L’ISO a publié la norme ISO/CEI 27018 de bonnes pratiques pour la protection des données personnelles dans les services de Cloud Computing.
Cette norme représente une avancée majeure pour la maîtrise de la sécurité des services de Cloud. Elle s’appuie principalement sur les normes ISO/CEI 17788 sur le cadre et le vocabulaire du cloud computing, 27002 pour les bonnes pratiques de sécurité de l’information et 29100 pour le cadre de protection de la vie privée.
Protection des données personnelles et respect de la vie privée sont deux aspects cruciaux pour établir la confiance dans les services de Cloud et favoriser leur développement. Comme le souligne Jean-François Audenard dans son article les recommandations de la CNIL pour aller dans le cloud : « une entreprise qui utilise un service de Cloud Computing reste responsable des traitements : cela veut dire que l’entreprise doit s’assurer que son prestataire lui permettra de respecter ses obligations au regard de la loi informatique et libertés, notamment en termes d’information des personnes concernées, d’encadrement des transferts et de sécurité des données… »
pourquoi protéger les données personnelles ?
Le sous-traitant chargé du traitement de données personnelles pour le compte d’un responsable de traitement doit pouvoir démontrer son niveau de sécurité et sa conformité. Il doit aussi offrir les moyens de protéger les personnes concernées et leur permettre d’exercer leurs droits.
Ce principe appelé en anglais « accountabilty » justifie les moyens mis en œuvre pour se conformer aux exigences de protection des données personnelles. La norme ISO/CEI 27018 fournit aux fournisseurs de solutions de Cloud les bonnes pratiques de protection de la vie privée spécifiques au Cloud ajoutées aux bonnes pratiques de sécurité de l’information de l’ISO/CEI 27002.
outil de mise en conformité
Afin de répondre aux exigences de sécurité et ainsi éviter d’éventuelles sanctions des autorités de contrôle, la norme ISO/CEI 27018 fournit un outil de mise en conformité.
Par exemple, dans le cadre légal français, cette norme permet de satisfaire le principe de sécurité de l’article 34 de la Loi « Informatique et Libertés ». Il mentionne que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ». La norme ISO/CEI 27018 va dans le sens de la co-régulation et des évolutions du cadre légal et réglementaire européen. La révision de la Directive 95/46 sur la protection des données personnelles consacre le principe d’ « accountability ».
pourquoi se baser sur la norme ISO/CEI 27002 ?
La norme ISO/CEI 27018 bénéficie du savoir-faire acquis dans le domaine du Management de la Sécurité de l’Information et des normes ISO de la série 27000 reconnues au niveau international. Elle se base sur la norme ISO/CEI 27002 de bonnes pratiques pour la protection de l’information. Le principal objectif est de fournir un catalogue de points de contrôle de sécurité de l’information selon onze chapitres de recommandations dont la politique de sécurité, le contrôle d’accès, la cryptographie, la conformité etc…
La norme ISO/CEI 27018 aborde les spécificités liées au secteur du Cloud. Selon cette méthodologie, trois sources sont à considérer afin de vérifier les exigences de sécurité :
- l’environnement légal, réglementaire et contractuel,
- l’évaluation des risques,
- les références internes à l’entreprise.
qu’apporte la référence à la norme ISO/CEI 29100 ?
La norme ISO/CEI 29100 approfondit les principes fondamentaux des domaines de la protection des données personnelles et du respect de la vie privée. Elle est publiée à titre gratuit par l’ISO. Pour la norme ISO/CEI 27018, ces principes complètent dans une annexe normative les points de contrôle spécifiques à appliquer par les sous-traitants de services de cloud public. Ces points de contrôle additionnels sont classés selon les onze principes de la norme ISO/CEI 29100 dont l’exercice des droits de la personne concernée, la finalité du traitement, la proportionnalité, etc…
Résolument engagés pour améliorer les conditions de sécurité et de respect de la vie privée de nos services, notamment dans le domaine du Cloud Computing, les experts d’Orange participent activement aux travaux menés en France au sein de l’AFNOR et à l’ISO dans le SC27 et le SC38. C’est dans cette perspective que j’ai participé à l’élaboration de la norme ISO/CEI 27018 dans la continuité de l’élaboration des normes ISO/CEI 29100 et 17788.
quelles sont les perspectives ?
L’adoption de la norme ISO/CEI 27018 participe au processus de mise en conformité. Véritable outil de co-régulation entre les acteurs du cloud et les autorités de contrôles, elle permet de répondre aux évolutions actuelles du cadre légal et réglementaire européen. C’est une amélioration des moyens de protection au niveau international.
Cette norme permet également de sécuriser les relations contractuelles entre les sous-traitants fournisseurs de solutions de Cloud et les clients responsables de traitements (voir aussi l’article : contrats cloud, une stratégie de sécurité multiple). Elle devrait permettre d’évoluer vers des solutions de certification du cloud sur la base de critères de sécurité de l’information et de respect de la vie privée.
Ainsi, l’adoption de la norme ISO/CEI 27018 devrait favoriser le développement de relations de confiance dans l’environnement Cloud, et ainsi promouvoir des solutions dont les mesures de sécurité sont renforcées.
Stéphane
crédit photo : © Maksim Kabakou - Fotolia.com
Expert Sécurité chez Orange Labs, passionné par le domaine « Informatique et Libertés », j’interviens sur les travaux de normalisation au niveau international et en particulier au sein de l’ISO/CEI JTC1/SC27.
Depuis 10 ans, mes activités dans le Département Sécurité portent sur la recherche et l’anticipation sur les technologies et les bonnes pratiques de respect de la vie privée. Mes travaux contribuent à renforcer l’expertise technique sur la protection des données à caractère personnel, à travers les analyses des risques, la sensibilisation et la prospective.