INFOSEC

Un trio technique pour accompagner vos solutions cloud

READ MORE

Les solutions cloud introduisent des risques de sécurité spécifiques qui peuvent être atténués par un système de management ISO/IEC 27001 combiné à des certifications associées.

Comme pour toute norme de système de management, ISO/IEC 27001 s’applique à toutes les organisations. En tant que tel, certaines exigences en matière de cloud ne sont pas couvertes ou doivent être approfondies. Les normes suivantes fournissent des contrôles supplémentaires au système de management ISO/IEC 27001 pour aider à améliorer la certification.

1. Présentation de la norme ISO/IEC 27017

Utilisée avec la norme ISO/IEC 27001, l’ISO/IEC 27017 fournit des contrôles améliorés pour les fournisseurs de services cloud (CSP) et les clients.

Il décrit les rôles et les responsabilités des deux parties pour aider à rendre les services cloud aussi sécurisés que les autres données au sein d’un système de gestion de la sécurité de l’information (SMSI) certifié.

ISO/IEC 27017 fournit des lignes directrices relatives au cloud sur plusieurs contrôles ISO/IEC 27002, ainsi que sur certains nouveaux contrôles cloud qui traitent des questions suivantes :

  • Responsabilités des CSP et des clients
  • Retrait/retour en cas de résiliation d’un contrat
  • Protection et séparation de l’environnement virtuel du client
  • Configuration de la machine virtuelle
  • Administration et procédures de l’environnement cloud
  • Surveillance de l’activité des clients dans le cloud
  • Alignement de l’environnement réseau virtuel et cloud
2. Présentation de la norme ISO/IEC 27018

Utilisée avec la norme ISO/IEC 27001, l’ISO/IEC 27018 fournit des lignes directrices spécifiques et des contrôles supplémentaires aux CSP agissant en tant que processeurs d’informations personnellement identifiables (PII) sur l’évaluation des risques et la mise en œuvre de contrôles de pointe pour protéger les PII.

Avantages d’ISO/IEC 27017 et ISO/IEC 27018
  • Une plus grande confiance dans votre organisation en fournissant une meilleure assurance que les données des clients / parties prenantes sont protégées
  • Un avantage concurrentiel en montrant que des contrôles rigoureux sont en place
  • Protéger la réputation de la marque en réduisant le risque de mauvaise publicité due aux violations de données
  • Réduire les risques en identifiant les problèmes et en s’assurant que des contrôles sont en place
  • Protection contre les amendes en assurant le respect des réglementations locales
  • Développer son entreprise en fournissant des directives communes dans de nombreux pays, ce qui facilite les activités commerciales à l’échelle mondiale et l’accès à des fournisseurs privilégiés
3. Présentation de la certification CSA STAR

Parallèlement à un SMSI conforme à la norme ISO/IEC 27001, la certification STAR (Security, Trust, Assurance and Risk) de la Cloud Security Alliance (CSA) permet aux organisations d’adopter des services cloud en promouvant une plus grande transparence et une responsabilité partagée.

La certification CSA STAR implique une évaluation rigoureuse et indépendante de la posture de sécurité par une tierce partie. Les CSP et les clients peuvent démontrer leur adhésion à ce contrôle de sécurité bien établi et mondialement reconnu spécifique aux services cloud. Il est basé sur l’obtention de la certification ISO/IEC 27001 et des critères spécifiés dans la Matrice des contrôles cloud (CCM).

La certification démontre également que les problèmes de sécurité du cloud applicables ont été évalués par rapport au modèle de maturité des capacités STAR pour la gestion des activités dans les zones de contrôle CCM.

Associée à un certificat ISO/IEC 27001 existant, la certification CSA STAR fournit la preuve d’un programme de sécurité cloud géré activement.

Avantages de CSA STAR
  • Certification indépendante reconnue par l’industrie basée sur le catalogue d’exigences CSA
  • Créer plus de confiance, de réputation et d’affaires à mesure que les clients demandent la preuve des mesures de sécurité du cloud
  • Fournir aux cadres dirigeants une visibilité pour évaluer leur système de gestion en ce qui concerne les attentes de l’industrie de la sécurité du cloud et ISO/IEC 27001
  • Montrer comment son organisation vise à optimiser les services cloud
  • Démontrer les progrès et les performances grâce à l’obtention d’un prix validé de manière indépendante par un organisme certifié externe
  • Comparer les performances à ses pairs
En résumé

Ces trois certifications dépendent d’un certificat ISO/IEC 27001 sous-jacent. La sélection de ces programmes sera basée sur les besoins spécifiques de l’organisation. ISO/IEC 27001 est un point de départ, car il est possible d’obtenir une certification pour chacun d’entre eux simultanément.

Principaux avantages d’InfoSec
  • Protégez les données et les actifs critiques et réduisez les coûts et les pertes
  • Un facteur de différenciation concurrentiel
  • Diminuer la probabilité d’incidents
  • Réduire l’impact négatif en cas d’incident
Comment nous pouvons vous aider

Les solutions SGS InfoSec peuvent améliorer votre efficacité tout en vous guidant vers la conformité aux normes internationalement reconnues.

Nos systèmes de certification couvrent de nombreux domaines, notamment le traitement et la protection des données, le stockage en cloud, la sécurité des installations et des loteries, ainsi que la réponse aux événements critiques de l’entreprise.

Une suite de solutions de sécurité

Nos solutions comprennent des évaluations et des certifications selon ces normes :

  • CSA STAR
  • ISO/IEC 20000, Informatique – Gestion des services
  • ISO 22301, Systèmes de management de la continuité des activités – exigences
  • ISO/IEC 27001, Systèmes de management de la sécurité de l’information
  • ISO/IEC 27017, code de pratique pour les contrôles de sécurité de l’information basé sur ISO/IEC 27002 pour les services cloud
  • ISO/IEC 27018, code de pratique pour la protection des informations personnellement identifiables (PII) dans les clouds publics agissant en tant que processeurs PII
  • ISO/IEC 27701, extension des normes ISO/IEC 27001 et 27002 pour la gestion des informations de confidentialité
  • World Lottery Association-Security Control Standard (WLA-SCS)

 

Solutions de formation InfoSec

Nos instructeurs experts offrent une formation cohérente, efficace et de haute qualité pour s’assurer que vos employés ont les dernières compétences pour améliorer votre organisation. Nos méthodes de formation comprennent l’apprentissage public, interne, eLearning, virtuel et mixte.

La formation comprend : quatre cours clés pour soutenir ISO/IEC 27001 – Introduction, Mise en œuvre, Auditeur interne et auditeur principal – et Certification du modèle de maturité de la cybersécurité (CMMC).

POUR PLUS D’INFORMATIONS, VEUILLEZ NOUS CONTACTER.

Video
Share

Your name

Your e-mail

Name receiver

E-mail address receiver

Your message

Send

Contact

Privacy Policy

Send

Sign up