Go to Top

La norme ISO 27018 (1/2)

Cloud Hybride

 Le Cloud pour le meilleur, et pas pour le pire

Des normes ISO pour standardiser de manière professionnelle tous les tenants et aboutissants de l’usage des technologies de l’information, c’est ce que propose la famille de l’ISO/IEC 27XXX. L’ISO 27018, que Microsoft indique avoir été le premier à implémenter sur sa plateforme Azure, est une norme 100 % orientée vers les services du Cloud. En quoi consiste cette norme, qu’implique-t-elle, que complète-t-elle ?

Standardiser le Cloud semble être quasiment insurmontable

Et pourtant! Tout est une question de méthodologie(s). C’est ce que démontrent les grands thèmes abordés par la déclinaison de la famille des normes ISO/IEC 27XXX orientée Techniques de sécurité dans le secteur des Technologies de l’information. Avec l’ISO 27018, c’est l’amélioration de la confiance des clients des plateformes Cloud qui est visée dans sa globalité : il s’agit de s’attacher à la protection des données à caractère personnel sous tous ses aspects. Dans un papier du 16 février 2015, Brad Smith, Vice-Président Exécutif chez Microsoft dans tout ce qui est d’ordre juridique, détaille ce qu’il a fallu mettre en place sur la plateforme Azure, mais aussi la plateforme Office 365 et la plateforme de la CRM Dynamics, pour parvenir à établir une certification ISO/IEC 27018.

Dans les faits, il y a six principes fondamentaux qui définissent le contour de la protection des données à caractère personnel qui viennent satisfaire aux demandes de l’Europe en 2012; on parle d’adhérence d’une plateforme Cloud à la norme ISO 27018.

  1. Contrôle des données : vous savez où sont stockées vos données, vous pouvez complètement en contrôler le cycle de vie,
  2. Usage des données: vos données ne seront pas revendues et/ou utilisées à des fins de marketing,
  3. Protection des données : vos données sont fortement protégées avec les technologies les plus appropriées de sécurisation, à la fois pour en protéger le contenu, mais pour pouvoir aussi y accéder, les récupérer. Le personnel impliqué dans les manipulations des données est soumis à une obligation de totale confidentialité,
  4. Qualité des services Cloud : le fournisseur de services doit pouvoir indiquer de manière claire et accessible quel est l’état des services à n’importe quel moment et reporter tous les problèmes intervenus et à intervenir avec précision,
  5. Accès des autorités à vos données : vous serez informé de toute demande des autorités quant à l’accès à vos données si les autorités fournissent les documents qui leur donnent le droit de le faire conformément à la loi en vigueur et à votre manque de respect de cette loi : ce sera pareil partout, en Cloud ou pas,
  6. Validation par un tiers de confiance : chaque année, un tiers de confiance valide l’ensemble des points d’adhérence des services utilisés à la norme et à ses évolutions.

Nous reviendrons plus précisément sur l’ensemble des implications techniques nécessaires à la mise en œuvre effective de ces caractéristiques dans une seconde partie. Nous analyserons plus en profondeur la qualité des services cloud et donnerons des exemples sur ce qui existe et la manière dont cela s’opère concrètement. Mais souvenez-vous : la confiance est le maître mot que la norme ISO/IEC 27018:2014 doit inspirer aux clients et aux fournisseurs.

 

À suivre : La norme ISO 27018 (2/2)

 

Plus d’informations

About Olivier Pavie

Olivier Pavie est technologue, journaliste et écrivain français, expert en High Tech et systèmes d'information. Il a publié de nombreux ouvrages chez Osman Eyrolles Multimedia, Pearson Education, Campus Press, Peachpit Press et a été traduit en allemand, italien et anglais. Il partage sur le blog Kroll Ontrack les nouveautés technologiques ayant rapport à la récupération de données et aux disques durs ainsi que sa vision de spécialiste sur l'actualité informatique.

One Response to "La norme ISO 27018 (1/2)"

  • derradji89
    12 février 2016 - 5:48 Reply

    merci

Laisser un commentaire