Le comité d’étude national ISO/IEC JTC 1/SC 38 « Cloud Computing and Distributed Platforms » a récemment désigné son nouveau président, M. Johnatan Pecero, qui assure désormais la coordination et le suivi des travaux internationaux de normalisation du domaine pour le Luxembourg. L’occasion de revenir sur les sujets qui occupent actuellement ce comité et sur l’implication du Luxembourg.
Organisation du sous-comité ISO/IEC JTC 1/SC 38 au niveau international
Le comité technique international de normalisation ISO/IEC JTC 1, dédié aux Technologies de l’Information, a mis en place le sous-comité ISO/IEC JTC 1/SC 38 en 2009, afin de produire des normes internationales pour les domaines de l’architecture orientée service et des plateformes distribuées. Depuis 2016, ses travaux se sont recentrés sur le Cloud Computing, qui est désormais au cœur du programme de travail du sous-comité.
Le JTC 1/SC 38 est composé de trois groupes de travail, chacun responsable d’un aspect spécifique du Cloud Computing, dont le rôle consiste notamment à prendre en charge les premiers stades de développement des futures normes internationales grâce à l’expertise des membres impliqués au plan mondial :
- ISO/IEC JTC 1/SC 38/WG 3 - Principes fondamentaux du Cloud Computing ;
- ISO/IEC JTC 1/SC 38/WG 4 - Cloud Computing : interopérabilité et portabilité (CCIP) ;
- ISO/IEC JTC 1/SC 38/WG 5 - Cloud Computing : données et flux de données (CCDF).
Normes et projets au niveau international
Le sous-comité a déjà publié 10 normes internationales depuis sa création, dont trois concernent directement le Cloud Computing :
- ISO/IEC 17788:2014, Information technology -- Cloud computing -- Overview and vocabulary, qui pose les concepts fondamentaux de la technologie, définissant notamment ses principales caractéristiques, les différentes catégories de services ou encore les modes de déploiement.
- ISO/IEC 17789:2014, Information technology -- Cloud computing -- Reference architecture, qui propose une architecture de référence pour le Cloud et présente notamment ses composantes fonctionnelles, la structure des équipes qui le mettent en œuvre ainsi que le rôle de chaque partie prenante.
- ISO/IEC 19086-1:2016, Information technology -- Cloud computing -- Service level agreement (SLA) framework -- Part 1: Overview and concepts, qui établit un ensemble de blocs de construction pour les SLA (définitions, concepts, termes, contextes), ce qui permettra d’éviter les confusions et facilitera la compréhension entre fournisseurs et clients de services Cloud.
Six projets de normes internationales sont inscrits au programme de travail du JTC 1/SC 38, notamment pour compléter la série de normes sur les Cloud SLAs (métriques et exigences de conformité de base), pour définir les types d’interopérabilité et de portabilité pour le Cloud, pour faciliter la transparence des flux de données et l’intégration des différents services Cloud, ou encore pour fournir des conseils sur l'utilisation des normes internationales dans l'élaboration de politiques qui régissent ou réglementent les fournisseurs de services Cloud :
- ISO/IEC DIS 19086-2, Information technology -- Cloud computing -- Service level agreement (SLA) framework -- Part 2: Metric Model ;
- ISO/IEC 19086-3, Information technology -- Cloud computing -- Service level agreement (SLA) framework -- Part 3: Core conformance requirements ;
- ISO/IEC DIS 19941, Information technology -- Cloud computing -- Interoperability and portability ;
- ISO/IEC FDIS 19944, Information technology -- Cloud computing -- Cloud services and devices: Data flow, data categories and data use ;
- ISO/IEC AWI 22123, Information Technology -- Cloud Computing -- Concepts and Terminology ;
- ISO/IEC NP TR 22678, Information Technologies -- Cloud Computing -- Guidance for Policy Development.
Rappelons également que le comité technique de normalisation ISO/IEC JTC1/SC 27 “IT security techniques” travaille en liaison avec l’ISO/IEC JTC 1/SC 38 pour le développement des normes Cloud relatives à la sécurité de l’information et aux questions de vie privée. Il a par exemple publié les normes suivantes :
- ISO/IEC 27017:2015, qui donne des lignes directrices pour la mise en place de contrôles de sécurité de l'information applicables à la fourniture et à l'utilisation de services Cloud.
- ISO/IEC 27018:2014 se focalise sur les aspects de données personnelles (Personally Identifiable Information - PII) enregistrées dans le Cloud et propose un ensemble de conseils, de mécanismes de contrôle et de bonnes pratiques afin de gérer ces données de manière sécurisée et d’augmenter la confiance dans le Cloud. De plus, cette norme peut faire l’objet d’une certification et permettre ainsi à un fournisseur de services de Cloud de démontrer que sa plateforme est bien digne de confiance.
- ISO/IEC 27036-4:2016 fournit aux clients et aux fournisseurs de services Cloud des conseils pour identifier les risques de sécurité de l’information liés à l’utilisation des services Cloud et pour gérer de manière efficaces ces risques.
Par ailleurs, le JTC 1/SC 27 est aussi en charge du développement de la norme ISO/IEC CD 19086-4, Information technology -- Cloud computing -- Service level agreement (SLA) framework -- Part 4: Security and privacy. Ce document spécifiera les composants de sécurité et de protection des PII, les Cloud Service Level Objectives (SLO) et les Cloud Service Qualitative Objectives (SQO) des Cloud SLAs.
Organisation du comité d’étude national ISO/IEC JTC 1/SC 38
Au Luxembourg, le suivi et la participation aux travaux de normalisation du sous-comité ISO/IEC JTC 1/SC 38 sont réalisés par un comité d’étude national constitué par les acteurs économiques nationaux inscrits en tant que délégués nationaux en normalisation pour le suivi de ce sous-comité. Ce dernier a récemment nommé M. Johnatan Pecero en tant que président afin qu’il coordonne les contributions luxembourgeoises aux travaux de normalisation internationaux. En effet, le comité d’étude national ISO/IEC JTC 1/SC 38 a la possibilité de commenter les différents projets de normes internationaux et de se positionner lors des votes organisés pour chaque étape de développement des futures normes internationales.
Le rôle du président est donc de s’assurer de la prise en compte des positions de vote et des commentaires de l’ensemble des délégués constituant le comité d’étude national et de définir de manière consensuelle une position nationale qui sera transmise vers le sous-comité au niveau international.
A cette fin, des réunions entre délégués sont régulièrement organisées au Luxembourg pour échanger sur les projets en cours et assurer leur suivi. Par ailleurs, dans la mesure du possible, le Président national ISO/IEC JTC 1/SC 38 participera aux réunions internationales ad hoc. Cela permettra d’une part une meilleure prise en compte des positions luxembourgeoises dans les travaux du sous-comité, mais également d’informer le marché national sur les futurs projets en matière de normalisation du Cloud.
Le Luxembourg participe déjà activement à ces travaux de normalisation via son comité d’étude national ISO/IEC JTC 1/SC 38 qui compte actuellement 15 délégués nationaux en normalisation. Pour rejoindre ces experts, vous pouvez soumettre une demande d’inscription à l’Organisme luxembourgeois de normalisation (ILNAS). Cette participation, proposée gratuitement au Luxembourg, offre la possibilité de contribuer activement à la rédaction des documents normatifs et de prendre position dans le processus d’élaboration des futures normes dès leurs premiers stades de développement.
Pour toute demande de renseignement, vous pouvez nous contacter à l’adresse anec@ilnas.etat.lu ou par téléphone au (+352) 247 743-70.