombent en tant que client cloud (CSC). C'est précisément dans cet écart qu'intervient Summum.