Norme ISO 27018, pour le meilleur et pas pour le pire

mardi 30 juin 2015 par Olivier Pavie

Des normes ISO pour standardiser de manière professionnelle tous les tenants et aboutissants de l'usage des technologies de l'information, c'est ce que propose la famille de l'ISO/IEC 27XXX. L'ISO 27018, que Microsoft indique avoir été le premier à implémenter sur sa plateforme Azure, est une norme 100 % orientée vers les services du Cloud. En quoi consiste cette norme, qu'implique-t-elle, que complète-t-elle ?

Standardiser le Cloud semble être quasiment insurmontable

Et pourtant ! Tout est une question de méthodologie(s). C'est ce que démontrent les grands thèmes abordés par la déclinaison de la famille des normes ISO/IEC 27XXX orientée Techniques de sécurité dans le secteur des Technologies de l'information. Avec l'ISO 27018, c'est l'amélioration de la confiance des clients des plateformes Cloud qui est visée dans sa globalité : il s'agit de s'attacher à la protection des données à caractère personnel sous tous ses aspects. Dans un papier du 16 février 2015, Brad Smith, Vice-Président Exécutif chez Microsoft dans tout ce qui est d'ordre juridique, détaille ce qu'il a fallu mettre en place sur la plateforme Azure, mais aussi la plateforme Office 365 et la plateforme de la CRM Dynamics, pour parvenir à établir une certification ISO/IEC 27018.

Dans les faits, il y a six principes fondamentaux qui définissent le contour de la protection des données à caractère personnel qui viennent satisfaire aux demandes de l'Europe en 2012; on parle d'adhérence d'une plateforme Cloud à la norme ISO 27018.

  1. Contrôle des données : vous savez où sont stockées vos données, vous pouvez complètement en contrôler le cycle de vie,

  2. Usage des données : vos données ne seront pas revendues et/ou utilisées à des fins de marketing,

  3. Protection des données : vos données sont fortement protégées avec les technologies les plus appropriées de sécurisation, à la fois pour en protéger le contenu, mais pour pouvoir aussi y accéder, les récupérer. Le personnel impliqué dans les manipulations des données est soumis à une obligation de totale confidentialité,

  4. Qualité des services Cloud : le fournisseur de services doit pouvoir indiquer de manière claire et accessible quel est l'état des services à n'importe quel moment et reporter tous les problèmes intervenus et à intervenir avec précision,

  5. Accès des autorités à vos données : vous serez informé de toute demande des autorités quant à l'accès à vos données si les autorités fournissent les documents qui leur donnent le droit de le faire conformément à la loi en vigueur et à votre manque de respect de cette loi : ce sera pareil partout, en Cloud ou pas,

  6. Validation par un tiers de confiance : chaque année, un tiers de confiance valide l'ensemble des points d'adhérence des services utilisés à la norme et à ses évolutions.

Une norme qui doit inspirer la confiance aux clients et fournisseurs

Parmi les caractéristiques essentielles de la norme ISO 27018, il y a celles qui consistent à exiger de l'opérateur, le CSP ou Cloud Service Provider en anglais, qu'il donne les moyens à l'utilisateur de contrôler la qualité des services de la plateforme vis-à-vis de ses données ; du coup, le reporting fourni par l'opérateur donne des informations intéressantes sur les outils qu'il a mis en place.

Même s'il n'y a pas à l'heure actuelle un grand nombre de plateformes conformes ISO/IEC 27018 sur le marché, celles qui existent donnent des indications précieuses sur ce qui se passe. Nous parcourrons dans les articles qui suivent quelques éléments provenant des plateformes Microsoft Azure, Office 365 et Dynamics CRM et tenterons de montrer d’autres exemples, même si cela est relativement prématuré puisque l’autre annonce de conformité ISO/IEC 27018 date du mois de Mai 2015 et concerne Dropbox Entreprise.

Microsoft a donc dégainé le premier, mais ce qui est rassurant, c'est que ses plateformes ne datent pas d'hier… La première remonte à 2008. Pour l'heure l’une des plus anciennes plateformes Cloud de services SaaS est la plateforme Office 365 créée il y a plus de 3 ans après plusieurs évolutions techniques relativement lourdes.

Qualité des services Cloud

Outre une sécurisation très forte sur les accès (PC mais aussi tablettes et autres Smartphones) et le transport des données (certaines versions d'Office 365 se couplent à Active Directory), la plateforme Office 365 inclut pour chaque nouveau client un serveur Exchange, un serveur SharePoint, un serveur Lync désormais baptisé Skype Entreprises, un réseau social Yammer, l'accès aux données stockées par OneDrive Professionnel et d'autres services.

L'illustration 1 montre l'état de chaque service d'Office 365 sur les jours passés. Les Points bleus indiquent des incidents. En cliquant dessus, ce que l'on voit sur l'illustration 2, on obtient un détail complet de l'incident et de ses implications. On s'aperçoit que les incidents ne sont pas forcément nombreux mais qu'ils peuvent avoir eu une incidence sur le comportement de la plateforme notamment pour l'accès à certaines fonctions. Les incidents en cours sont identifiés par une autre couleur que les incidents passés. Il ressort de cette brève analyse que le fournisseur de service ne cache pas ses problèmes et met tout en œuvre pour assurer un fonctionnement optimal en exploitation, ce qui correspond à une des principales attentes de la norme ISO/IEC 27018.

Services pour Administrateur et partenaire

Il est important de noter que l'administrateur global du service acquis auprès de la plateforme gère les comptes, les droits d'accès, etc., de l'ensemble du système et des différents services (il existe des délégations d'administration comme sur un serveur "On Premise", serveur physique dans l'entreprise), de la même façon qu'il peut accéder à l'information sur la qualité des services et des incidents. Il est encore plus intéressant de noter que le partenaire délégué de la société utilisatrice est, lui aussi, capable d'assurer les mêmes charges que l'administrateur, ce qui permet de déléguer la supervision de l'ensemble de la solution sans forcément avoir besoin de quelqu'un en interne pour tout gérer.

Services de supervision globale professionnelle

Le partenaire référencé par Microsoft comme étant un interlocuteur de confiance pour ses clients Cloud a lui-même accès à une console encore plus précise qui lui permet de disposer des informations sur l'ensemble des incidents de tous ses clients classés par types de services (illustration 3). Cette information confirme deux concepts de l'adhérence à la norme ISO/IEC 27018 qui concerne l'information sur la qualité de service mais cela montre aussi que les responsables délégués sous l'appellation Partenaire par le client, sont connus et approuvés par Microsoft : une relation de confiance et de confidentialité est ainsi mise en place.

Plus d’informations

Technicien Ontrack

Vous avez perdu des données ? Demandez une évaluation gratuite de votre support de stockage :
0 800 10 12 13 Evaluation gratuite

Trustpilot