Nouvelle norme ISO 27018 en matière de sécurité

L’annonce récente par Microsoft de la mise en conformité de son service de cloud computing aux entreprises témoigne de l’importance croissante de la nouvelle norme ISO 27018 en matière de sécurité.

slide_1.jpg

Si le cloud computing a révolutionné la manière de penser l’informatique en mettant l’accent sur la flexibilité et la délocalisation des infrastructures, beaucoup d’entreprises sont aujourd’hui réticentes à s’engager d’avantage en raison des incertitudes relatives à la sécurité des données. En effet, les contrats de prestation de services de cloud computing, qui permettent un accès distant à des applications ou à des ressources informatiques hébergées par le prestataire, sont le plus souvent des contrats d’adhésion offrant peu de transparence sur les mesures de sécurité mises en place ainsi qu’en matière de protection des données personnelles.

Dès lors que le cloud computing repose sur une mutualisation des infrastructures, les données des clients peuvent être hébergées dans des datacenters n’importe où dans le monde. D’un point de vue juridique, la mobilité internationale des données via le cloud computing n’est pas neutre et peut constituer un frein à l’application des règles protectrices des données personnelles en droit français et européen, sans parler de l’application de législations étrangères nationalistes comme le Patriot Act américain qui permet à l’administration américaine d’accéder aux données hébergées sur le territoire américain et/ou par des entreprises américaines.

Face aux incertitudes que provoque le cloud computing, plusieurs initiatives privées se sont développées dans le but de définir un ensemble de bonnes pratiques internationales. Ainsi, l’Organisation Internationale de Normalisation (ISO) et la Commission Électronique Internationale (IEC) ont d’abord adopté en 2013 les normes ISO 27001 et ISO 27002 relatives à la protection des systèmes d’information, avant d’adopter le 29 juillet 2014 la norme ISO 27018 abordant les spécificités liées au cloud computing. Cette initiative est le fruit d’une coopération entre l’Organisation internationale de normalisation (ISO), l’Union internationale des télécommunications (IUT) et la Commission électrotechnique internationale (IEC). En France, l’AFNOR avait aussi mis en place une commission impliquant des acteurs majeurs comme IBM, Hitachi Data System, OVH ou encore Microsoft.

La norme ISO 27018, publiée cet été, est donc la première norme visant spécifiquement la protection des données personnelles dans le cadre du cloud computing. Bien qu’elle soit dénuée de toute force contraignante, elle prévoit néanmoins un ensemble de bonnes pratiques et de règles devant être respectées par les prestataires ayant accepté de s’y conformer. Quatre lignes directrices sont notamment imposées aux prestataires de cloud computing :

  • Obligation d’informer les clients du lieu de stockage des données et de sécuriser leur traitement ;
  • Interdiction d’utiliser les données des clients pour leurs propres finalités ;
  • Le non-respect des mesures de sécurité peut donner lieu à un rapport sur les incidents et leur résolution, et une notification faite aux clients et aux autorités de contrôle ;
  • Certification par un établissement accrédité et indépendant (tel que l’AFNOR).

Il s’agit donc d’un instrument d’autorégulation privé complémentaire aux législations françaises et européennes relatives à la protection des données personnelles, transitant dans le cadre du cloud computing, de nature à anticiper la prochaine consécration du principe d’ « accountability », selon lequel chaque prestataire en charge du traitement de données personnelles pour le compte d’un client doit pouvoir démontrer l’existence d’un niveau de sécurité adéquat et plus largement sa conformité Informatique et Libertés.

En attendant l’adoption définitive du projet de règlement européen relatif à la protection des données à caractère personnel (prévue fin 2015), la norme ISO 27018 est donc l’occasion pour les prestataires de services de cloud computing, à l’image de Microsoft, de démarrer la mise en conformité technique et juridique de leurs services en vue d’une certification.

Voir aussi : La réversibilité dans le cloud : ciel mes militants !