BUSINESS ❱ Cloud Managed Services
ISO/CEI 27018 POUR EBRC EVIDEMMENT !
> L’ISO/CEI 27018, une évidence pour le spécialiste de la gestion de l’information sensible. EBRC a naturellement adopté les meilleures pratiques pour la protection des données personnelles dans ses services de cloud computing. «Hier, les entreprises sélectionnaient leur prestataire de services en fonction de leur infrastructure; aujourd’hui, elles se montrent plus sensibles aux critères sécurité au sens large. C’est une preuve de maturité, analyse Philippe Dann, Head of Risk & Business Advisory Services, EBRC. Elle nous rassure. Et nous conforte dans notre stratégie.» Cette norme représente une avancée majeure pour la maîtrise de la sécurité des services de cloud. Elle s’appuie principale-
ment sur les normes ISO/CEI 17788 sur le cadre et le vocabulaire du cloud computing, 27002 pour les bonnes pratiques de sécurité de l’information et 29100 pour le cadre de protection de la vie privée. Concrètement, la norme ISO/CEI 27018 aborde les spécificités liées au secteur du cloud. Selon cette méthodologie, trois sources sont à considérer afin de vérifier les exigences de sécurité : - l’environnement légal, réglementaire et contractuel; - l’évaluation des risques; - les références internes à l’entreprise.
Véritable outil de co-régulation entre les acteurs du cloud et les autorités de contrôle, ISO/CEI 27018 permet de répondre aux évolutions actuelles du cadre légal et réglementaire européen. C’est aussi une amélioration des moyens de protection au niveau international. «Ne perdez jamais de vue qu’une entreprise qui utilise un service de cloud computing reste responsable des traitements: cela veut dire qu’elle doit s’assurer que son prestataire lui permettra de respecter ses obligations au regard de la législation, notamment en termes d’information des personnes concernées, d’encadrement des transferts
L’EUDCA a joué un rôle actif dans l’élaboration de la norme ISO 27018 L’European Data Centre Association, dont EBRC est l’un des membres fondateurs, est une association qui défend les intérêts des clients des fournisseurs de services de l’industrie du data dentre. L’EUDCA, qui se veut résolument européenne, vise à fédérer tous les pays du continent. L’association a pour objectif la promotion, auprès [ 30 ]
Solutions 252 - MARS 2015
des autorités politiques ou de toute autre partie prenante, d’une vision européenne de l’IT. En avril 2013, l’EUDCA a été admise au sein de l’ISO en tant que contributeur externe au groupe de travail ISO/IEC JTC 1/SC 27 WG5, Identity Management, Privacy Technology, and Biometric et plus particulièrement à la
nouvelle norme ISO/IEC 27018. Cette dernière définit les moyens à mettre en œuvre pour assurer la sécurité des données privées hébergées dans un cloud public: lorsqu’un client place ses données privées dans le cloud, quelles mesures peut-il imposer à son fournisseur de services pour s’assurer que les bonnes pratiques de sécurité
sont respectées et que ses données sont stockées de manière sécurisée ? EBRC, à travers son rôle fondateur au sein de l’EUDCA, a suivi de près l’élaboration de la norme ISO 27018.
Visit our website: www.solutions-magazine.com
et de sécurité des données… Est-ce le cas?» Poser la question c’est y répondre. C’est pourquoi EBRC investit dans les standards, seul véritable indicateur tangible en matière de conformité. La transparence au bénéfice du client. De toute évidence, la normalisation a un coût. «Se faire auditer coûte cher en ressources. Fort heureusement, et cela se traduit via les appels d’offres, le marché adhère. J’observe que les prestataires ne peuvent s’en tenir au déclaratif, à tout le moins dans les projets que nous visons.» Et s’il existe d’autres normes, EBRC privilégie les plus importantes reconnues internationalement. «L’ISO est un langage universel, l’ISO est repris dans les différents référentiels, illustre Philippe Dann. C’est pourquoi nous cherchons toujours à les adopter au plus vite. Nous voulons rester un pionnier. Quand un prospect compare deux services managés, le fait de savoir que l’un est labellisé ISO ne pourra que le rassurer !» Pour l’ISO, le sous-traitant chargé du traitement de données personnelles pour le compte d’un responsable de traitement doit pouvoir démontrer son niveau de sécurité et sa conformité; il doit aussi offrir les moyens de protéger les personnes concernées et leur permettre d’exercer leurs droits. C’est pourquoi l’ISO a publié ses trois premières normes totalement
consacrées au cloud computing. Si les deux premières (ISO/IEC 17788 et ISO/ IEC 17789) s’attachent respectivement à «clarifier la définition du cloud» et à «définir l’architecture fonctionnelle», l’ISO/IEC 27018 renforce les contrôles de sécurité de la norme ISO IEC 27001 (Management de la sécurité de l’information) pour maximiser la protection des données personnelles; elle garantit la transparence et permet aux fournisseurs de cloud public de se conformer à leurs obligations règlementaires. «Chez EBRC, cela signifie: pas de sous-traitant dans la chaîne d’information, une maîtrise complète. Ce qui sous-entend une meilleure capacité à gérer les risques. Nous n’avons pas à auditer d’éventuels fournisseurs dans le sens où nous ne pratiquons pas d’outsourcing en cascade: nous sommes les seuls maîtres -et les seuls responsablesà bord.»
L’ISO/CEI 27018 en pratique
Et Philippe Dann de conseiller aux entreprises de prendre le temps d’évaluer les candidats prestataires avant de s’engager. «Comparez sur base d’éléments tangibles, par métiers, par secteurs d’activités; comparez-les sur base d’une grille d’évaluation stricte. Dites-vous que si vous pouvez accéder très rapidement à n’importe quel service à travers le cloud, vous choisirez un partenaire pour longtemps. Autant il est aisé d’entrer dans le cloud, autant il peut être difficile... d’en sortir !»
La norme ISO/CEI 27018 assure également qu’il y a des restrictions définies sur la façon dont nous traitons les informations personnelles identifiables, y compris celle sur la transmission sur les réseaux publics, le stockage sur un média transportable et les processus appropriés de récupération de données. En outre, la norme assure que toutes les personnes, y compris nos propres employés qui traitent des informations personnellement identifiables, sont soumises à une obligation de confidentialité. ■
L’adhérence à la norme ISO/CEI 27018 permet d’assurer la propriété des données de plusieurs façons, notamment en garantissant que EBRC traite «seulement des informations personnellement identifiables selon les instructions fournies par ses clients» et «garantit la transparence en matière de politique sur le retour, le transfert et la suppression des informations personnelles stockées dans nos centres de données» en permettant aux clients de connaître l’emplacement de leurs données dans les data centres, les noms des entreprises qui auraient éventuellement besoin d’accéder aux données ainsi que tout accès non autorisé aux informations personnelles identifiables. Et également d’être tenu au courant en cas de demandes d’accès à des données privées par des États.
Solutions 252 - MARS 2015
[ 31 ]