Akamai et conformité ISO : Quelques données

La société Akamai est actuellement évaluée chaque année pour assurer sa conformité à la certification ISO 27002. Voici un aperçu de la façon dont les procédures Akamai sont appliquées – ou comment la société aide les clients à répondre à leurs propres besoins – en respect de cette norme.

Akamai et conformité ISO : Quelques données

Akamai est actuellement évaluée chaque année pour assurer sa conformité à la certification ISO 27002, une norme de contrôles et de best practices reconnue au niveau international pour les systèmes de gestion de la sécurité de l'information. 

Les normes ISO 27001 et ISO 27002 ont fait l'objet d'une importante refonte au cours de l'année 2013. Au cours de l'an dernier, Akamai a été évaluée selon la norme ISO 27002 version 2013 en lieu et place de la norme ISO 27002 version 2005. 

Plus précisément, SMSI, les systèmes de gestion de la sécurité de l'information d'Akamai, reposent sur le code de pratique relatif à la gestion de la sécurité de l'information ISO 27001/2 (anciennement British Standard 17799). Comme l'exige ce code de pratique, la société fait l'objet d'une évaluation annuelle menée par un organisme indépendant. 

Voici un aperçu de la façon dont les procédures Akamai sont appliquées ou comment la société aide les clients à répondre à leurs propres besoins en respect de cette norme. 

Tout d'abord, quelques données : 

ISO (Organisation internationale de normalisation), organisation à caractère associatif, indépendante et non gouvernementale, est le plus grand développeur de normes internationales d'application volontaire au monde. La plupart des procédures de sécurité d'Akamai ont été élaborées en application de ces dispositions. 

La norme ISO 17799 a été initialement publiée au début des années 1990, sous l'intitulé « Code de pratique DTI », par le ministère du commerce et de l'industrie du Royaume-Uni. Son développement s'est poursuivi en 1995, pris en charge par le comité BSI BDD/2, et il a été publié sous l'appellation BS 7799. ISO 27002 est le nouveau nom de la norme ISO 17799 remodelée. Le changement de nom fait partie intégrante de la grande restructuration mise en œuvre par l'lSO en matière de normes relatives à la sécurité de l'information. On ne note pas de changement majeur sur le plan du contenu, étant donné qu'il s'agit d'une révision complète de la norme ISO 17799, établie en 2005. 

Une autre révision complète de la norme ISO 27002 a eu lieu en 2013. 

La dernière version, ISO 27002:2013, comporte 35 objectifs de contrôle et 114 contrôles spécifiques, organisés en 15 sections. 

Chaque objectif de contrôle est étayé par une documentation comportant à la fois des conseils pour atteindre l'objectif en question et un recueil de bonnes pratiques en matière de sécurité de l'information. La nécessité d'une évaluation des risques est soulignée lors de chaque étape. 

Pour en savoir plus sur les normes de sécurité ISO, rendez-vous sur : http://www.iso.org/iso/home/about.htm 

Chez Akamai, le module de gestion de conformité ISO comprend plusieurs politiques et procédures propres à l'entreprise. Étant donné que les examens individuels sont mal adaptés aux clients multiples, Akamai offre des services d'assistance gratuits aux clients qui souhaitent procéder à des révisions plus approfondies en matière de conformité, d'audit ou d'assurance. 

Ces vérifications concernent l'ensemble de la société, c'est-à-dire à la fois les bureaux de l'entreprise et le réseau de production, à savoir des dizaines de milliers de serveurs dans environ un millier de réseaux. Akamai met la synthèse des résultats de cette évaluation à la disposition des clients, afin de leur certifier la mise en place et le bon fonctionnement de son programme de sécurité. 

Dans le cadre de ce processus, Akamai présente également les résultats de l'analyse de son infrastructure réseau, après retrait des faux positifs, tel que prévu dans le module de conformité à la norme PCI.