Cloud, normes ISO et responsabilité juridique
Eric Le Quellenec, sollicité par Serge Escalé pour GPO Magazine, revient sur les normes ISO publiées le 15 octobre 2014, afférentes à l’utilisation du cloud en mode IaaS, dont il recommande l’application aux entreprises.
Après un peu plus de deux ans de travaux, les organismes de normalisation UIT-T et ISO ont approuvé trois nouvelles normes sur le cloud computing. Pour mémoire, ce sont les normes ISO/IEC 17789:2014, ISO/IEC 17788:2014 et ISO/IEC 27018:2014 (disponibles gratuitement sur www.itu.int/).
La norme ISO 17788 définit les cinq types d’intervenant sur le marché du cloud computing (auditeurs, partenaires, clients, fournisseurs, intermédiaires), les trois types de services proposés (infrastructure as a service ou « IaaS », platform as a service ou « PaaS » et Software as a Service ou « SaaS »).
La norme ISO 17789 s’attache à définir l’architecture fonctionnelle de référence, c’est-à-dire la façon de construire une plateforme de services cloud computing, dans un souci d’interopérabilité. La norme ISO 27018 fixe les règles de sécurité à appliquer pour les fournisseurs de cloud public afin d’assurer la protection des données personnelles, garantir la transparence et se conformer à leurs obligations réglementaires.
Une norme relative au SLA (Service Level Agreement) devrait par ailleurs être publiée dans le courant de l’année.
En intégrant ces nouvelles normes dans les contrats, elles acquièrent force de loi. Selon Eric Le Quellenec, il n’y avait auparavant aucune marge pour négocier en cas de litige avec un client. Par contrat, il est ainsi possible de préciser la localisation du stockage physique des données, les conditions de rétablissement des services, les clauses de garantie.
Eric Le Quellenec, « Comment sécuriser vos informations dans le cloud », GPO Magazine, 7 mai 2015