logo_FEDER español
gss-logo-header
FR
ESENPT
DémoDemander une démo
Sécurité

ISO 27018. Sécurité et protection des informations personnelles dans le cloud

Ángel Ortega
🕑 4 minutes read

Table of contents

Ces dernières années, la technologie a progressé de manière exponentielle, comme c’est le cas du stockage dans le cloud, qui offre aux organisations de nombreux avantages liés à la rapidité d’accès à l’information depuis n’importe quel point et à des économies technologiques significatives.

Ce modèle de gestion, proposé par différents fournisseurs à l’échelle internationale, a pour contrepartie la préoccupation concernant la protection des données et leur confidentialité en ce qui concerne les informations d’identification personnelle (PII), ces informations étant comprises non seulement comme le nom d’une personne concernée, mais aussi comme les données relatives à sa personne, telles que les données bancaires, médicales, les adresses IP, entre autres.

Le modèle de gestion dans le cloud peut rendre difficile l’identification du lieu d’hébergement, des mesures de protection appliquées aux réseaux de communication ou de la manière dont ces organisations gèrent les informations d’identification personnelle des personnes concernées hébergées dans leurs systèmes d’information.

En raison de cette préoccupation, l’Organisation internationale de normalisation (ISO) a mis à jour en janvier 2019 la norme relative à la sécurité de l’information, en particulier la norme ISO 27018, afin de développer des processus qui couvrent les fournisseurs de services cloud, leur permettant de certifier à leurs clients que leurs droits sont garantis sur la base des consentements recueillis.

Que nous propose spécifiquement la norme ISO 27018 ?

La norme ISO 27018 vise, dans les grandes lignes, à identifier précisément comment le fournisseur gère les données personnelles des personnes concernées, à établir les procédures nécessaires pour toute demande ou accès à celles-ci, offrant ainsi aux clients une transparence totale à cet égard.

La norme ISO 27018 fournit une base de bonnes pratiques pour la protection des informations d’identification personnelle (PII) dans le cloud pour les organisations qui agissent en tant que responsables du traitement de ces informations.

Sa mise en œuvre est liée à la norme ISO 27001, qui sert de base pour spécifier les exigences propres à la norme. En ce sens, la norme ISO 27018 se divise en deux grands blocs d’action :

  • Contrôles Déclaration d’applicabilité : sur la base des contrôles de sécurité établis dans l’annexe A de la norme ISO 27001 ou du code de bonnes pratiques ISO 27002, la norme ajoute des exigences de sécurité pour les informations d’identification personnelle (PII) sur des contrôles spécifiques. En ce sens, sur les 114 contrôles proposés par la norme de sécurité de l’information, la norme ISO 27018 établit des exigences supplémentaires sur 15 contrôles, répartis entre les domaines suivants :
    • Domaine 5 : Politiques de sécurité de l’information
    • Domaine 6 : Organisation de la sécurité de l’information
    • Domaine 7 : Sécurité des ressources humaines
    • Domaine 9 : Contrôle d’accès
    • Domaine 10 : Cryptographie
    • Domaine 11 : Sécurité physique et environnementale
    • Domaine 12 : Sécurité des opérations
    • Domaine 13 : Sécurité des communications
    • Domaine 16 : Gestion des incidents
    • Domaine 18 : Conformité

Que définit l’annexe A de la norme ISO 27018 ?

Les 8 principes ou contrôles spécifiques de confidentialité des informations, applicables au gestionnaire de données dans le cloud et la manière de les mettre en œuvre, ce qui constitue un ensemble d’exigences pour la protection des PII. Les principes sur lesquels elle repose sont les suivants :

    • Consentement et choix
    • Objectif de légitimité et de spécification
    • Minimisation des données
    • Limite d’utilisation, de conservation et de divulgation
    • Ouverture, transparence et notification
    • Responsabilité
    • Sécurité de l’information
    • Respect de la vie privée

La mise en œuvre de la norme apporte de grands avantages aux opérateurs de données dans le cloud, d’autant plus avec la certification de la norme ISO 27018, qui ne peut être certifiée qu’avec la norme ISO 27001. Parmi les avantages, nous pouvons souligner :

  • Elle apporte une confiance dans la protection des informations des clients et des parties intéressées, protégeant l’image de l’organisation contre les accès ou les violations de données.
  • Elle permet d’identifier les risques auxquels sont exposées les informations (PII) en établissant des contrôles pour leur atténuation.
  • Différenciation par rapport aux concurrents du même secteur, offrant une protection des informations selon une norme internationale.
  • Protection contre les amendes, fournissant un système de gestion qui assure la protection des informations des personnes concernées.

Enfin, il convient de souligner que GlobalSuite® permet une mise en œuvre efficace de la norme ISO 27018 car elle est pleinement adaptée aux exigences identifiées dans le présent article, non seulement pour les entreprises certifiées ISO 27001, mais aussi pour celles qui décident d’aborder la mise en œuvre des deux normes.

Share:

Ángel Ortega
. Consultor Departamento de Consultoría de GlobalSuite Solutions Consultor senior especializado en Tecnologías de la Información. Cuenta con la certificación GlobalSuite® Consultant

More articles