Au tout début de l'ère Internet, vous pouviez voir physiquement le matériel sur lequel étaient stockées vos données. Vous saviez où elles se trouvaient, et connaissiez les types de verrous et de protections que vous aviez mis en place. Quelques décennies plus tard, les données sont toutes « dans le cloud ». Désormais, vous devez faire confiance à votre fournisseur de services cloud, en espérant qu'il mette en place des mesures de sécurité, tout comme vous l'auriez fait si vos données se trouvaient encore sur vos équipements physiques. La bonne nouvelle, c'est que vous n'avez plus à vous contenter de croire aveuglément votre fournisseur. Il existe en effet plusieurs moyens pour un fournisseur de services cloud de prouver qu'il a mis en place de solides protections en termes de confidentialité et de sécurité.
Nous nous réjouissons d'annoncer aujourd'hui que Cloudflare a franchi trois étapes majeures dans la démarche qui nous permet d'apporter la preuve des mesures de sécurité et de confidentialité que nous garantissons aux clients de nos services cloud. Nous avons ainsi obtenu une certification essentielle en matière de services cloud, la norme ISO/IEC 27018:2019, mais également procédé à un audit auprès d'un cabinet indépendant et reçu notre attestation Cloud Computing Compliance Criteria Catalog (dite « C5 »). Enfin, nous avons rejoint l'assemblée générale du code de conduite cloud de l'UE (EU Cloud CoC) dans le but d'accroître la portée de cet écosystème qui a fait ses preuves et d'encourager d'autres organisations à adopter des services cloud conformes au RGPD.
Depuis sa création, Cloudflare s'engage à respecter la confidentialité et la sécurité des données et il nous est important de pouvoir apporter la preuve de ces engagements. Le processus de certification permet à nos clients de s'assurer qu'un tiers a vérifié, de manière indépendante, que Cloudflare répondait bien aux exigences définies dans la norme.
ISO/IEC 27018:2019 - Certification des services cloud
L'année 2022 s'est révélée marquante pour les admirateurs du chiffre « deux ». Le mois de février a ainsi connu la seconde qui s'est écoulée le 22 février 2022 à 20 h 22 m 02 s, soit la deuxième seconde de la vingt-deuxième minute de la vingtième heure du vingt-deuxième jour du deuxième mois de l'année deux mille vingt-deux ! Cette date constitue non seulement un palindrome (c'est-à-dire une suite de caractères qui se lit de la même manière à l'envers comme à l'endroit) sur le cadran d'un réveil-matin vintage des années 80, à affichage digital, mais aussi un ambigramme, c'est-à-dire une figure qui reste lisible même après une rotation de 180 ° :
Le 22/02/2022, notre équipe était occupée à mener à bien notre deuxième audit annuel de certification à la norme ISO/IEC 27701:2019. Nous avons d'ailleurs été l'un des premiers acteurs de notre secteur à obtenir cette nouvelle certification ISO de confidentialité en 2021 et la première société spécialisée dans les services d'amélioration des performances et de la sécurité sur Internet à en bénéficier. Aujourd'hui, Cloudflare vient de décrocher une certification à une deuxième norme internationale de confidentialité en matière de traitement des données personnelles, l'ISO/IEC 27018:2019.1
Attachée à la protection de la vie privée, la norme ISO 27018 s'inscrit dans le prolongement des normes ISO/IEC 27001 et ISO/IEC 27002, largement répandues dans le secteur, qui régissent la création et l'administration d'un système de gestion de la sécurité de l'information (ISMS pour « Information Security Management System »). La norme ISO 27018 complète ces dernières en définissant un code de bonnes pratiques à adopter en matière de protection des données personnelles lorsqu'elles sont traitées au sein d'un cloud public, comme celui de Cloudflare.
Qu'implique la norme ISO 27701 pour les clients de Cloudflare ?
En termes simples, les certifications aux normes ISO 27701 et ISO 27018 permettent aux clients d'avoir l'assurance que Cloudflare dispose à la fois d'un programme de confidentialité qui répond aux exigences du RGPD et la garantie que les données personnelles traitées dans son réseau soient protégées.
En complément de l'Avenant au traitement des données (« ATD ») mis à la disposition de nos clients, ces certifications offrent à ces derniers plusieurs niveaux de garantie permettant de prouver que toutes les données personnelles traitées en leur nom par Cloudflare le seront conformément aux exigences du RGPD.
La norme ISO 27018 recèle des mesures de renforcement des contrôles existant au sein de la norme ISO 27002, ainsi qu'un ensemble supplémentaire de 25 mesures de contrôle identifiées pour les entreprises qui traitent des données personnelles. Ces mesures de contrôle correspondent essentiellement à un ensemble de bons procédés que les sous-traitants doivent respecter en matière de pratiques de manipulation des données et de transparence vis-à-vis de ces pratiques, de protection et de chiffrement des données personnelles traitées, ainsi que d'application des droits des personnes concernées, parmi d'autres usages. À titre d'exemple, l'une des exigences de la norme ISO 27018 stipule ce qui suit :
Une entreprise chargée de traiter des données à caractère personnel ne peut pas utiliser ces dernières à des fins de marketing et de publicité, sans obtenir le consentement préalable de la personne concernée. Ce consentement ne doit pas être établi comme une condition requise pour bénéficier du service.
Lorsque Cloudflare agit en tant que sous-traitant des données de ses clients, celles-ci (de même que toutes les données personnelles qu'elles pourraient contenir) restent la propriété des clients et non de l' entreprise. Cloudflare n'effectue aucun suivi des utilisateurs finaux de ses clients à des fins de marketing ou de publicité et il en sera toujours ainsi. Nous sommes même allés au-delà des exigences de la norme ISO et avons ajouté cet engagement à notre ATD client :
« (…) Cloudflare n'utilisera pas les Données personnelles à des fins de marketing ou de publicité (…) »
3.1 (b), Avenant au traitement des données de Cloudflare
Cloudflare obtient la certification ISO 27701:2019
Dans le cadre de la norme ISO 27018, Cloudflare a fait l'objet d'une évaluation entre décembre 2021 et février 2022 par Schellman un auditeur tiers. La certification de conformité à une norme de confidentialité ISO constitue un processus en plusieurs étapes, qui comprend un audit interne et un audit externe, avant de pouvoir enfin être certifié conforme à la norme. Le nouveau certificat conjoint unique de Cloudflare, qui couvre les normes ISO 27001:2013, ISO 27018:2019 et ISO 27701:2019, peut être téléchargé depuis le tableau de bord Cloudflare.
Norme C5:2020, le Cloud Computing Compliance Criteria Catalog
L'annonce d'aujourd'hui ne s'attache pas uniquement à la norme ISO 27018. Comme nous l'avons déjà publié sur notre blog au mois de février, Cloudflare a également fait l'objet d'un autre audit indépendant concernant la certification Cloud Computing Compliance Criteria Catalog (Catalogue des Critères de Conformité du Cloud Computing, également connue sous le terme C5). Lancée en 2016 par l'Office fédéral de la sécurité des technologies de l'information du gouvernement allemand (« BSI ») et mise à jour en 2020, la norme C5 évalue le programme de sécurité d'une entreprise par rapport à un ensemble de mesures de contrôle robustes en termes de sécurité du cloud. Les institutions gouvernementales allemandes, de même que les entreprises privées, accordent une grande importance à l'alignement de leurs exigences en matière de cloud computing sur ces normes. Pour en savoir plus sur la norme C5, cliquez ici.
Nous sommes ravis d'annoncer aujourd'hui que nous avons mené à bien notre audit indépendant et reçu notre attestation C5 de la part de nos auditeurs tiers. Le rapport d'attestation C5 est disponible en téléchargement depuis le tableau de bord Cloudflare.
Et nous ne comptons pas nous arrêter en si bon chemin…
Cette semaine, cela fait quatre ans que le Règlement général sur la protection des données (« RGPD ») de l'Union européenne a été adopté. L'article 40 de ce dernier encourageait :
« (…) l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent Règlement, en tenant compte des spécificités des différents secteurs de traitement des données et des besoins particuliers des micro, petites et moyennes entreprises. »
Le premier code officiellement approuvé par l'UE comme conforme au RGPD date d'un an. Il s'agit du « code de conduite cloud de l'UE ». Ce dernier est conçu pour aider les fournisseurs de services cloud à prouver l'existence des mesures de protection mises en place dans le cadre du traitement des données personnelles pour le compte de leurs clients. Il couvre toutes les couches de services cloud et sa conformité est supervisée par un organisme de contrôle accrédité, SCOPE Europe. Les fournisseurs de services cloud commencent leur parcours en adhérant en tant que membres à l'assemblée générale du code. Par la suite, la deuxième étape consiste en un audit permettant de valider leur adhésion au code.
Aujourd'hui, nous nous réjouissons d'annoncer que Cloudflare a rejoint l'assemblée générale du code de conduite cloud de l'UE. Nous attendons avec impatience la deuxième étape de ce processus, c'est-à-dire la réalisation de notre audit et l'affirmation publique de notre conformité au RGPD en tant que sous-traitant de données personnelles.
Les certifications obtenues par Cloudflare
Les clients peuvent télécharger une copie des certifications et des rapports de Cloudflare depuis le tableau de bord Cloudflare. Les nouveaux clients peuvent les demander à leur représentant commercial. Pour consulter les dernières informations sur nos certifications et rapports, n'hésitez pas à vous rendre dans notre Centre de confiance.
...
1Organisme international non gouvernemental composé d'institutions nationales de normalisation, l'Organisation internationale de normalisation (généralement désignée sous le sigle « ISO » pour « International Organization for Standardization ») élabore et publie un large éventail de normes propriétaires, industrielles et commerciales.