OVH se conforme à ISO 27017

OVH met en place une série de bonnes pratiques pour se conformer à la norme ISO 27017 portant sur la sécurité des services Cloud. Cette norme internationale précise les bonnes pratiques de sécurité à appliquer aux fournisseurs de services Cloud. Julien Levrard, qui travaille sur la mise en conformité entre les infrastructures OVH et ISO 27017 revient sur les caractéristiques de cette démarche et sur ce qu'elle apporte à l'ensemble des clients du groupe.

Qu'est que l'ISO 27017 ?

L'ISO/IEC 27017 est une norme internationale portant sur la sécurité des services Cloud. C'est une norme alignée sur le plan de la norme ISO 27002(1) dont elle enrichit et précise les bonnes pratiques de sécurité dans le contexte des services Cloud. Elle explicite pour chaque article les spécificités éventuelles liées aux services Cloud. Ce formalisme permet une prise en main rapide par les experts sécurité et qualité, mais rend sa lecture plus difficile pour les autres.

L'ISO 27017 ne se concentre pas uniquement sur les fournisseurs de service Cloud mais sur la sécurité des services cloud dans son ensemble, de fait, le point de vue du client est également pris en compte. Ces exigences sont complémentaires et permettent de standardiser les relations entre client et fournisseur de service Cloud.

Certains de nos clients nous demandent si nous sommes en conformité avec ISO 27017 et ISO 27018. Peux-tu nous en dire plus ? Quel est le lien entre ISO 27017 et ISO 27018 ?

L'ISO 27018 est une norme à destination des sous-traitants de données à caractère personnel. Elle est conçue sur le même modèle que l’ISO 27017 en complétant les mesures de sécurité de l'ISO 27002(1) dans le contexte du traitement de données à caractère personnel. OVH prend très au sérieux la protection des données des clients et en particulier les données à caractère personnel, comme nous l'expliquions dans un article publié au début de l'année 2016. Les mesures de sécurité de l'ISO 27018 prennent tout leur sens dans un contexte de services applicatifs (SaaS) traitant de données à caractère personnel et ne sont donc que peu applicables à nos services d’infrastructure.

L'ISO 27001 implique déjà une relation formelle entre la société certifiée et ses clients, qu'apporte de plus l'ISO 27017 ?

Nous avons obtenu en 2013 la première de nos certifications ISO 27001 qui souligne l'importance de la communication entre une société et ses clients pour définir des processus de gestion de la sécurité adaptés. Cette norme est généraliste, applicable à n'importe quel type d'organisme. Dans l’ISO 27017, les relations entre le client et les fournisseurs de service Cloud sont cadrées précisément. La norme décrit ce qu'un client devrait exiger de la part de son fournisseur et ce que le fournisseur devrait lui transmettre comme information. Une relation entre client et fournisseur de service Cloud alignée sur l’ISO 27017 va garantir que tous les sujets importants concernant la sécurité sont pris en compte dans la gestion du service.

Dès les prochains audits de surveillance, nos auditeurs de certifications incluront à leurs audits le contrôle du respect de ces bonnes pratiques. Nous disposerons donc d’une évaluation indépendante de la mise en œuvre de ces bonnes pratiques au sein de nos processus.

Peut-on dire qu'OVH est certifié ISO-27017 ?

Il n'existe pas à proprement parler de certification sur cette norme. C'est un catalogue de bonnes pratiques dans lequel on trouve des recommandations pour améliorer la sécurité du service et pas un référentiel de conformité. Ces recommandations s’inscrivent naturellement très facilement dans un système de management certifié ISO 27001. Dans le cadre de l'amélioration continue de notre système de management, nous incluons maintenant les évolutions proposées par l'ISO 27017 dans nos mesures de sécurité. Dès les prochains audits de surveillance, nos auditeurs de certifications incluront à leurs audits le contrôle du respect de ces bonnes pratiques. Nous disposerons donc d’une évaluation indépendante de la mise en œuvre de ces bonnes pratiques au sein de nos processus.

Pourquoi la communication entre les clients et les fournisseurs de service Cloud est-elle si importante ?

En hébergeant leurs systèmes d'information sur nos infrastructures, nos clients nous confient leurs données, parfois les plus sensibles. Une attente légitime est de disposer de suffisamment d'information sur nos infrastructures et nos procédures d'exploitation pour s’assurer que le niveau de sécurité qu’OVH met en œuvre est adéquat. Pour autant, ces informations doivent être maitrisées pour éviter tout risque de compromission de nos procédures de sécurité. Trouver l’équilibre entre ces deux objectifs est un exercice compliqué. Nos certifications nous aident à trouver ce point de compromis.

Quelles informations sont concernées ?

Toutes les informations dont le client a besoin pour être rassuré sur la couverture des risques auxquels il est confronté sont concernées. Le fournisseur de service Cloud doit informer ses clients sur l’architecture, les technologies utilisées, les mesures en place et les fonctionnalités disponibles ainsi que le contexte de son exploitation. Par exemple, le fournisseur doit communiquer les technologies de chiffrement utilisées et la localisation géographique des datacentres.

Le fournisseur doit également définir la place du client dans les processus d’exploitation comme dans la gestion des changements, des mises à jour ou des incidents. De manière plus générale, la norme insiste sur l’importance de définir clairement les rôles et responsabilités du client et du fournisseur sur les sujets relatifs à la sécurité.

Techniquement, les changements sont anecdotiques, nos systèmes de management ont été construits dans un contexte de service Cloud et les mesures mises en place sont déjà pour la plupart conformes à l’ISO 27017.

Concrètement pour OVH, qu'est-ce que ça change ?

Techniquement, les changements sont anecdotiques, nos systèmes de management ont été construits dans un contexte de service Cloud et les mesures mises en place sont déjà pour la plupart conformes à l’ISO 27017. Par ailleurs, nous communiquons déjà beaucoup avec nos clients pour les aider à comprendre nos architectures et les mesures de sécurité en place. Cette communication se fait par les documents contractuels, notre site web, les documents transmis après signature d'un accord de confidentialité et notre support commercial et technique. C’est un processus très riche que nous améliorons continuellement. Dans ce cadre, nous allons nous assurer du respect de l’ensemble des recommandations de la norme.

Et pour le client ?

La lecture de la norme permet à l'acheteur de service Cloud d'identifier les points d'attention et le guide dans ses choix de partenaires. Les DSI veulent plus de souplesse et souhaitent pouvoir faire appel au fournisseur le plus pertinent pour chaque cas d'usage. L'approvisionnement des services informatiques évolue donc naturellement d'un modèle en chaine à un modèle en réseau. Multiplier les relations commerciales et techniques induit une complexité nouvelle qu’il faut apprendre à gérer. L'ISO 27017 permet de standardiser les relations entre les clients et les fournisseurs de services Cloud selon une grille d'analyse et d'échange commune et facilite donc cette gestion. En se conformant à l'ISO 27017, OVH permet donc aux utilisateurs de ses services de bénéficier de garanties de sécurité accrues. Nous prévoyons d'ailleurs toujours de renforcer le nombre de certifications dont nous sommes titulaires dans les prochains mois, avec notamment la possibilité pour OVH d'héberger des données de santé.

(1) - L'ISO/CEI 27002 est un ensemble de 113 mesures dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information ».

Article précédent

Week in review - 13/06 au 17/06