Varden Security
ConnexionVoir les plans Varden

Fiche norme ISO/IEC

ISO/IEC 27017

ISO/IEC 27017:2015

Completer les controles 27002 avec des recommandations specifiques au cloud (client et fournisseur).

Toute la documentation

Démarrer un test cyber

Aucun parcours dédié n'est disponible pour cette norme. Explorez le catalogue complet pour trouver le test adapté à votre contexte.

Voir tous les tests cyber disponibles

Explication claire

ISO/IEC 27017 traite les zones de risque propres au cloud: separation des environnements, responsabilite partagee, administration privilegiee et securite des services virtualises.

Elle permet a l auditeur de verifier la maitrise des interfaces client/fournisseur et la gouvernance des dependances cloud.

Ce que la norme couvre

  • Modeles de responsabilite partagee CSP / client.
  • Controles d administration, isolation et gestion des tenants.
  • Surveillance des services cloud et gestion des changements.
  • Exigences de transparence contractuelle sur securite et incidents.

Ce que la norme ne couvre pas seule

  • Ne remplace pas les exigences de continuite (22301) ni de gestion fournisseurs (27036).
  • Doit etre completee par des exigences contractuelles et techniques internes.
  • Ne traite pas a elle seule l ensemble des enjeux privacy (27701).

Livrables attendus en audit

  • Matrice responsabilite partagee par service cloud critique.
  • Exigences securite cloud integrees aux contrats et SLA.
  • Plan de controle des acces privilegies et de supervision cloud.

Indicateurs utiles

  • % de services cloud critiques avec matrice de responsabilite validee.
  • % de comptes privilegies cloud couverts par MFA et revue periodique.
  • Nombre d ecarts contractuels cloud non corriges.

Usage dans Varden Auditor

  • Dimension cle des modules securite technique et dependances.
  • Reference pour la qualification des risques cloud dans FIRE.
  • Appui aux recommandations de hardening et governance SaaS/IaaS.