Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).

Voir la première partie pour le mode d’emploi du standard et l’adaptation des clauses existantes.

Analyse des clauses supplémentaires de l’ISO 27018.

Les clauses supplémentaires sont classées selon la présentation de l’ISO 29 100 (référentiel cadrant les pratiques de sécurité aux problématiques de traitement des données personnelles). Parmi les clauses abordées dans le référentiel figurent les points suivants :

• Les modalités de coopération entre le fournisseur CLOUD et ses clients concernant les demandes d’accès, de correction et effacement des données émanant des personnes concernées.
• Les conseils liés à la contractualisation sur les point fondamentaux de la finalité et de la légitimité du traitement.
• Les aspects liés à la suppression des fichiers temporaires.
• Les problématiques ayant trait aux demandes d’accès aux données par des autorités judiciaires ou administratives. Ces sujets sensibles doivent être traités dans les contrats en prenant en compte un cadre législatif très évolutif, contraignant, voire contradictoire avec les bonnes pratiques (en particulier américain).
• L’utilisation de sous-traitants par le fournisseur CLOUD et les modalités d’information préalable de ses clients.
• La notification des incidents de sécurité des fournisseurs CLOUD à leurs clients.
• La politique de mise à disposition des données (dans le cas par exemple d’un changement de solution).
• La rédaction des accords de confidentialité.
• La gestion des supports amovibles et le chiffrement des flux de données.
• La protection et la traçabilité des accès aux données sur les infrastructures des fournisseurs CLOUD.
• La conformité légale, en particulier localisation des données, mécanismes de transfert.

Découvrez nos formations en cybersécurité et « data privacy » et téléchargez le catalogue de nos formations.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :