Sécurité dans le Cloud : première Norme Internationale !

De nombreuses normes sont déjà disponibles en matière de sécurité de l’information. Elles permettaient déjà aux fournisseurs de services Cloud qui les respectaient d’apporter un certain niveau de garanties.

Depuis Août 2014,  la disponibilité de la nouvelle norme ISO 27018 qui porte sur le traitement des données personnelles dans le Cloud, devrait apporter un véritable atout différenciateur pour les fournisseurs de services Cloud qui s’engageront à s’y conformer.

Cette information a néanmoins été peu médiatisée, malgré son impact pour l’ensemble des utilisateurs de services cloud, d’où l’intérêt de parcourir cette rapide synthèse que je vous propose.

Les objectifs poursuivis par cette normalisation.

L’Organisation Internationale de Normalisation (ISO) a donc adopté cet été la nouvelle norme « ISO/IEC 27018:2014 » intitulée : «  Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII ». Cette norme ISO définit un cadre de référence internationale pour le respect par les fournisseurs de services de Cloud d’un certain nombre de dispositions concernant les données personnelles qui transitent via leurs services.

Elle s’insère dans le prolongement des normes actuelles en matière de sécurité de l’information, comme  les normes ISO 27001 et ISO 27002 qui permettent déjà d’identifier les risques de sécurité associés aux systèmes d’information classiques et de mettre en œuvre les mesures nécessaires pour les gérer (par exemple la sécurisation des bureaux et des installations, les contrôles d’accès, la gestion des incidents, la continuité des opérations, etc.).

La norme ISO 27018 est quant à elle spécialement adaptée aux services Cloud et constitue une première mondiale pour la protection des données personnelles dans le Cloud. Elle augmente donc le nombre des contrôles prévus déjà par la norme ISO 27002, constituant ainsi l’ « état de l’art » en la matière.

Des apports majeurs pour l’utilisateur du Cloud public.

Les fournisseurs de services qui sont certifiés selon la norme ISO 27018 doivent démontrer qu'ils ont mis en place ou mis en œuvre (entre autres):

• Consentement : les fournisseurs de services Cloud s’engagent à ne pas traiter les données personnelles des clients à des fins publicitaires ou de marketing, sauf avec le consentement explicite et préalable de ceux-ci, étant entendu que ce consentement ne saurait conditionner la prestation de services.
• Intégrité : les fournisseurs de services Cloud s’engagent, en cas de failles de sécurité affectant les données utilisateur à en informer l’utilisateur et les autorités et à aider les utilisateurs à se conformer à leurs propres obligations d’information; ils s’engagent également à ne pas divulguer d’informations aux autorités nationales sauf lorsqu’ils y sont tenus par la réglementation applicable et, dans ce cas, à en informer l’utilisateur, sauf interdiction légale.
• Transparence : les fournisseurs de services Cloud doivent informer leurs utilisateurs sur le lieu de stockage des données qui transitent via le Cloud ainsi que sur l’identité des éventuels sous-traitants appelés à traiter les données lors de la conclusion du contrat de Cloud ; ils s’engagent enfin à prendre des engagements clairs sur la manière dont les données sont traitées.
• Cycle de vie des données : ils s’engagent également à mettre en œuvre une procédure en matière de transfert ou de destruction des données personnelles, à l’issue du contrat.
• Confidentialité des données : les fournisseurs de Cloud s’engagent à conclure des accords de confidentialité avec les membres du personnel qui ont accès aux données personnelles et à leur fournir toute la formation requise.  
• Auditabilité : enfin la conformité à la norme ISO 27018 peut être contrôlée et certifiée par un auditeur qualifié, permettant ainsi à l’utilisateur de valider la conformité du traitement à la réglementation de protection des données personnelles.

Des acteurs Cloud appelés à évoluer… 

A ce jour, les principaux acteurs du Cloud aux États-Unis et en Europe ont déjà annoncé leur intention d’obtenir cette norme dans leurs objectifs de certification pour leurs principaux services Cloud.

On suivra avec intérêt l’évolution de cette tendance car il est certain que cette nouvelle norme ISO 27018 deviendra un véritable élément de différenciation en matière de sécurité et de confidentialité des données personnelles dans le Cloud.

On notera enfin que la future norme ISO 27017 disponible fin 2015 complétera ce nouveau dispositif sécurité ISO en fournissant des conseils autour de la sécurité cloud, comme évoqué dans son intitulé : « Code de pratiques pour les contrôles de sécurité de l'information basés sur la norme ISO / IEC 27002 pour les services de cloud computing ».