L’utilisation de l’informatique en nuage, communément appelée « Cloud Computing » ou « Cloud » est aujourd’hui largement répandue. Cette approche permet à toute entreprise ou particulier de bénéficier d’une infrastructure et d’un ensemble considérable de services à la demande et de ne payer que leur utilisation effective (« pay per use »). Ceci profite à l’ensemble des acteurs économiques et utilisateurs du Cloud, qui peuvent ainsi mutualiser les ressources requises et réduire aussi bien leurs coûts que l’empreinte écologique associée à leurs activités.
Plusieurs freins existent néanmoins quant à l’adoption globale de cette approche. Ils sont principalement liés à la confiance dans le Cloud : confidentialité des informations, localisation de l’hébergement et traitements effectués sur les données. La normalisation joue ici un rôle clé. Plusieurs comités techniques de différents organismes de normalisation travaillent activement et en coordination à proposer des normes sur le Cloud Computing, notamment l’Organisation internationale de normalisation (ISO) et l’institut européen des normes de télécommunication (ETSI).
Le comité technique de normalisation ISO/IEC JTC1/SC 38, intitulé « Cloud Computing and Distributed Platforms », a été créé en novembre 2009. Il est constitué de trois groupes de travail :
- WG 1 : Cloud Computing Service Level Agreements (CCSLA),
- WG 2 : Cloud Computing Interoperability and Portability (CCIP),
- WG 3 : Cloud Computing Data and its Flow (CCDF).
Ce comité a développé plusieurs normes autour du Cloud, notamment la norme ISO/IEC 17203 qui spécifie un format ouvert de machines virtuelles, les normes ISO/IEC 17788 et ISO/IEC 17789 qui spécifient la nomenclature et l’architecture de référence d’une plateforme de Cloud et bien d’autres encore. Parmi les normes en cours de développement du SC 38 il est à noter la future norme du WG 3 : ISO/CD 19086-2 qui va spécifier les métriques associées aux accords de niveau de service (SLA) et la future norme du WG4 : ISO/CD 19941 qui répondra aux problématiques d’interopérabilité et de portabilité des données dans le Cloud.
Le comité technique de normalisation ISO/IEC JTC1/SC 27, intitulé « IT Security Techniques », a été créé en 1989. Plusieurs normes développées par ce comité répondent également à des besoins et problématiques liés au Cloud. La norme ISO 27017 sert de code de conduite à la gestion de la sécurité de l’information dans le Cloud. Cette norme fournit des conseils afin d’implémenter les contrôles de sécurité nécessaires dans une infrastructure de Cloud. La norme ISO 27018 se focalise sur les aspects de données personnelles (Personally Identifiable Information, PII) enregistrées dans le Cloud et propose un ensemble de conseils, de mécanismes de contrôle et de bonnes pratiques afin de gérer ces données de manière sécurisée et afin d’augmenter la confiance dans le Cloud. Par ailleurs, la future norme ISO/IEC FDIS 27036-4 proposera des techniques et lignes de conduites pour la sécurité des services dans le Cloud. De plus, la norme ISO 27018 peut faire l’objet d’une certification et permettre ainsi à un fournisseur de services de Cloud de démontrer que sa plateforme est bien digne de confiance.
Au niveau de l’ETSI, le comité technique de normalisation CYBER développe des travaux de normalisation en cyber-sécurité, et notamment la norme TR 103 304 publiée en Juillet 2016 et qui s’adresse à la gestion et à la protection des données personnelles dans le Cloud et les réseaux mobiles.
Pour rappel, au Luxembourg, toute personne intéressée peut soumettre une demande d’inscription à un comité technique de normalisation à l’Organisme luxembourgeois de normalisation (ILNAS). Cette participation est proposée gratuitement et offre la possibilité de contribuer activement à la rédaction des documents normatifs et de prendre position dans le processus de développement des futures normes. Pour toute question, vous pouvez nous contacter à l’adresse anec@ilnas.etat.lu.