ISO 27018 pour sécuriser les données personnelles dans le Cloud (1ère partie)

Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).

Mode d’emploi du standard

Les bonnes pratiques de l’ISO 27018 poursuivent plusieurs objectifs :

  • Aider les fournisseurs Cloud à se conformer à leurs obligations légales et contractuelles de sous-traitant en apportant de la transparence à leurs clients sur les mesures en place.
  • Faciliter les phases de négociations contractuelles entre les clients et leurs fournisseurs.
  • Fournir aux clients des mécanismes de vérification qui ne peuvent plus être apportées en environnement Cloud par des audits classiques tels qu’il pouvait se concevoir chez les hébergeurs classiques.

Les mesures de protection sont présentées suivant deux axes :

  • L’adaptation des clauses existantes de l’ISO 27002 aux environnements Cloud avec des conseils de mise en œuvre.
  • La définition de nouvelles clauses ISO 27018 centrées sur la protection des données à caractère personnelle.

Le niveau de sécurité doit être défini en prenant en compte :

  • Les exigences légales et réglementaires, reprises en principe dans les politiques de sécurité.
  • Le niveau de risque. Rappelons que dans le cadre du RGPD, des analyses d’impacts : PIA (Privacy Impact Assessement) ou DPIA (Data Protection Impact Assessment, terme utilisé dans l’article 35) doivent être menées pour les traitements susceptibles d’engendrer des risques élevés (voir à ce sujet les 9 cas définis dans les lignes directrices du comité européen de protection des données, ex G29). On trouve aussi des recommandations de mise en œuvre des PIA dans le standard ISO 29134.

Adaptation des clauses existantes

Voici une synthèse des clauses adaptées :

  • Les clauses de catégorie 5 (politiques de sécurité) sont revues sous l’angles des exigences légales applicables et du partage de responsabilité entre les responsables de traitement et les sous-traitants. Notons que les chaines de sous-traitance peuvent être complexes dans les environnements Cloud (par exemple fournisseur SaaS hébergés chez un fournisseur IaaS qui disposent lui-même de plusieurs sous-traitants essentiels).
  • La sensibilisation et la formation des collaborateurs des fournisseurs Cloud se focalisent sur les procédures et les mesures de protection des données personnelles des clients (catégorie 7 -ressources humaines).
  • La gestion des accès, en particulier la gestion des comptes utilisateurs (comprenant les accès privilégiés) entre le client et son sous-traitant est développée (catégorie 9 – contrôle des accès).
  • Les services de cryptographie pour protéger les données personnelles des clients doivent être détaillés. Les clients peuvent être amenés à exiger des protections spécifiques du fait d’exigences locales (données de santé par exemple). Ces aspects sont sensibles et complexes en environnement Cloud, sur le plan organisationnel comme sur le plan technique (gestion et maitrise des clés, scénarios de risques couverts par tel ou tel service de chiffrement, chiffrement des bases de données, des instances, …).
  • Les services de sauvegarde et de restauration, intéressants du point de vue de la disponibilité peuvent présenter des risques en termes de confidentialité et doivent être analysés et protégés. La gestion des logs et les preuves d’accès aux données font l’objet d’une attention particulière.
  • La coopération entre les fournisseurs et ses clients en cas d’incident de sécurité est adaptée aux spécificités du Cloud et aux exigences pesant sur les responsables de traitement (notification aux autorités de supervision et aux intéressés). Dans ce cadre, les recommandations issues des normes ISO 27035 restent très pertinentes.
  • Sans surprise, la catégorie rassemblant les clauses de conformité est détaillée. Ce peut être particulièrement complexe du fait des caractéristiques des environnement Cloud (plusieurs régions, plusieurs zones de disponibilité, possibilité pour les clients de modifier très vite et souvent la localisation de leurs données) et de la complexité des lois et règlements en matière de traitement des données personnelles.

Voir l'article suivant pour l’analyse des clauses supplémentaires de l’ISO 27018.

Découvrez nos formations en cybersécurité et « data privacy » et téléchargez le catalogue de nos formations.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

RGPD, DPO, SécuritéCloud, ISO27001, ISO27018