# ISO/IEC 27017 — Sécurité du cloud computing

> Catégorie : **Certifications normatives** · Slug : `iso-27017` · Source canonique : <https://www.hebergeurs-de-donnees-de-sante.fr/criteres/iso-27017/>

**Définition courte** : Extension d'ISO/IEC 27002 spécifique aux contrôles de sécurité applicables aux services cloud.

## Statistiques sur les 404 hébergeurs HDS

- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **0**

## Définition

**ISO/IEC 27017:2015** est une norme internationale qui prolonge ISO/IEC 27002 — le catalogue des contrôles de sécurité — par un ensemble de **bonnes pratiques spécifiques aux services cloud computing**. Elle s'adresse autant au fournisseur de cloud (CSP — *Cloud Service Provider*) qu'au client cloud (CSC — *Cloud Service Customer*), avec des responsabilités clairement réparties.

Concrètement, ISO 27017 ajoute aux 114 contrôles d'ISO 27002 un ensemble de contrôles renforcés (~37 contrôles supplémentaires ou précisés) qui adressent les enjeux particuliers du cloud&nbsp;: cloisonnement des clients (*multi-tenancy*), administration distante, opérations cloud-spécifiques, suppression d'actifs à la fin du contrat, virtualisation, etc.

La norme est **certifiable** — un fournisseur cloud peut être audité par un organisme de certification accrédité (LSTI, Bureau Veritas, AFNOR Certification, BSI). La certification ISO 27017 vient logiquement après une certification ISO 27001 (le SMSI lui-même), comme une extension cloud.

## Pourquoi c'est important pour un hébergeur HDS

Le référentiel HDS ANS v2.0 (mai 2024) repose explicitement sur le socle ISO 27001 + ISO 27018, sans exiger ISO 27017. Pourtant la majorité des hébergeurs HDS qui offrent des services cloud (IaaS, PaaS) communiquent volontairement leur certification ISO 27017 pour trois raisons&nbsp;:

1. **Combler le gap entre HDS et cloud souverain.** Le référentiel HDS porte sur les données de santé, pas spécifiquement sur l'architecture cloud. ISO 27017 documente précisément les contrôles cloud qu'un acheteur public ou un éditeur SaaS santé attend.
2. **Différenciation commerciale.** Pour un IaaS souverain qui ne vise pas SecNumCloud (trop lourd, trop long), ISO 27017 est un palier intermédiaire qui démontre une maturité cloud sérieuse.
3. **Alignement avec NIS2.** La directive NIS2 (UE 2022/2555) demande aux fournisseurs cloud des entités essentielles (la santé en est une) un niveau de sécurité opérationnel "renforcé". ISO 27001 + 27017 + 27018 est la combinaison la plus citée pour le démontrer en audit.

## Comment ce critère est attribué dans le comparateur

- **✓ Vérifié** — l'acteur publie sur son site officiel un certificat ISO 27017 actif (numéro de certificat, organisme certificateur, date de validité) ; OU le certificat est cité par un communiqué de presse vérifiable ; OU l'acteur est listé sur le site d'un organisme de certification reconnu.
- **◆ Revendiqué** — l'acteur mentionne ISO 27017 sur son site sans publier le certificat (revendication non vérifiable indépendamment).
- **◐ En cours** — l'acteur communique publiquement sur une démarche de certification ISO 27017 datée.
- **— Non documenté** — pas de mention publique. **N'implique pas l'absence du contrôle**&nbsp;: certaines structures préfèrent ne pas communiquer leurs certifications de second niveau.

## Pour quel profil c'est critique

| Profil | Niveau d'exigence |
|---|---|
| IaaS souverain HDS visant le marché public | **Critique** — souvent demandé en plus du HDS dans les cahiers des charges |
| Éditeur SaaS santé mutualisé (multi-tenant) | **Critique** — démontre le cloisonnement client |
| Hébergeur dédié single-tenant (par exemple datacenter HDS managé pour un seul hôpital) | **Important** — non bloquant mais facilite l'audit DPO/RSSI client |
| MSSP / SOC managé | **Pertinent** — surtout si le SOC opère sur des SI cloud-hébergés |
| Datacenter pur (activité HDS 1 uniquement) | **Hors champ** — la norme cloud ne s'applique pas |

## Comment un hébergeur peut se conformer

ISO 27017 est généralement obtenue en **6 à 12 mois** une fois ISO 27001 en place, car la majorité des contrôles s'appuient sur le SMSI existant. Étapes principales&nbsp;:

1. **Inventaire des services cloud** — IaaS, PaaS, SaaS, et les contrôles déjà couverts par ISO 27001.
2. **Gap analysis vs ISO 27017** — typiquement 37 contrôles à examiner. Le plus structurant&nbsp;: la frontière de responsabilité CSP / CSC formalisée dans un document contractuel ou pré-contractuel (Customer Agreement Annex).
3. **Mise en conformité** — souvent : durcissement du provisioning client, traçabilité des opérations d'administration cloud, gestion explicite de la fin de contrat (effacement, destruction d'actifs).
4. **Audit blanc** puis **audit officiel** par un organisme accrédité.

## Plus-value vs coût

**Coût indicatif** (échelle 2024-2026 pour PME française)&nbsp;:
- Premier audit + certification&nbsp;: 25-50 k€ HT pour un acteur déjà ISO 27001.
- Audits de surveillance annuels&nbsp;: 8-15 k€ HT/an.
- Renouvellement à 3 ans.

**Plus-value commerciale**&nbsp;: dépend du marché. Sur le marché public santé sensible et le SaaS santé multi-tenant, la non-certification ISO 27017 peut être un facteur éliminatoire dès la pré-qualification. Sur le marché PME santé courant, le retour est plus limité — HDS reste le critère prioritaire.

## Sources officielles

- **ISO** — [iso.org/standard/43757.html](https://www.iso.org/standard/43757.html) (référentiel ISO 27017).
- **ANSSI** — [Référentiel exigences SecNumCloud](https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud) (intègre ISO 27017 comme prérequis).
- **ENISA** — [Cloud Security Guide](https://www.enisa.europa.eu/topics/cloud-and-big-data) (cartographie ISO 27017 ↔ ENISA Cloud Computing).

## FAQ

**ISO 27017 est-elle obligatoire pour être hébergeur HDS ?**
Non. Le référentiel HDS ANS v2.0 ne l'exige pas. C'est un complément volontaire qui démontre une maturité cloud.

**Combien d'hébergeurs HDS sont certifiés ISO 27017 ?**
Difficile à chiffrer publiquement&nbsp;: il n'existe pas de registre central des certificats ISO 27017. Les chiffres consolidés ci-dessous (cf. section "Hébergeurs satisfaisant ce critère") reflètent les acteurs ayant publié leur certificat ou communiqué dessus de manière vérifiable.

**Quelle différence avec ISO 27018 ?**
ISO 27017 cible la sécurité cloud en général. **ISO 27018** cible spécifiquement la protection des données personnelles (PII) dans le cloud public, en tant que sous-traitant. Les deux sont complémentaires — la plupart des CSP qualifiés cumulent les deux.

## Limites connues de cette évaluation

- L'**absence de certificat publié** ne signifie pas l'absence de conformité. Certains acteurs sont conformes mais ne publient pas (politique éditoriale, certificat sous NDA client). Notre statut "Non documenté" est dans ce cas une absence de communication publique.
- Le numéro de certificat publié doit être vérifié auprès de l'organisme certificateur pour garantir sa validité — nous citons la date de fetch dans le verbatim de chaque cellule.

## Hébergeurs satisfaisant ce critère

_Aucun hébergeur n'est marqué comme satisfaisant ce critère sur les sources publiques consultées._
## Méthodologie et limites

- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète : <https://www.hebergeurs-de-donnees-de-sante.fr/verification/>
- Équité Guardis vs concurrents : <https://www.hebergeurs-de-donnees-de-sante.fr/equite-methodologique/>

---

_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._