L'AFNOR a réuni le 2 décembre plus de 50 professionnels à Saint-Denis pour présenter les travaux de normalisation autour des architectures du cloud computing et de sa sécurité. Force est de constater que les travaux ne sont plus menés par les seuls Américains avec les publications du NIST.

La réunion qui devait, initialement, réunir les groupes de travail CN 38 (architecture du cloud) et CN 27 (sécurité de l'information), s'est en fait surtout concentrée sur les travaux de définition du cloud computing. Un certain nombre de travaux doivent donc encore être réalisés pour pouvoir aborder ce second sujet.

 Le dynamique et jovial président de la CN 38, Olivier Colas (Microsoft France), a donc animé l'essentiel de la réunion. Il y a encore 3 ans, les définitions du cloud computing étaient portées par des travaux du NIST américains. Le cloud devrait être un marché futur...

Les premiers opérateurs de services de cloud computing annonçaient leur compatibilité avec les services d'Amazon (AWS) : époque des standards de fait, les entrants copient le leader... époque peu propice à de grandes poussées d'innovation. En trois ans, l'ISO, l'IEC et ITU se sont emparés du sujet tout en travaillant avec le NIST. Le marché ne peut être que mondial pour parvenir à écraser les coûts et seul un travail coopératif de ces organismes internationaux pouvait mener à quelque chose. Les intervenants notent tous le risque réel d'une fragmentation du marché pouvant le tuer avant même que celui-ci ne naisse : fragmentations géographiques et fragmentations sectorielles pouvaient être de véritables menaces...

Pour résoudre ce problème, il était urgent de disposer d'un socle commun, pour les professionnels de la planète. Certes, une question de l'assistance souligne que cela s'est fait sans Amazon, ni Google, mais que ces acteurs seront les bienvenus pour rejoindre les travaux internationaux de normalisation.

Deux documents fondateurs du cloud

Trois ans après les définitions du NIST américain, les travaux du CE 13 de l'UIT-T et du SC 38 du JTC1 (ISO et IEC) ont permis de produire deux documents fondateurs du cloud :

  • La recommandation UIT-T Y.3500, reprise par l'ISO 17788
  • La recommandation UIT-T Y.3502, reprise par l'ISO 17789.

Le premier document fixe 37 définitions, établit les vues d'ensemble et propose 7 catégories de services. Il définit le vocabulaire et dépasse les seules notions du NIST datant d'il y a 3 ans. On parle désormais de services SaaS, PaaS, IaaS, mais aussi de CompaaS, DSaaS, NaaS et CaaS : le "compute", le storage" existent désormais indépendamment de la seule infrastructure IaaS. Ce document est un dictionnaire. La mutualisation des ressources reste la base du cloud, mais les définitions doivent désormais faciliter la transparence et la traçabilité des services proposés.

Le second document, de 70 pages, est plus technique. Il définit les architectures de référence pour permettre l'interopérabilité des services. Le slogan "compatible AWS ..." pourrait donc vivre ces dernières années ! Partant des principes de l'utilisateur, des besoins fonctionnels, des besoins de déploiement et d'implémentation, il propose ensuite 3 rôles, une quarantaine d'activités et 35 composants fonctionnels. Le tout se déroule autour de notions de rôles, sous-rôles et d'activités.

Garantir aux clients l'indépendance de leurs choix

Tous ces travaux ont été réalisés en association avec le NIST, mais constituent désormais un corpus international traduit en 6 langues.

Viennent ensuite toute les questions autour de la définition des niveaux de service : SLA. Ces travaux ne sont pas achevés, mais en bonne voie. Sous la conduite du WG3-CCSLA, les éditeurs des normes sont Américains, Chinois et Japonais (secrétaires des groupes de travail). Les documents en cours sont :

  • l'ISO 19086-1, au stade "Comittee Draft", portant sur les définitions.
  • l'ISO 19086-2, au stade "new project approved", sur les "metrics" de SLA.
  • l'ISO 19086-3, au stade "new project approved", en cours.

Les questions suivantes portent sur les questions d'interopérabilité et de portabilité des services. Les travaux sont portés par le JTC1/SC38/WG4-CCIP pour produite la norme ISO 19941 (au stade actuel "new project approved"). Cette norme doit permettre d'apporter la confiance, la transparence et de garantir aux clients l'indépendance de leurs choix.

Ces normes ne sont pas certifiantes et sont des normes d'adhésion. Le marché leur donnera donc leur importance. Il n'est pas prévu, actuellement, que des lois et règlements ne les imposent. Les fournisseurs non compatibles prendront leurs risques, commercialement.

Côté sécurité, la CN 27 de l'AFNOR n'était pas présente à la réunion. Une présentation de l'ISO 27018 publiée cet été a été faite rapidement autour des questions de protection des données personnelles dans le cloud : reprise de la liste des bonnes pratiques de l'ISO 27002, des principes de "privacy" de l'ISO 29100 et des définitions du cloud computing 17788 sur les définition du cloud computing.

Les travaux autour de la préparation de l'ISO 27017 sur la sécurité du cloud computing sont à peine abordés : une adaptation de l'ISO 27002 aux activités de cloud computing, sans plus de détails.




Autres News Gouvernance

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI