Sécurité du cloud avec ISO 27001:2022

CONTENU

• Pourquoi la sécurité du cloud est-elle importante ?
• Sécurité des informations améliorée
• Sécurité du cloud grâce à Control 5.23
• Mise en œuvre du contrôle 5.23
• Importance des aspects de sécurité contractuelle
• Sécurité du cloud - Conclusion
• DQS : exploiter simplement la qualité

Pourquoi la sécurité du cloud est-elle importante ?

Du cloud privé au cloud public, qu'il s'agisse d'IaaS, PaaS ou SaaS : les structures cloud et les services cloud déterminent une grande partie des paysages TIC actuels des entreprises, des organisations ou des autorités. Le cloud computing est devenu depuis longtemps une réalité et change fondamentalement la manière dont les services informatiques sont fournis et utilisés.

Cependant, les risques de sécurité associés à son utilisation croissante sont complexes et ne se limitent pas au crime organisé. Une gestion inadéquate des identités et des accès, des configurations erronées et la divulgation involontaire de données cloud par les employés comptent également parmi les plus grandes menaces.

Ceci est confirmé par le rapport annuel 2022 de la Cloud Security Alliance (CSA ). De plus, un manque de sécurité peut affecter la disponibilité des services et compromettre le respect des diverses réglementations et normes exigeant la protection des données clients et personnelles.

Toutes ces menaces ont incité l'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale) à inscrire la sécurité des informations pour l'utilisation des services cloud comme un élément distinct dans le nouveau ISO/CEI 27001:2022 .

Amélioration de la sécurité et de la conformité des informations

La nouvelle mesure préventive vise à garantir sécurité des informations lors de l'utilisation des services cloud. Il prend en charge - conformément aux exigences de sécurité respectives d'une organisation - la définition systématique de processus d'acquisition, d'utilisation, de gestion et de sortie.

Compte tenu de la diversité des services proposés, le nouveau contrôle 5.23 de l'annexe A impose le respect d'une « approche thématique ».

L'objectif est d'encourager les entreprises à créer des politiques de services cloud adaptées aux fonctions commerciales individuelles. Par rapport à une politique globale qui s’applique à tous les niveaux à l’utilisation sécurisée des services cloud, les exigences de conformité peuvent être satisfaites de manière beaucoup plus granulaire.

Sécurité du cloud grâce au nouveau Control 5.23

La sécurité des informations pour l'utilisation des services cloud sous cette forme spécifique au cloud est une mesure nouvellement introduite dans l'annexe A du nouvelle ISO 27001:2022 . Dans la version précédente, les services cloud se situaient généralement dans le domaine des relations avec les fournisseurs.

En raison de l'utilisation croissante et des énormes développements dans le secteur du cloud, il est logique de sécuriser systématiquement les services cloud avec une mesure indépendante de sécurité des informations. Néanmoins, le contrôle A.5.23 doit être étroitement coordonné avec les mesures A.5.21 et A.5.22, qui traitent de la sécurité de l'information dans la chaîne d'approvisionnement des TIC et de la gestion des services des fournisseurs.

Mise en œuvre du contrôle 5.23

En matière de sécurité de l'information, les entreprises doivent définir un certain nombre d'aspects pour la mise en œuvre du Contrôle 5.23 . Ceux-ci incluent toutes les exigences pertinentes, les critères de sélection et les domaines d'application associés à l'utilisation d'un service cloud. Une description détaillée des rôles et des responsabilités pertinentes détermine la manière dont ces services sont utilisés et gérés au sein d'une organisation.

Côté externe, cela doit être convenu avec le prestataire :

• Quelles mesures de sécurité des informations le prestataire de services gère-t-il ?
• Quels sont ceux qui relèvent de la responsabilité de l’entreprise elle-même ?

Il est également important de clarifier comment les mesures de sécurité fournies par le fournisseur peuvent être mises à disposition, utilisées de manière optimale et vérifiées de manière fiable. En particulier lors de l'utilisation de plusieurs services cloud de différents fournisseurs, des processus clairement définis prennent en charge la gestion des contrôles, des interfaces et des modifications apportées aux services.

Cependant, en raison des multiples risques de sécurité auxquels les entreprises sont exposées de nos jours, des incidents de sécurité ne peuvent jamais être totalement exclus. Dans de tels cas, les procédures de gestion des incidents spécifiques au service permettent de relever le défi de la meilleure façon possible.

Pour gérer ces risques, les services cloud doivent être surveillés, examinés et évalués à l'aide d'une approche systématiquement définie conformément à la norme ISO 27001 révisée. De plus, la norme exige que des processus soient définis pour modifier ou interrompre l'utilisation d'un service. Celles-ci doivent également inclure des stratégies de sortie explicites pour les services cloud.

Importance des aspects de sécurité contractuelle

La conception contractuelle des services cloud est essentielle pour l'entreprise cliente afin d'établir des paramètres-cadres importants et d'assurer une protection juridique. Cependant, les contrats de services cloud sont souvent prédéfinis et non négociables. Dans cette optique, les entreprises devraient accorder une attention particulière à ces accords et les examiner de près. Ils veillent ainsi à ce que les besoins opérationnels essentiels du objectifs de protection de la sécurité de l'information « confidentialité, intégrité, disponibilité » et traitement de l'information sont respectés.

Pour garantir cela, un service cloud doit fournir des solutions basées sur des principes reconnus par l'industrie. normes pour l'architecture et les infrastructures. Il doit disposer de contrôles d’accès répondant aux exigences de sécurité et inclure des solutions de surveillance et de protection contre les logiciels malveillants. Il convient de stipuler contractuellement que le traitement et le stockage d'informations sensibles ne sont autorisés que dans des lieux autorisés ou au sein d'une juridiction spécifique. C’est important pour les infrastructures critiques, par exemple.

Le prestataire de services doit fournir une assistance ciblée en cas d'incident de sécurité dans l'environnement du service cloud et proposer une assistance générale dans la collecte de preuves numériques. Les exigences de sécurité doivent également être respectées lorsqu'une prestation est confiée à des prestataires externes.

Si une entreprise souhaite abandonner un service, le fournisseur doit rester engagé à assurer le support et la disponibilité du service pendant une période de temps raisonnable. Ils doivent donc également fournir des copies de sauvegarde des données et des informations de configuration et les gérer de manière sécurisée si nécessaire. Les informations telles que les fichiers de configuration, le code source et les données sensibles appartenant à l'organisation doivent être fournies sur demande ou restituées à la fin du service.

Un client de service cloud doit déterminer, conformément à ses propres exigences de sécurité, si l'accord doit inclure une obligation d'information si un fournisseur de cloud apporte des modifications importantes. Ceux-ci inclus:

• Modifications de l’infrastructure technique affectant l’offre de services
• Traitement ou stockage d'informations dans une nouvelle juridiction géographique ou juridique

Utilisation ou changement de fournisseurs de services cloud homologues ou d'autres sous-traitants

La sécurité du cloud grâce au nouveau Control 5.23 - Conclusion

Selon une étude menée par Statiste en 2022, 84 % de toutes les entreprises allemandes utilisent des services cloud. De plus, 13 pour cent sont en phase de prise de décision ou de planification concernant leur utilisation. Cela signifie que la protection des informations personnelles et des données confidentielles devient de plus en plus importante.

Avec cette nouvelle mesure de sécurité, l'ISO et la CEI comblent une lacune importante dans la protection des architectures TIC modernes et des données sensibles des entreprises, des organisations et des autorités. Cela signifie que la norme de sécurité de l'information OIN 27001 , en tant que norme mondiale, contribue désormais également à une sécurité cohérente et systématique du cloud.

Que votre entreprise opère dans un environnement de cloud public, de cloud privé ou de cloud hybride, les solutions et les meilleures pratiques en matière de sécurité des informations sont essentielles. C’est le seul moyen de garantir la continuité et la conformité des activités. En particulier à une époque de pénurie de compétences et de réseaux d’entreprise décentralisés, la sécurité des données dans le cloud continuera de gagner en importance dans les années à venir.

Le nouveau Control 5.23 de l'Annexe A fournit un cadre aux utilisateurs de services cloud. Ils peuvent l'utiliser pour tester leurs mesures de sécurité des informations existantes et les ajuster si nécessaire.

Outre un grand nombre d'exigences organisationnelles de base, le nouveau contrôle souligne également l'importance d'une coopération étroite avec le fournisseur de services cloud afin de maintenir à tout moment l'échange mutuel d'informations. Cela favorise des mécanismes réciproques pour surveiller les caractéristiques de service définies et pour identifier et signaler les violations des obligations convenues.

Que signifie la mise à jour pour votre certification ?

Le nouvelle ISO/CEI 27001:2022 a été publié en anglais le 25 octobre 2022. Il en résulte les délais et périodes de transition suivants pour les utilisateurs

Conversion de tous les certificats existants vers la nouvelle version :

• Une période transitoire de 3 ans s'applique à compter du 31 octobre 2022.
• Les certificats délivrés conformément à la norme ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 ne sont valables que jusqu'au 31 octobre 2025, après quoi les anciennes normes sont considérées comme retirées.

Date limite pour les certifications initiales et recertifications selon « l'ancienne » ISO 27001 :

• 30 avril 2024 - à partir du 1er mai 2024, DQS réalisera uniquement des audits initiaux et de recertification selon la nouvelle version 2022.

Groupe DQS : Un savoir-faire concentré en matière d'audit

Comme le montrent les délais, les entreprises ne disposent que d'un temps limité pour adapter leur système de gestion de la sécurité de l'information aux nouvelles exigences et le faire certifier. La durée et les efforts de l’ensemble du processus de changement ne doivent pas être sous-estimés.

En tant qu'experts en audit et certification avec près de 40 ans d'expertise, nous sommes heureux de vous aider à évaluer votre statut actuel, par exemple dans le cadre d'un audit delta . Demandez à notre expérimenté auditeurs sur les principaux changements et leur pertinence pour votre organisation. Ensemble, nous discuterons de votre potentiel d’amélioration et vous accompagnerons jusqu’à l’obtention du nouveau certificat.

Confiance et expertise

Nos textes et brochures sont rédigés exclusivement par nos experts en normalisation ou auditeurs de longue date. Si vous avez des questions sur le contenu du texte ou sur nos services à notre auteur, nous sommes impatients de vous entendre. depuis toi.