Le 2 décembre dernier, l'Afnor a organisé un séminaire de sensibilisation des entreprises françaises aux nouvelles normes qui viennent d'être validées au niveau international à propos du cloud computing. Ces normes visent à clarifier les concepts, le vocabulaire et les principes de sécurité à appliquer. Elles peuvent ainsi servir de référence utile pour tous les contrats entre une entreprise utilisatrice et un fournisseur de SaaS/PaaS/IaaS. Le séminaire a surtout permis à des juristes et des acheteurs d'échanger mais quelques responsables techniques d'entreprises et d'administrations étaient également présents.

Une histoire de quatre années de travail

Il y a quatre ans, le comité technique joint ISO/CEI a créé un comité international sur les « plates-formes et services d'applications distribuées », devenue ensuite « cloud ». L'Afnor a créé la Commission Numérisation CN 38 pour y représenter la France mais qui n'a pas ensuite changé de nom. Ces commissions ont travaillé et continuent de travailler sur plusieurs normes, parfois en liaison avec l'UIT (Union Internationale des Télécoms). Ces normes sont donc reconnues pour tous les secteurs et tous les pays. « C'est bien sûr beaucoup plus compliqué de définir des normes de manière commune entre tous ces organismes mais un tel consensus permet de construire des bases solides sur lesquelles des normes plus sectorielles ou précises vont pouvoir s'ajouter » explique Olivier Colas, président de la CN 38 et par ailleurs salarié de Microsoft en France.

Au sein des comités nationaux, on trouve beaucoup d'offreurs, surtout en France. Dans certains pays, de gros clients (Bank of America aux Etats-Unis par exemple) ou des organismes gouvernementaux (au Danemark notamment) contribuent également. Olivier Colas relève : « cette double couche comités nationaux / comité international permet à des acteurs locaux, notamment des clients, de défendre leur point de vue localement et d'être tout de même entendu au niveau mondial sans avoir à traverser la planète. »

Des normes pour disposer de contrats clairs et sans ambiguïté

Chronologiquement, la première des trois normes récentes concernant le cloud computing à être publiée a été, en juillet 2014, la norme ISO/CEI 27018. Surcouche à l'ISO/CEI 27001, elle s'intéresse à la sécurité et à la confidentialité des données à caractère personnel. Bien entendu, le travail de normalisation a impliqué la CNIL et ses homologues internationaux. Cette norme est surtout destinée aux opérateurs de cloud agissant comme sous-traitant et donc sans contrôle des données hébergées sur ses systèmes, ainsi qu'à leurs clients bien entendu. « Cette norme permet de s'assurer que la délégation se fait avec des mesures de sécurité appropriées selon la définition réglementaire du terme » analyse Olivier Colas.

Les ISO/CEI 17788 et 17789 ont, elles, été publiées en octobre 2014. Elles sont également reconnues par l'UIT. Elles concernent d'une part le vocabulaire du cloud computing et d'autre part l'architecture de référence du cloud computing. Ces deux normes permettent de définir précisément tout ce qui relève du cloud computing, pour l'une en matière de vocabulaire, pour l'autre en matière de rôle de chaque intervenant. La rédaction des contrats en sera évidemment facilitée.