Après Microsoft, Google. En adoptant la dernière norme ISO en matière de sécurité et de confidentialité des données à caractère personnel dans le cloud, Google cherche à rassurer les entreprises, comme Microsoft l’avait fait en février.
Le respect de la confidentialité dans le cloud ne se résume pas aux aspects liés à la technologie et à l’ingénierie. La sécurité des informations et la protection des données peuvent certes être assurées à l’aide d’outils et de processus, mais la confidentialité est un enjeu sociétal dont les conséquences vont bien au-delà des questions liées au stockage et à la gestion des données par des services de cloud. Elle oblige les pouvoirs publics, les entreprises, l’enseignement supérieur et les consommateurs à prendre en considération des aspects plus vastes comme les dangers et les risques et, en particulier, les conséquences des décisions prises dans leurs déploiements de services sur le cloud. ISO/IEC 27018 permet de clarifier l’ensemble du processus pour l’ensemble des acteurs concernés.
Avant ISO/IEC 27018, il n’existait pas de référentiel fiable reconnu au niveau international pour la protection des informations personnelles identifiables (PII – Personally Identifiable Information) stockées dans le cloud. Il y avait toutefois ISO/IEC 27001:2013, une norme bien implantée qui prévoyait un système souple permettant d’identifier les risques de sécurité de l’information et de choisir les moyens de les traiter. En s’appuyant sur cette base, ISO/IEC 27018 propose aujourd’hui des lignes directrices spécifiques pour aider les prestataires de services de cloud à apprécier les risques et mettre en œuvre des mesures d’avant-garde pour la protection des données.
Google précise ce que cela implique pour les utilisateurs des Google Apps for Work : les données ne sont pas utilisées pour de la publicité; elles restent à tout moment propriété de l’utilisateur; des outils permettent d’exporter et de supprimer les données; la firme protège les informations contre des demandes d’accès tierces; le lieu de stockage des données est clairement affiché.
En termes de sécurité de ses offres Cloud, Google rappelle que ses moutures professionnelles des Google Apps ont résisté aux audits de sécurité SOC 2 et SOC 3 et ont décroché la certification ISO 27001 (renouvelée en avril 2015).
