Les impacts de la norme ISO/IEC 19086 dans les contrats cloud

Développée conjointement par l’International Standard Organisation et l’International Electronical Commission, la norme ISO/IEC 19086 n’a pas de caractère obligatoire et ne permet pas la certification par un tiers habilité. Il serait plus approprié de parler d’un ensemble d’outils à la disposition des parties à un contrat cloud.

Les normes ISO 19086-1 à 4

La norme 19086 comprend en réalité quatre déclinaisons :

• ISO/IEC 19086-1:2016 pose les bases sémantiques et conceptuelles pour établir une convention de services ;
• ISO/IEC 19086-2:2018 est la dernière en date et elle pose les modèles de métriques sur la base des concepts standard du cloud ;
• ISO/IEC 19086-3:2017 spécifie les exigences de conformité pour les niveaux de service établis dans 19086-1 ;
• ISO/IEC 19086-4 n’est encore qu’à l’état de projet et va apporter des réponses sur la sécurité et le respect des données personnelles grâce aux niveaux de service.

Si l’ensemble constitué de ces quatre volets n’est pas encore totalement achevé, il n’en demeure pas moins que les parties au contrat cloud peuvent déjà, en tout ou partie, les exploiter utilement.

Les points du contrat cloud impactés

En 2016, Microsoft a commandé au cabinet Forrester (1) une étude pour évaluer dans les contrats cloud les points absents ou mal traités dans les contrats cloud et auxquels la seule norme IECO/IEC19086 pouvait déjà apporter des réponses.

467 utilisateurs du cloud situés sur les cinq continents ont été sondés. Les écarts constatés entre le contrat et ladite norme ont porté, par ordre décroissant d’importance, sur :

• la fiabilité du service ;
• la performance du service ;
• la sécurité ;
• la supervision ;
• la disponibilité ;
• la protection des données personnelles ;
• l’accessibilité ;
• la titularité des données ;
• le support ;
• les rôles et responsabilités.

Tous ces sujets peuvent être couverts dans le corps du contrat cloud et dans les annexes dédiées. Microsoft a tiré de cette étude une « check list » qui peut être appliquée à tout projet cloud au titre des « due diligences » (2).

En conclusion, si tous les acteurs du cloud ne peuvent ou veulent se soumettre aux recommandations de la famille des normes ISO 19086, il n’en demeure pas moins qu’elles constituent un fort encouragement à standardiser les services du cloud et partant à sécuriser les utilisateurs. Avant même sa publication, le Syntec appelait déjà à leur intégration dans le référentiel incontournable du cloud (3). A sa lumière, les parties au contrat cloud disposent de nouveaux outils pour en préciser et clarifier les termes.

Eric Le Quellenec
Lexing Informatique conseil

(1) Infographie étude Forrester, juin 2016.
(2) Cloud services due diligence checklist.
(3) Note du Syntec sur le référentiel d’exigences à l’informatique en nuages, 2015.