Seguridad en la nube

ISO 27017 · ISO 27018

Chaque fois que votre entreprise utilise Microsoft 365, AWS ou tout autre cloud public, les données de vos clients et de vos employés sont entre les mains d'un tiers. ISO 27017 et ISO 27018 sont les normes internationales qui définissent comment les protéger et démontrer cet engagement auprès de vos clients, auditeurs et régulateurs.

NormesISO/IEC 27017:2015 · ISO/IEC 27018:2025
Durée estimée4 à 6 mois (sur ISO 27001 existante)
PérimètreEntreprises utilisant des services ou des données dans le cloud public

Le cloud a changé l'endroit où résident les données, mais il n'a pas changé qui doit rendre des comptes au régulateur ou à un client lorsqu'une violation survient. ISO 27017 ajoute 37 contrôles adaptés à l'environnement cloud (dont 7 exclusifs au cloud) aux exigences de base d'ISO 27001 : elle définit quelles responsabilités incombent au fournisseur et lesquelles incombent au client, comment durcir les machines virtuelles, comment garantir la ségrégation entre environnements et comment surveiller ce qui se passe au sein du service. Il en résulte une cartographie claire de la sécurité pour toute entreprise utilisant une infrastructure en tant que service (IaaS), une plateforme (PaaS) ou un logiciel (SaaS).

ISO 27018, dans son édition la plus récente (2025), va plus loin et se concentre sur les données personnelles : elle établit un ensemble de contrôles visant à garantir le consentement éclairé, à limiter l'utilisation des informations aux finalités contractuelles, à faciliter la suppression sécurisée à la fin du service et à maintenir la transparence sur les sous-traitants utilisés. Ses principes sont complémentaires du RGPD, de sorte que la mise en œuvre d'ISO 27018 renforce directement la conformité réglementaire déjà exigible. L'édition d'août 2025 intègre également des orientations spécifiques pour les conteneurs et les microservices, alignées sur les architectures cloud actuelles.

Aucune des deux normes n'est certifiable de manière indépendante : elles sont auditées en tant qu'extensions du Système de Management de la Sécurité de l'Information (SMSI) fondé sur ISO 27001. Cela signifie que, si votre entreprise dispose déjà — ou est en train d'implanter — ISO 27001, ajouter le périmètre d'ISO 27017 et ISO 27018 ne revient pas à repartir de zéro : il s'agit d'étendre le SMSI avec les contrôles spécifiques au cloud et de soumettre ce périmètre élargi à l'audit d'un tiers accrédité (AENOR, Bureau Veritas, SGS ou un autre organisme). Le certificat émis par ce tiers est ce qui atteste la conformité ; Summum Calidad vous accompagne tout au long du processus de préparation.

Le processus ISO 27017.

Le processus · quatre étapes
01

Diagnostic de maturité cloud

Nous cartographions tous les services cloud utilisés par votre entreprise (SaaS, IaaS, PaaS), identifions quelles données personnelles ou critiques y résident et évaluons le niveau de contrôle actuel par rapport aux exigences d'ISO 27017 et ISO 27018. Le résultat est un rapport d'écarts avec une priorisation par niveau de risque.

02

Conception et mise en œuvre des contrôles

Nous développons ou adaptons les politiques, procédures et mesures techniques nécessaires : clauses de responsabilité partagée avec les fournisseurs cloud, durcissement des environnements virtuels, chiffrement des données en transit et au repos, gestion des sous-traitants, procédures de suppression sécurisée des données en fin de contrat, et mécanismes de réponse aux incidents dans le cloud.

03

Intégration dans le SMSI

Nous élargissons le périmètre du SMSI ISO 27001 (existant ou en cours d'implantation) pour inclure les contrôles d'ISO 27017 et ISO 27018. Nous mettons à jour la déclaration d'applicabilité, l'évaluation des risques et la documentation du système afin que tout soit tracé et auditable.

04

Audit et accompagnement à la certification

Nous réalisons un pré-audit interne pour détecter les non-conformités avant que l'organisme de certification ne le fasse. Nous vous accompagnons tout au long de l'audit tierce partie — en répondant aux questions techniques, en fournissant les preuves, en coordonnant avec votre équipe — jusqu'à l'émission du certificat.

Ce qui est inclus

Ce qu'inclut ISO 27017.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Inventaire et classification des services cloud

    Catalogue complet des fournisseurs, contrats et données traitées dans le cloud, avec les responsabilités assignées selon le modèle de responsabilité partagée.

  • Politiques de sécurité cloud

    Documentation des contrôles spécifiques à l'IaaS, au PaaS et au SaaS : accès privilégiés, segmentation des réseaux virtuels, durcissement des images de machines virtuelles.

  • Cadre de protection de la vie privée dans le cloud (ISO 27018)

    Procédures de consentement, de conservation, de portabilité et de suppression des données personnelles hébergées dans des clouds publics, alignées sur le RGPD.

  • Gestion des sous-traitants

    Registre mis à jour des sous-traitants des fournisseurs cloud, évaluation de leur niveau de sécurité et clauses contractuelles obligatoires.

  • Plan de réponse aux incidents cloud

    Procédure spécifique pour les violations de sécurité dans les environnements cloud : confinement, notification à l'autorité de contrôle dans le délai légal (72 heures), communication aux personnes concernées et reprise d'activité.

  • Audit interne et pré-audit de certification

    Revue indépendante du système avant l'audit externe, avec un rapport de constatations et un plan d'actions correctives pour arriver à la certification sans surprises.

Cluster Summum

Comment il se connecte aux sœurs.

La sécurité dans le cloud rejoint la stratégie de cybersécurité managée de Summum Sistemas (SOC et cloud) et la conformité réglementaire de Summum Consultoría (NIS2, RGPD, DPD externalisé) : lorsqu'un projet le requiert, les trois équipes travaillent de manière coordonnée sans que le client ait à gérer trois prestataires distincts.

Questions fréquentes sur ISO 27017.

Puis-je obtenir une certification ISO 27017 ou ISO 27018 de manière indépendante ?

Non. Aucune des deux normes n'est certifiable de façon autonome. La certification s'obtient en élargissant le périmètre d'un SMSI fondé sur ISO 27001 : l'organisme de certification accrédité audite le système dans son ensemble et fait figurer la couverture d'ISO 27017 et ISO 27018 dans le certificat. Summum Calidad vous accompagne du diagnostic à l'émission du certificat, mais c'est toujours un tiers accrédité (AENOR, Bureau Veritas, SGS, etc.) qui certifie.

Quelle est la différence entre ISO 27017 et ISO 27018 ?

ISO 27017 porte sur la sécurité technique et organisationnelle dans le cloud : elle définit des contrôles pour les fournisseurs et les clients cloud concernant le durcissement, la ségrégation, la surveillance et les responsabilités partagées. ISO 27018 se concentre spécifiquement sur les données personnelles (PII) traitées dans des clouds publics lorsque le fournisseur agit en tant que sous-traitant : consentement, limitation de la finalité, suppression sécurisée et transparence envers les personnes concernées. Elles sont complémentaires et généralement mises en œuvre ensemble.

ISO 27018 remplace-t-elle ou double-t-elle le RGPD ?

Elle ne remplace pas le RGPD : la norme n'a pas force de loi. Ce qu'elle fait, c'est fournir un cadre technique et documentaire qui facilite la conformité au RGPD dans l'environnement cloud, en comblant les lacunes que le règlement ne détaille pas au niveau des contrôles spécifiques. Disposer d'ISO 27018 mise en œuvre et auditée renforce la position de votre entreprise lors d'un contrôle de l'autorité de protection des données et auprès de clients qui exigent des garanties sur le traitement de leurs données dans le cloud.

Quel type d'entreprise devrait implanter ces normes ?

Toute entreprise utilisant des services de cloud public pour traiter des données appartenant à des clients, des patients, des employés ou toute personne identifiable. L'intérêt est particulièrement évident pour : les prestataires B2B soumis aux audits de sécurité de leurs clients ; les organisations de secteurs réglementés tels que la santé, la finance ou la logistique ; et celles qui, depuis l'entrée en vigueur de NIS2, sont classifiées comme entités essentielles ou importantes.

Combien de temps faut-il pour implanter ISO 27017 et ISO 27018 sur une ISO 27001 existante ?

Si l'entreprise dispose déjà d'un SMSI opérationnel certifié ISO 27001, le processus d'élargissement de son périmètre pour inclure ISO 27017 et ISO 27018 peut être mené à terme en quatre à six mois, selon la complexité des services cloud utilisés et le nombre de fournisseurs impliqués. Si le point de départ est zéro (sans ISO 27001), le délai est plus long car le SMSI de base doit d'abord être construit.