EBRC a naturellement adopté les meilleures pratiques pour la protection des données personnelles dans ses services de cloud computing. «Hier, les entreprises sélectionnaient leur prestataire de services en fonction de leur infrastructure; aujourd’hui, elles se montrent plus sensibles aux critères sécurité au sens large. C’est une preuve de maturité, analyse Philippe Dann, Head of Risk & Business Advisory Services, EBRC. Elle nous rassure. Et nous conforte dans notre stratégie.»
Cette norme représente une avancée majeure pour la maîtrise de la sécurité des services de cloud. Elle s’appuie principalement sur les normes ISO/CEI 17788 sur le cadre et le vocabulaire du cloud computing, 27002 pour les bonnes pratiques de sécurité de l’information et 29100 pour le cadre de protection de la vie privée.
Concrètement, la norme ISO/CEI 27018 aborde les spécificités liées au secteur du cloud. Selon cette méthodologie, trois sources sont à considérer afin de vérifier les exigences de sécurité :
– l’environnement légal, réglementaire et contractuel;
– l’évaluation des risques;
– les références internes à l’entreprise.
Véritable outil de co-régulation entre les acteurs du cloud et les autorités de contrôle, ISO/CEI 27018 permet de répondre aux évolutions actuelles du cadre légal et réglementaire européen. C’est aussi une amélioration des moyens de protection au niveau international. «Ne perdez jamais de vue qu’une entreprise qui utilise un service de cloud computing reste responsable des traitements: cela veut dire qu’elle doit s’assurer que son prestataire lui permettra de respecter ses obligations au regard de la législation, notamment en termes d’information des personnes concernées, d’encadrement des transferts et de sécurité des données… Est-ce le cas?»
Poser la question c’est y répondre. C’est pourquoi EBRC investit dans les standards, seul véritable indicateur tangible en matière de conformité. La transparence au bénéfice du client. De toute évidence, la normalisation a un coût. «Se faire auditer coûte cher en ressources. Fort heureusement, et cela se traduit via les appels d’offres, le marché adhère. J’observe que les prestataires ne peuvent s’en tenir au déclaratif, à tout le moins dans les projets que nous visons.»
Et s’il existe d’autres normes, EBRC privilégie les plus importantes reconnues internationalement. «L’ISO est un langage universel, l’ISO est repris dans les différents référentiels, illustre Philippe Dann. C’est pourquoi nous cherchons toujours à les adopter au plus vite. Nous voulons rester un pionnier. Quand un prospect compare deux services managés, le fait de savoir que l’un est labellisé ISO ne pourra que le rassurer !»
Pour l’ISO, le sous-traitant chargé du traitement de données personnelles pour le compte d’un responsable de traitement doit pouvoir démontrer son niveau de sécurité et sa conformité; il doit aussi offrir les moyens de protéger les personnes concernées et leur permettre d’exercer leurs droits. C’est pourquoi l’ISO a publié ses trois premières normes totalement consacrées au cloud computing. Si les deux premières (ISO/IEC 17788 et ISO/IEC 17789) s’attachent respectivement à «clarifier la définition du cloud» et à «définir l’architecture fonctionnelle», l’ISO/IEC 27018 renforce les contrôles de sécurité de la norme ISO IEC 27001 (Management de la sécurité de l’information) pour maximiser la protection des données personnelles; elle garantit la transparence et permet aux fournisseurs de cloud public de se conformer à leurs obligations règlementaires. «Chez EBRC, cela signifie: pas de sous-traitant dans la chaîne d’information, une maîtrise complète. Ce qui sous-entend une meilleure capacité à gérer les risques. Nous n’avons pas à auditer d’éventuels fournisseurs dans le sens où nous ne pratiquons pas d’outsourcing en cascade: nous sommes les seuls maîtres -et les seuls responsables- à bord.»
Et Philippe Dann de conseiller aux entreprises de prendre le temps d’évaluer les candidats prestataires avant de s’engager. «Comparez sur base d’éléments tangibles, par métiers, par secteurs d’activités; comparez-les sur base d’une grille d’évaluation stricte. Dites-vous que si vous pouvez accéder très rapidement à n’importe quel service à travers le cloud, vous choisirez un partenaire pour longtemps. Autant il est aisé d’entrer dans le cloud, autant il peut être difficile… d’en sortir !»
