Les normes internationales du Cloud Computing intitulées ISO/IEC 17788 (Vocabulaire), ISO/IEC 17789 (Architecture de référence) et ISO/IEC 27018 (sécurité des données personnelles dans le Cloud) viennent d’être publiées. DOCaufutur a souhaité interviewer Olivier Teitgen, chef de projet en normalisation au sein de l’AFNOR (Association française de normalisation) qui a participé à leur rédaction.
Qui est à l’origine de ces normes ?
« Les organismes de normalisation ISO (International Standard Organization) et IEC ( International Electrotechnical Commission) ont fondé la structure de normalisation commune JTC1 (Joint Technical Group 1) pour prendre en charge la normalisation des technologies de l’information. Le comité 38 de cette instance, spécialisé dans le cloud, a eu pour mission de rédiger les deux normes ISO/IEC 17788 et ISO/IEC 17789. Rassemblant 35 pays, ce comité 38 normalise les trois couches du Cloud Computing : SAAS (application), PAAS (plateforme) et IAAS (infrastructure). Mais il y a également un côté politique à cette publication de normes. Certains pays comme le Japon, la Chine ou la Corée du Sud ont voulu être les premiers sur le champ de la normalisation afin de ne pas laisser le terrain libre au Big Players européens ou américains. Ces derniers, de leur côté voulaient ne pas dépendre de normes trop contraignantes, tout en ménageant les acteurs du grand marché asiatique naissant. L’ISO, représenté en France par l’AFNOR, permet de réunir les pays qui le souhaitaient pour rédiger les normes en donnant à chaque pays un poids égal.«
A quoi correspond chacune de ces trois normes ?
« La norme ISO-IEC 17788 définit un vocabulaire commun du secteur. On y trouve la définition du Cloud Computing, le rôle des différents acteurs et la définition des couches SAAS, PAAS et IAAS (application, plateforme et infrastructure). Le Cloud public, le Cloud privé et le Cloud hybride sont également déterminés. La norme ISO-IEC 17789 correspond à l’architecture de référence. La demande fonctionnelle de l’utilisateur va être traduite en demande informatique. En d’autres termes, cette norme va codifier les différentes vues d’un modèle Cloud et les relier entre elles de manière à fluidifier la communication. Et enfin, la norme ISO-IEC 27018 traite de la protection des informations personnelles identifiables dans le Cloud. Cette norme s’adapte spécifiquement au Cloud, c’est-à-dire aux données qui ne vous appartiennent pas mais qui vous sont prêtées par contrat. »
Ces normes doivent-elles être suivies par tous les acteurs du Cloud Computing ?
« Ces normes sont d’application volontaire. Autrement dit, vous n’êtes absolument pas obligés de les prendre en compte. Du moins jusqu’au jour ou un client vous l’impose dans son cahier des charges. Dans quelques années, des organismes pourront certainement certifier les entreprises sur leur conformité à ces normes. Mais pour le moment, personne n’a le pouvoir de vous contrôler. Ces trois normes restent assez générales et ne demandent pas de totalement revoir sa manière de fonctionner… Je pense donc qu’elles auront du succès ! Les entreprises qui les suivront donneront plus confiance aux clients. Ce sera un gage de qualité. »