Le cloud computing est désormais un concept bien connu cependant des freins bloquent encore parfois son adoption par les organisations : sécurité, confidentialité, réversibilité des données, etc. Dans ce cadre, les organismes de normalisation internationaux développent actuellement un écosystème de normes à même de fournir des solutions efficace pour répondre aux besoins du marché.
L’ISO/IEC JTC 1, comité technique international de normalisation dédié au secteur des Technologies de l’Information et de la Communication (TIC) a publié ses deux premières normes internationales pour le cloud computing en 2014, d’une part pour fixer le vocabulaire et les caractéristiques principales du cloud (ISO/IEC 17788:2014), et d’autre part pour définir une architecture de référence (ISO/IEC 17789:2014).
Après avoir mis en place ces premières références communes, essentielles au développement de nouvelles normes techniques, le comité technique travaille dorénavant à la mise en place de normes pour répondre à différents objectifs :
- Faciliter la mise en place des accords de niveau de service (SLA) ;
- Améliorer l’interopérabilité et la portabilité des données et des services ;
- Définir un cadre relatif aux données et à leurs flux à travers les dispositifs et les services ;
- Garantir la sécurité et la confidentialité des données.
Ces travaux sont menés par les sous-comités ISO/IEC JTC 1/SC 38, Cloud Computing and Distributed Platforms, et ISO/IEC JTC 1/SC 27, IT Security techniques, qui collaborent activement pour leur mise en œuvre.
Faciliter la mise en place des accords de niveau de service (SLA)
Le SC 38 développe actuellement une série de normes (ISO/IEC 19086) afin de donner aux fournisseurs de services cloud et à leurs clients les outils nécessaires pour élaborer efficacement leurs SLA. Cette série de norme entend en effet établir un ensemble de blocs pour construire les SLA (définitions, concepts, termes, contexte), ce qui permettra d’éviter les confusions et facilitera la compréhension entre fournisseurs et clients de services cloud.
La série de normes ISO/IEC 19086, Technologies de l'information -- Cloud Computing -- Service Level Agreement est divisée en quatre parties :
- ISO/IEC CD 19086-1, Information technology -- Cloud computing -- Service level agreement (SLA) framework and Technology -- Part 1: Overview and concepts ;
- ISO/IEC NP 19086-2, Information technology -- Cloud computing -- Service level agreement (SLA) framework and Technology -- Part 2: Metrics ;
- ISO/IEC NP 19086-3, Information technology -- Cloud computing -- Service level agreement (SLA) framework and technology -- Part 3: Core requirements ;
- ISO/IEC NP 19086-4, Information technology - Cloud Computing -- Service Level agreement (SLA) framework and Technology -- Part 4: Security and privacy (partie développée par le SC 27).
Interopérabilité, portabilité et flux de données
Dans l’idée de garantir une meilleure interopérabilité et portabilité des données dans le cloud, le SC 38 est en train de développer une norme (ISO/IEC AWI 19941) qui devrait définir les types d’interopérabilité et de portabilité pour le cloud (services et données), les relations entre ces deux aspects ainsi que la terminologie s’y rapportant.
Un second projet de norme (ISO/IEC AWI 19944) vise à produire un travail fondateur pour investiguer les différents enjeux liés aux flux de données, en appliquant l’architecture de référence du cloud définie dans la norme ISO/IEC 17789:2014 à l’écosystème de dispositifs et de services cloud.
Par ailleurs, l’ISO/IEC JTC 1 a également publié en 2015 la norme ISO/IEC 19831:2015, une spécification technique développée par le DMTF et soumise pour publication en tant que norme internationale. Elle décrit le modèle et le protocole pour les interactions de gestion entre un fournisseur de cloud Infrastructure as a Service (IaaS) et les consommateurs d'un service IaaS. Les ressources de base de l’IaaS (machines, stockage et réseaux) sont modélisées, avec pour objectif de fournir aux consommateurs un accès de gestion à une implémentation de l'IaaS et ainsi faciliter la portabilité entre les différentes implémentations cloud qui prennent en charge la norme.
Garantir la sécurité et la confidentialité des données
Le SC 27 a quant à lui publié en 2014 une première norme (ISO/IEC 27018:2014) relative à la protection des données personnelles dans les environnements de cloud publics et qui vise à remplir les objectifs suivants :
- Aider les fournisseurs de services cloud qui traitent des données à caractère personnel à répondre aux obligations légales applicables, mais aussi aux attentes de la clientèle ;
- Assurer la transparence, pour que les clients puissent choisir des services cloud bien gérés ;
- Faciliter l’élaboration de contrats pour les services cloud ;
- Fournir aux clients du cloud un mécanisme garantissant que les fournisseurs de cloud respectent les obligations légales et d’autres exigences.
D’autres normes sont en cours de développement par le comité technique afin de développer la sécurité au sein des services de cloud computing :
- ISO/IEC DIS 27017, Information Technology -- Security Techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services.
Cette norme définira des lignes directrices à l'appui de la mise en œuvre de la gestion de sécurité de l'information pour l'utilisation de services de cloud computing. A cette fin, elle fournira à la fois des indications de mise en œuvre complémentaires pour les contrôles spécifiés dans la norme ISO/IEC 27002:2014 et des contrôles supplémentaires concernant directement les services cloud.
- ISO/IEC CD 27036-4, Information technology -- Information security for supplier relationships -- Part 4: Guidelines for security of Cloud services.
La série de norme ISO/IEC 27036 est destinée à aider les organisations à sécuriser leurs informations et systèmes associés dans le contexte des relations avec les fournisseurs. La partie 4, concerne spécifiquement les fournisseurs et acquéreurs de services cloud en leur donnant des indications pour répondre aux problématiques suivantes :
- Gagner en visibilité sur les risques de sécurité de l’information associés à l'utilisation de services cloud et sur la manière de gérer efficacement ces derniers ;
- Répondre aux risques spécifiques liés à l'acquisition ou à la fourniture de services basés sur le cloud qui peuvent avoir un impact sur la sécurité de l'information des organisations qui utilisent ces services.
Ces normes internationales devraient ainsi favoriser l’utilisation des services cloud en renforçant la confiance et la compréhension des utilisateurs vis-à-vis des fournisseurs grâce à des garanties supplémentaires et reconnues pour les aspects de sécurité et de confidentialité liés au cloud.
Participer à la normalisation du cloud computing au Luxembourg
Vous pouvez dès aujourd’hui influencer l’évolution des normes dans votre secteur d’activité. Afin de faciliter la participation aux travaux de normalisation au Grand-Duché de Luxembourg, l’ILNAS procède gratuitement à l’inscription de toute personne intéressée dans les comités techniques de normalisation. Cette inscription donne accès à l’ensemble des développements normatifs en cours dans le comité (accès aux normes en cours de rédaction, possibilité de les commenter et de voter pour faire valoir le positionnement du Luxembourg, échanges avec des experts internationaux de votre secteur, etc.). Les modalités de participation sont disponibles sur le portail-qualite.lu.
Pour gagner du temps, vous pouvez commencer par nous transmettre une déclaration d’intérêt. Nous vous recontacterons dans les meilleurs délais.
Enfin, pour toute question relative à ce domaine d’activité : anec@ilnas.etat.lu