ISO, l’organisation internationale de normalisation

Organisation à but non lucratif, elle compte 167 membres, ce qui représente la quasi-totalité des pays. Elle a pour but d’élaborer des normes internationales, et espère apporter des réponses à des enjeux mondiaux.

Pour mieux appréhender cet article, il faut déterminer ce qu’est « une Norme internationale ? » :

« Une Norme internationale est un document qui fournit des informations concrètes et des meilleures pratiques. Elle décrit souvent une manière de procéder convenue ou une solution à un problème mondial. ».

ISO 27000 , management de la sécurité de l’information

Parmi toutes les normes ISO, la famille qui nous intéresse aujourd’hui est celle des 27000 : elle assure la sécurité des informations sensibles des organisations. Le respect et la mise en place des normes de la famille ISO 27000 facilite la sécurisation de données financières notamment, mais aussi des documents de propriété intellectuelle, les informations confiées par un tiers…

ISO 27001, la plus connue des normes 

ISO 27001 est probablement la plus connue des normes ISO. Elle régit le management de la sécurité de l’informations. En d’autres termes, elle fournit un guide aux entreprises pour protéger les données qu’elles possèdent ou manipulent.

Pour pouvoir répondre à cette norme, l’entreprise suit un modèle sous forme de « Plan-Do-Check-Act » et doit mettre en place une stratégie complète pour assurer la sécurité des données qu’elle manipule. Elle doit également suivre une politique avec des procédures et des contrôles adaptés à son organisation, appelés « Information Security Management System » ou « Systèmes de Management de la Sécurité de l’Information ». Il s’agit d’une approche globale qui ne se limite pas uniquement à la cybersécurité.

Dans l’ensemble, l’entreprise doit démontrer sa bonne volonté et les actions qu’elle met en place pour protéger les données sensibles selon les 3 principes de l’ISO 27001 :

  • Confidentialité,
  • Intégrité (de l’information),
  • Disponibilité (des données).

Pour être plus précis, ISO 27001 est bien une norme : elle définit les cadres et guides pratiques spécifiques que l’entreprise doit implémenter pour obtenir la certification. La certification, quant à elle, est délivrée après un audit réalisé par un organisme indépendant. Une entreprise peut décider de ne pas passer par le processus de certification.

Ces normes sont régulièrement mises à jour pour faire face aux cyber-attaques toujours plus sophistiquées.

ISO 27017 et ISO 27018, la sécurité dans le cloud

La dernière décennie a apporté de nombreux changements dans le stockage et le transit des données, et l’avènement du cloud n’est plus à démontrer. Cependant, ces évolutions qui ont vu l’émergence du cloud computing implique de nouvelles règles de sécurité.

Dans les cas des normes ISO 27017 et 27018, la sécurité se fait essentiellement sur les Informations Personnelles Identifiables (PII) dans l’informatique en cloud.

ISO 27017 : Protéger les informations dans le Cloud

À mesure que le cloud se généralise, les utilisateurs exigent des garanties quant à la sécurité du stockage et du traitement des données dans le Cloud. Le marché des services de cloud est caractérisé par la dispersion des fournisseurs à travers le monde et par le transfert régulier des données d’un pays à l’autre. Il est donc essentiel de pouvoir s’appuyer sur des directives internationales.

Selon Satoru Yamasaki, l’un des rédacteurs qui a travaillé sur la norme, « ISO/IEC 27017 aidera les fournisseurs de services à trouver un terrain d’entente avec leurs clients quant à l’adéquation des contrôles de sécurité et leurs recommandations de mise en œuvre. Cette Norme internationale relative aux contrôles de sécurité pour le Cloud facilitera le développement et l’expansion de systèmes informatiques en nuage plus sûrs ». 

ISO 27018 : La protection des données personnelles dans le cloud

La norme ISO 27018 s’applique à tout type d’entité, qu’elle soit publique ou privée, dès l’instant où elle offre des services de traitement de l'information via l'informatique en cloud sous contrat auprès d'autres organismes.

Publiée en 2014, ISO/IEC 27018 est la première Norme internationale qui met l’accent sur la protection des données personnelles dans le cloud.

ISO/IEC 27018, norme pionnière dans le domaine de la protection des données à caractère personnel sur le cloud, vise différents objectifs :

  • Aider les fournisseurs de services cloud qui traitent des données à caractère personnel à répondre aux obligations légales applicables, mais aussi aux attentes de la clientèle
  • Assurer la transparence, pour que les clients puissent choisir des services cloud bien gérés
  • Faciliter l’élaboration de contrats pour les services cloud
  • Fournir aux clients du cloud un mécanisme garantissant que les fournisseurs de cloud respectent les obligations légales et d’autres exigences

Pour résumer, ISO/IEC 27018 fournit une référence concrète pour établir la confiance sur ce marché. Elle donne en même temps, à l’industrie du cloud public, une orientation claire pour répondre à certaines préoccupations légales et réglementaires de ses clients. 

Si vous voulez en savoir plus à propos des certifications obtenues par SPS Commerce (anciennement TIE Kinetix), vous pouvez vous référer à nos communiqués de presse et nos articles de blog.
 

Vous aimerez peut-être...

Blog - Securing Financial Transaction Transaction with ISO - Thumbnail BlogSécuriser les transactions financières grâce à la facturation électronique certifiée ISOÀ l'ère du tout numérique, où l'information circule sans effort de manière virtuelle, la sécurité des données est la pierre angulaire de toute entreprise prospère. Rien n'est plus crucial que les transactions financières, où la confidentialité et l'intégrité des données sensibles sont primordiales.
iso_certifications BlogLes certifications ISO : Pourquoi elles sont importantes Si vous avez lu l'un de nos livres blancs, nos actualités ou nos brochures, vous avez certainement entendu parler de nos certifications ISO. Mais qu'est-ce que cela signifie réellement pour votre entreprise, et comment cela influe sur le fonctionnement de TIE Kinetix ? 
Het Dichten van de Kloof: Waarom Cloud-Gebaseerde Oplossingen de Nieuwe Norm Zijn BlogSolutions EDI en Cloud - la nouvelle normeNous allons aller droit au but : les entreprises avant-gardistes, peu importe leur secteur d’activité, ont déjà migré la totalité (ou une grande partie) de leurs données vers le cloud.