Varden Security
Se connecter

Fiche norme ISO/IEC

ISO/IEC 27017

ISO/IEC 27017:2015

Completer les controles 27002 avec des recommandations specifiques au cloud (client et fournisseur).

Toutes les normesVue documentation

Parcours questionnaires

Voir nos plans

Niveau 1 - Maturite pedagogique

Diagnostic rapide pour situer la maturite de base et prioriser les chantiers.

Plan: Gratuit

Ouvrir niveau 1

Niveau 2 - Evaluation structuree

Mesure detaillee avec KPI, preuves attendues et plan de remediations.

Plan: Pro

Ouvrir niveau 2

Niveau 3 - Evaluation rigoureuse

Lecture audit-ready avec obligations, cartographie des ecarts et actions priorisees.

Plan: Premium

Ouvrir niveau 3

Explication claire

ISO/IEC 27017 traite les zones de risque propres au cloud: separation des environnements, responsabilite partagee, administration privilegiee et securite des services virtualises.

Elle permet a l auditeur de verifier la maitrise des interfaces client/fournisseur et la gouvernance des dependances cloud.

Ce que la norme couvre

  • Modeles de responsabilite partagee CSP / client.
  • Controles d administration, isolation et gestion des tenants.
  • Surveillance des services cloud et gestion des changements.
  • Exigences de transparence contractuelle sur securite et incidents.

Ce que la norme ne couvre pas seule

  • Ne remplace pas les exigences de continuite (22301) ni de gestion fournisseurs (27036).
  • Doit etre completee par des exigences contractuelles et techniques internes.
  • Ne traite pas a elle seule l ensemble des enjeux privacy (27701).

Livrables attendus en audit

  • Matrice responsabilite partagee par service cloud critique.
  • Exigences securite cloud integrees aux contrats et SLA.
  • Plan de controle des acces privilegies et de supervision cloud.

Indicateurs utiles

  • % de services cloud critiques avec matrice de responsabilite validee.
  • % de comptes privilegies cloud couverts par MFA et revue periodique.
  • Nombre d ecarts contractuels cloud non corriges.

Usage dans FIRE Auditor

  • Dimension cle des modules securite technique et dependances.
  • Reference pour la qualification des risques cloud dans FIRE.
  • Appui aux recommandations de hardening et governance SaaS/IaaS.