Sécurité dans le Cloud : L’Europe se mobilise.

Au-delà des premières normes internationales annoncées en 2014 et rappelées dans mon précédent billet «première norme internationale », l’Europe a de son côté déjà engagé différentes initiatives pour assurer la couverture de ces besoins spécifiques.


2014 sera donc la concrétisation des premières briques de cette construction communautaire, que je vous propose de parcourir au travers de quelques initiatives majeures.

Définition de la stratégie Cloud pour l’Europe. 

La première étape de cette mobilisation s’est concrétisée en 2012 par la définition d’une stratégie « Cloud » à l’échelon européen et sa représentation dans le document intitulé « Unleashing the Potential of Cloud Computing in Europe » de la Commission Européenne.

Parmi les objectifs de cette stratégie cloud figurent notamment les aspects de sécurité via les étapes suivantes :

• Recensement des différents standards et normes applicables au cloud computing, via l’institut ETSI , et publication d’un rapport en novembre 2013, intitulé « Cloud Standards Coordination »

• Développement avec le support de l’ENISA  « European Union Agency for Network and Information Security »  d’un meta-cadre de certification cloud, applicable à l’Europe, et publié en Novembre 2014 dans le document « Cloud Certification Schemes Metaframework»

Ce document fournit le contexte de la première version d’un cadre de certification. La portée de cette version est encore limitée aux exigences de sécurité des réseaux et de l'information génériques, via la définition de 27 objectifs de sécurité, et comprend également une correspondance avec les normes internationales :  ISO 27001 et  ISO 27018.

Vers un « Trusted Cloud Europe» 

Plus concrètement et au-delà de l’effort autour des standards et des normes, l’initiative « Trusted Cloud Europe » a été développée via l’ « European Cloud Partnership » (ECP) afin de proposer des directives pour aider les organisations publiques et privées en Europe qui achètent et vendent des services de cloud computing à les réaliser dans un environnement sûr et de confiance.

2014 a ainsi vu la publication du premier rapport définissant le cadre politique d’un « Trusted Cloud Europe » dans un document intitulé «Establishing a TrustedCloud Europe »,  en support des meilleures pratiques associées dont celles autour de la sécurité.

La représentation suivante du cadre de référence permet d’en apprécier les contours et les aspects propres à l’Europe (alignement des législations et des politiques,…).

Avec le soutien de ce nouveau cadre de confiance, l’objectif déclaré est ‘la stimulation du marché « cloud » européen ainsi que la création d'une nouvelle croissance et d’une position de leadership numérique pour les citoyens, les entreprises et les administrations publiques européennes’.

L’atteinte de cet objectif sera bien sur dépendant de l’accueil et de l’adhésion de l’écosystème « Cloud européen » face à cette initiative « Trusted Cloud Europe ».