La norme ISO/CEI 27018:2014[1] concerne la protection des données à caractère personnel dans l'informatique en nuages. Elle a été publiée en par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) sous le titre en français : « Technologies de l’information, Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII ».

Définition modifier

La norme ISO/CEI 27018:2014 permet d'établir les objectifs de contrôle, les contrôles et les lignes directrices communément acceptés pour la mise en œuvre de mesures de protection des informations personnelles (PII) conformément aux principes de respect de la vie privée de l'ISO/CEI 29100[2]. Elle s’appuie principalement sur les normes :

  • ISO/CEI 17788[3] sur le cadre et le vocabulaire du cloud computing, (Information technology – Cloud computing – Overview and Vocabulary). Concrètement, c'est une base de terminologie pour les normes de cloud computing applicable à tous les types d'organisations (par exemple, les entreprises commerciales, agences gouvernementales, organisations à but non lucratif),
  • ISO/CEI 27002 pour les bonnes pratiques de sécurité de l’information,
  • ISO/CEI 29100[2] pour le cadre de protection de la vie privée.

En particulier, l'ISO/CEI 27018:2014 spécifie des directives basées sur l'ISO/CEI 27002, prenant en considération les exigences réglementaires pour la protection des PII qui pourraient être applicables dans le contexte des environnements de sécurité de l'information d'un fournisseur de services publics et des services de cloud computing.

Les personnes concernées modifier

ISO/CEI 27018:2014 s'applique à tous les types et tailles d'organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif qui fournissent des services de traitement de l'information en tant que processeurs PII via le cloud computing.

Les lignes directrices de l'ISO/CEI 27018:2014 pourraient également être pertinentes pour les organisations agissant en tant que contrôleurs PII. Cependant, les contrôleurs PII peuvent être soumis à des lois, réglementations et obligations supplémentaires en matière de protection des données personnelles, ne s'appliquant pas aux processeurs PII. L'ISO/CEI 27018 : 2014 n'est pas destinée à couvrir de telles obligations supplémentaires.

Historique modifier

Avant l’ISO/CEI 27018, il n’existait pas de référentiel fiable reconnu au niveau international pour la protection des informations personnelles identifiables (PII) stockées dans le cloud. Il y avait toutefois l'ISO/CEI 27001, une norme bien implantée qui prévoyait un système souple permettant d’identifier les risques de sécurité de l’information et de choisir les moyens de les traiter. Pour ce faire, il existe des Prestataire de Services de Cloud (PSC)[4]. Le cloud computing tel qu'indiqué dans ce lien repose sur une utilisation mutuelle des infrastructures. Ainsi, des données d’entreprises concurrentes peuvent être stockées dans un même lieu appelé centre de données (datacenter en anglais). De ce fait, le lieu physique des datacenter a un impact certain sur la loi à utiliser dans le traitement de ces données. Ce point peut constituer un frein certain sur le développement de cette technologie. D'aucuns peuvent penser que l’utilisation des données ne sera pas vue de la même façon dans chaque pays. De même que certaines lois viennent directement affecter les usages. À titre d'exemples on peut citer le USA PATRIOT Act, certaines lois françaises ou encore les délibérations de la Commission nationale de l'informatique et des libertés (France) ou des règlements Européens[5]. L’ensemble de ces lois et règlements disparates par état (et parfois divergents) ont donné lieu à des initiatives privées pour définir un code de bonnes pratiques internationales devant, par la force des choses, s’appliquer à tout le monde. Ainsi, l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont d’abord adopté en 2013 les normes ISO/CEI 27001 et ISO/CEI 27002 relatives à la protection des systèmes d’information, avant d’adopter le la norme ISO/CEI 27018 abordant les spécificités liées au cloud computing. Cette initiative est le fruit d’une coopération entre l’Organisation internationale de normalisation (ISO), l’Union internationale des télécommunications (IUT) et la Commission électrotechnique internationale CEI. En France, l'Association française de normalisation (AFNOR) avait aussi mis en place une commission impliquant des acteurs majeurs comme IBM, Hitachi Data System, OVH ou encore Microsoft.

Les principaux organismes délivrant les certifications modifier

  • l'Association française de normalisation (AFNOR)
  • l’Organisation internationale de normalisation (ISO)
  • EY CertifyPoint[6], un organisme de certification ISO accrédité par le conseil d'accréditation des Pays-Bas et membre de l'International Accreditation Forum[7] (IAF). Les certificats délivrés par EY CertifyPoint sont reconnus dans tous les pays membres de l'IAF.

L’obligation d’information modifier

La norme ISO/CEI 27018 est donc la première norme visant spécifiquement la protection des données personnelles dans le cadre du cloud computing. Bien qu’elle soit dénuée de toute force contraignante, elle prévoit néanmoins un ensemble de bonnes pratiques et de règles devant être respectées par les prestataires ayant accepté de s’y conformer. Quatre lignes directrices sont notamment imposées aux prestataires de cloud computing :

  • Obligation d’informer les clients du lieu de stockage des données et de sécuriser leur traitement ;
  • Interdiction d’utiliser les données des clients pour leurs propres finalités ;
  • Le non-respect des mesures de sécurité peut donner lieu à un rapport sur les incidents et leur résolution, et une notification faite aux clients et aux autorités de contrôle ;
  • Certification par un établissement accrédité et indépendant (telle que l'Association française de normalisation (AFNOR)).

Contenu de la norme modifier

Contenu global modifier

Les recherches menées au travers de publications ont montré qu’au début de l’année 2015, Microsoft a annoncé sa certification pour la norme ISO/CEI 27018. Cela fait de lui le premier fournisseur de services sur le cloud a l’avoir obtenu. L’ISO/CEI 27018 énonce six principes clés, qui sont identifiés au travers de 6 notions :

  1. Consentement : Interdiction par les PSC d’utiliser à des fins de publicité et de marketing les informations personnelles qu’ils reçoivent. Exception faite avec l’accord préalable des clients. Aucune crainte ne doit pouvoir être transmise au client que ses données soient utilisées pour accéder aux services,
  2. Contrôle : seuls les clients contrôlent explicitement l’utilisation de leurs informations personnelles,
  3. Transparence : les PSC doivent indiquer le lieu de stockage de leurs données et prendre avec clarté des engagements sur le traitement de ces dernières,
  4. Responsabilité : ISO/CEI 27018 établit que toute faille de la sécurité de l’information devrait conduire les prestataires de services à procéder à une revue pour s’assurer qu’il n’y a pas eu de perte, divulgation ou altération éventuelle des informations personnelles,
  5. Communication : les PSC doivent avertir toute faille aux clients et documenter clairement l’incident et les actions correctrices prises pour y remédier,
  6. Audit annuel par un tiers indépendant : la conformité du PSC à la norme est établie au moyen d’un audit annuel par un organisme indépendant, qui pourra ensuite servir au client d’élément de référence à l’appui de ses propres obligations réglementaires.

Plus globalement, l’adoption à la norme ISO/CEI 27018 doit apporter la garantie aux entreprises et à tous les utilisateurs que leurs informations à caractère personnel seront protégées de plusieurs manières différentes[8].

Contenu issu de la table des matières modifier

Cette norme comprend les parties suivantes :

Avant-propos 0 Introduction 1 portée 2 références normatives 3 Termes et définitions 4 Vue d'ensemble 5 Politiques de sécurité de l'information 6 Organisation de la sécurité de l'information 7 Humain 8 Gestion d'actifs 9 Contrôle d'accès 10 Cryptographie 11 Sécurité physique et environnementale 12 Sécurité des opérations 13 Sécurité des communications 14 Acquisition, développement et maintenance du système 15 Relations avec les fournisseurs 16 Gestion des incidents de sécurité de l'information 17 Aspects de la sécurité de l'information dans la gestion de la continuité 18 Conformité Annexe A Ensemble de contrôle étendu du processeur PII de cloud public pour la protection PII

L’exploration du sommaire nous donne les subdivisions suivantes :

La partie 4 se subdivise en deux sous-parties : 4.1 Structure de cette norme 4.2 Catégories de contrôle

La partie 5 contient une partie : 5.1 Direction de la gestion pour la sécurité de l'information

La partie 6 se subdivise en deux sous-parties : 6.1 Organisation interne 6.2 Appareils mobiles et télétravail

La partie 7 se subdivise en 3 sous-parties : 7.1 Avant l'emploi 7.2 Pendant l'emploi 7.3 Résiliation et changement d'emploi

La partie 9 se subdivise en 4 sous-parties : 9.1 Besoins professionnels du contrôle d'accès, 9.2 Gestion de l'accès des utilisateurs, 9.3 Les responsabilités de l'utilisateur, 9.4 Contrôle d'accès au système et aux applications

La partie 10 contient une partie : 10.1 Contrôles cryptographiques

La partie 11 se subdivise en deux sous-parties : 11.1 Zones sécurisées 11.2 Équipement

La partie 12 se subdivise en 7 sous-parties : 12.1 Procédures opérationnelles et responsabilités 12.2 Logiciel malveillant de protection 12.3 Sauvegarde 12.4 Enregistrement et surveillance 12.5 Contrôle des logiciels opérationnels 12.6 Gestion technique des vulnérabilités 12.7 Considérations d'audit des systèmes d'information

La partie 13 se subdivise en deux sous-parties : 13.1 Gestion de la sécurité du réseau 13.2 transfert d'information

La partie 16 contient une partie : 16.1 Gestion des incidents de sécurité de l'information et des améliorations

La partie 18 se subdivise en deux sous-parties : 18.1 Respect des obligations légales et contractuelles 18.2 Revues de sécurité de l'information

La partie Annexe se subdivise en 11 sous-parties : A.1 Consentement et choix A.2 Légitimité et spécification du but A.3 Limitation de la collection A.4 Minimisation des données A.5 Limitation de l'utilisation, de la conservation et de la divulgation A.6 Précision et qualité A.7 Ouverture, transparence et avis A.8 Participation individuelle et accès A.9 Responsabilité A.10 Sécurité de l'information A.11 Conformité à la confidentialité

Prise en compte des débats de l'Union européenne modifier

Après quatre années de débats, l’Union européenne a terminé le processus visant à conduire à la création d’un règlement qui sera applicable dès [9]. Ce règlement met l’accent sur six points. À noter que les normes ISO/CEI énoncent un code de bonne pratique. Ce code de bonne pratique n’est pas totalement en adéquation avec le nouveau règlement européen. Comme le souligne le site de l'Association française de normalisation (AFNOR)[10], les normes sont d’application volontaire. De plus, elles sont revues tous les 5 ans. Comme indiqué un peu plus haut, cette norme met l’accent sur 6 principes clés :

  • Données à emporter, ou plus exactement, la faculté dont dispose un utilisateur pour récupérer ces données communiquées sur une plateforme pour les transférer sur une autre plate-forme,
  • Plus de transparence, détermine la capacité d’un utilisateur à exercer ses droits (droit d’accès, de rectification…),
  • Protection des mineurs, il est à noter que le service en ligne devra collecter le consentement des parents en cas d’inscription par des mineurs de moins de 16 ans,
  • Un guichet unique, concernant les problèmes de protection des données,
  • Sanctions renforcées, avec une amende pouvant s’élever jusqu’à 4 % de son CA mondial,
  • Consécration du droit à l'oubli.

Voir aussi modifier

Articles connexes modifier

Notes et références modifier

Liens externes modifier