J'ai déjà parlé de la norme ICI Article de mars 2022:

https://medium.com/@btk667/iso27018-concernant-la-protection-des-renseignements-personnels-des-processeurs-infonuagique-261378d7ddef

ISO a annoncé le 25 aout 2025, la mise à jour de la norme ISO/IEC 27018.

J'aimerais vous présenter les changements et nouveauté suite à sa lecture.

Rappel rapide

ISO27018 est un ajout à la norme ISO27001, pour protéger les renseignements personnels traités sur des services infonuagiques.

Il faut savoir que la norme ISO/IEC 27001 est la base des mesures de sécurité d'un programme SGSI. ISO/IEC 27018 ajoute des mesures de contrôles spécifiques pour les services infonuagiques pour la protection des renseignements personnels (RP).

La norme s'adresse principalement aux fournisseurs de logiciels en mode service (SaaS) qui traitent des RP pour leurs clients.

Par contre si vous n'êtes pas ciblé, vous devriez quand même vous en inspirer pour évaluer vos fournisseurs (SaaS).

Historique

  • 2014 (1re édition) : première publication du « code de bonnes pratiques » pour les processeurs de RP infonuagique.
  • 2019 (2e édition) : révision mineure pour corriger et clarifier la 1re édition.
  • 2025 (3e édition) : Mise à niveau pour s'aligner sur la nouvelle norme ISO/IEC 27002:2022 avec nouvelles familles de contrôles, attributs, etc.

Les nouveautés de 2025

La nouvelle norme s'aligne sur la version ISO27002:2022 : les contrôles sont réorganisés par thèmes (organisation, personnes, physique, technologique). Exemples:

  • Veille de menaces (5.7) et préparation à la continuité des TIC (5.30);
  • Gestion de la configuration (8.9), suppression de l'information (8.10), masquage des données (8.11), prévention des fuites (8.12);
  • Surveillance des activités (8.16), filtrage web (8.23), codage sécurisé (8.28).

Nouveaux contrôles "infonuagique public et RP" : ISO/IEC 27018 ajoute, pour plusieurs contrôles, un guide de mise en œuvre spécifique aux services infonuagiques publics. Par exemple :

  • Gestion des identités (5.16) : offrir au client les moyens de créer et retirer les accès de ses utilisateurs;
  • Journalisation (8.15) : définir qui peut voir quoi, limiter l'accès aux journaux contenant des RP, prévoir des périodes de rétention et une suppression automatique;
  • Cryptographie (8.24) : décrire les services de gestion des clés (KMS), les modules matériels de sécurité (HSM) et l'option BYOK;
  • Sauvegardes (8.13) : clarifier qui (vous ou votre client) est responsable des copies, de la restauration, des tests et où se trouvent les répliques.

Une nouvelle annexe B, c'est un tableau de correspondance 2019 → 2025 pour mettre en correspondance l'ancienne norme avec la nouvelle.

La norme n'est pas une loi, mais elle s'aligne mieux avec le RGPD et la Loi 25.

Exemples de contrôles spécifiques « 27018 »

1) A.2.1 — Consentement et choix
Le processeur doit soutenir le client pour obtenir un consentement valable, permettre sa modification ou son retrait et conserver la preuve de ces décisions.

2) A.10.1 — Avertissement des atteintes aux RP
Tout incident doit être évalué pour déterminer s'il y a une atteinte aux RP; le client doit être avisé rapidement avec les informations nécessaires pour ses obligations légales.

3) A.11.8 — Identifiant unique obligatoire
Les accès doivent être attribués individuellement; les comptes partagés sont à éviter pour avoir une traçabilité.

4) A.12.1 — Localisation des RP
Le processeur documente où les RP sont traités et stockées (production, sauvegardes, relève), et tient ces informations à jour.

5) A.5.1 — Suppression des fichiers temporaires
Les fichiers temporaires contenant des RP doivent être supprimés lorsqu'ils ne sont plus nécessaires.

Rapide liste de vérification

Répondez Oui ou Non à chaque question.

  1. Votre SoA reflète-t-il la structure 2025 (chapitres 5 à 8) et les contrôles RP pertinents ?
  2. Offrez-vous à vos clients des moyens d'exercer les droits des personnes (portail et API, délais clairement définis) ?
  3. Tenez-vous un registre des sous-traitants à jour avec les lieux de traitement et les garanties ?
  4. Vos contrats incluent-ils des clauses RP standardisées (finalité, usage interdit, audit, notification, rétention/effacement, localisation) ?
  5. La gestion des identités prévoit-elle la délégation au client, un cycle de vie complet et une validation périodique ?
  6. La journalisation limite-t-elle l'accès par organisation, inclut-elle des revues périodiques et des règles de purge automatiques ?
  7. Vos procédures de suppression sont-elles testées, avec des délais publiés et des preuves d'effacement conservées ?
  8. Disposez-vous d'un inventaire des options de service de gestion des clés (KMS), des HSM et de l'option BYOK ?
  9. Vos sauvegardes et restaurations ont-elles des OTR/OPR définis et testés, avec des emplacements documentés ?
  10. Votre processus d'incident qualifie-t-il une atteinte aux RP selon des critères clairs, avec des guides d'intervention et des registres à jour ?

Bref, la version 2025 d'ISO/IEC 27018 ne réinvente pas le programme de protection des RP ; c'est une mise à jour vers la norme ISO27002:2022 qui rend les engagements contractuels plus clairs.