Les normes et les réglementations pour les datacenters (part 2) Dans cette seconde partie de notre fiche sur les normes et réglementations dans le datacenter nous continuons d’explorer plus en détail les normes, réglementations et certifications. Notez que PUE, WUE, Scope et TIER sont étudiés dans la troisième partie de notre article.
ISO 27001 - Systèmes de gestion de la sécurité de l'information La norme ISO 27001 est un standard international pour les systèmes de gestion de la sécurité de l'information (SGSI). Elle aide les organisations à protéger leurs informations sensibles et à prévenir les incidents de sécurité en mettant en place des processus, des politiques et des mesures de sécurité appropriées. La certification ISO 27001 est reconnue internationalement et peut aider à renforcer la confiance des clients et des partenaires commerciaux dans la capacité d'une organisation à gérer et à protéger leurs données.
ISO 9001 - Systèmes de gestion de la qualité La norme ISO 9001 est un standard international pour les systèmes de gestion de la qualité (SGQ). Elle aide les organisations à améliorer leur efficacité, leur performance et la satisfaction de leurs clients en mettant en place des processus de gestion de la qualité en continu. La certification ISO 9001 est reconnue internationalement et peut aider à renforcer la confiance des clients et des partenaires commerciaux dans la capacité d'une organisation à fournir des produits ou services de qualité constante.
ISO 14001 - Systèmes de gestion environnementale La norme ISO 14001 est un standard international pour les systèmes de gestion environnementale (SGE). Elle aide les organisations à identifier et à gérer les impacts environnementaux de leurs activités, à réduire les risques de non-conformité réglementaire et à améliorer leur performance environnementale. La certification ISO 14001 est reconnue internationalement et peut aider à renforcer la crédibilité environnementale d'une organisation et à répondre aux attentes des parties prenantes.
ISO 50001 - Systèmes de gestion de l'énergie La norme ISO 50001 est un standard international pour les systèmes de gestion de l'énergie (SGE). Elle aide les organisations à améliorer leur efficacité énergétique, à réduire leur consommation d'énergie et leurs émissions de gaz à effet de serre, et à réaliser des économies d'énergie et des économies financières. La certification ISO 50001 est reconnue internationalement et peut aider à renforcer la crédibilité environnementale et énergétique d'une organisation.
ANSI/TIA-942 - Conception et exploitation des centres de données La norme ANSI/TIA-942 est un standard pour la conception et l'exploitation de datacenters. Elle fournit des recommandations pour la planification, la conception, la construction, l'exploitation, la maintenance et l'évolution des centres de données, afin de garantir leur disponibilité, leur résilience et leur efficacité énergétique. La conformité à la norme ANSI/TIA-942 peut aider les organisations à améliorer la qualité de leur infrastructure de centre de données et à répondre aux exigences réglementaires et de conformité. 1/4
By Human, Business & Technology
NIST SP 800-53 - Norme de sécurité de l'information pour les systèmes fédéraux Le NIST SP 800-53 est une norme de sécurité de l'information américaine destinée aux systèmes d’information fédéraux, à l'exception des systèmes liés à la sécurité nationale, qui fournit un catalogue de contrôles de sécurité et de confidentialité, avec des lignes directrices pour les systèmes d'information gouvernementaux. Cette norme est utilisée pour aider les agences fédérales américaines à protéger leurs systèmes et leurs informations sensibles contre les menaces internes et externes. Elle fournit également des conseils pour l'évaluation des risques, la gestion des vulnérabilités et la mise en œuvre de mesures de sécurité pour assurer la confidentialité, l'intégrité et la disponibilité des informations. Cette norme est également utilisée par les organisations privées pour renforcer leur sécurité de l'information et leur conformité réglementaire. PCI DSS - Norme de sécurité des données de l'industrie des cartes de paiement La norme PCI DSS (Payment Card Industry Data Security Standard) est une norme de sécurité des données pour l'industrie des cartes de paiement. Elle vise à garantir la protection des informations de paiement des clients et à réduire les risques de fraude liés aux transactions par carte de paiement. La conformité à la norme PCI DSS est obligatoire pour les organisations qui acceptent, traitent ou stockent des données de cartes de paiement. La certification PCI DSS est reconnue internationalement et peut aider les organisations à renforcer la confiance de leurs clients dans la sécurité de leurs transactions de cartes de paiement.
HDS - Hébergement de Données de Santé La norme HDS (Hébergement de Données de Santé) est une norme française qui définit les règles de sécurité à appliquer pour héberger des données de santé. Elle s'applique aux acteurs du secteur de la santé et à leurs partenaires qui stockent, traitent ou échangent des données de santé à caractère personnel. Dans le contexte des datacenters, la norme HDS s'applique aux prestataires qui proposent des services d'hébergement de données de santé. Ces prestataires doivent respecter un certain nombre de règles de sécurité pour garantir la confidentialité, l'intégrité et la disponibilité des données de santé hébergées. Voici quelques-unes des règles de sécurité imposées par la norme HDS pour les datacenters : •
La mise en place d'un plan de continuité d'activité pour assurer la disponibilité des données en cas de sinistre.
•
La mise en place de mesures de sécurité physiques pour protéger les infrastructures (par exemple, des caméras de surveillance, des contrôles d'accès).
•
La mise en place de mesures de sécurité logiques pour protéger les données hébergées (par exemple, des pare-feux, des antivirus).
•
La mise en place de procédures de sauvegarde et de restauration des données, pour garantir l'intégrité des données hébergées.
Il est important de noter que la norme HDS ne s'applique qu'en France. Pour les datacenters situés dans d'autres pays, d'autres normes et réglementations peuvent s'appliquer en matière de sécurité des données de santé.
HIPAA - Norme de sécurité et de confidentialité des données de santé La norme HIPAA (Health Insurance Portability and Accountability Act) est une norme de sécurité et de confidentialité des données de santé aux États-Unis. Elle vise à protéger les informations de santé personnelles et confidentielles des patients et à garantir leur confidentialité. La conformité à la norme HIPAA est obligatoire pour les organisations de santé, les professionnels de la santé, les assureurs et les fournisseurs de services de santé qui exercent leurs activités aux Etats-Unis. La certification HIPAA peut aider les organisations à renforcer la confiance de leurs patients dans la sécurité et la confidentialité de leurs données de santé.
2/4
By Human, Business & Technology
GDPR - Règlement général sur la protection des données Le Règlement général sur la protection des données (RGPD) est une réglementation européenne de protection des données personnelles. Elle vise à protéger les droits et la vie privée des citoyens de l'Union européenne pour ce qui concerne le traitement de leurs données personnelles. Le RGPD impose des obligations strictes aux entreprises pour la collecte, le traitement et la gestion des données personnelles, ainsi que pour la notification des violations de données. Les entreprises qui ne sont pas conformes au RGPD peuvent faire l'objet de sanctions sévères, notamment des amendes pouvant aller jusqu'à 4% de leur chiffre d'affaires annuel mondial. La conformité au RGPD est obligatoire pour toutes les entreprises qui traitent les données personnelles de citoyens de l'Union européenne, quelle que soit leur localisation géographique.
ISO 22301 - Systèmes de gestion de la continuité des activités ISO 22301 est une norme internationale qui fournit un cadre pour la gestion de la continuité des activités. Elle aide les organisations à se préparer à gérer les incidents et les interruptions de leurs activités en établissant des plans de continuité efficaces. La norme ISO 22301 couvre l'ensemble du processus de gestion de la continuité des activités, de la planification à la mise en œuvre, en passant par les tests et l'amélioration continue. Elle est conçue pour aider les entreprises à minimiser les perturbations et les coûts associés à une interruption de leurs activités, à protéger leur réputation et à améliorer leur résilience en cas d'incident. La certification ISO 22301 permet aux entreprises de démontrer leur engagement en faveur de la gestion de la continuité des activités et de renforcer la confiance de leurs clients, de leurs partenaires commerciaux et des parties prenantes.
ISO 31000 - Gestion des risques ISO 31000 est une norme internationale qui fournit des principes et des lignes directrices pour la gestion des risques. Elle fournit un cadre pour identifier, évaluer et gérer les risques de manière cohérente et efficace, en tenant compte des objectifs et des contraintes de l'organisation. La norme ISO 31000 est applicable à toutes les organisations, quels que soient leur taille, leur type ou leur secteur d'activité. Elle aide les organisations à prendre des décisions éclairées en matière de gestion des risques, à améliorer leur résilience et à renforcer leur capacité à atteindre leurs objectifs. La norme ISO 31000 peut être utilisée conjointement avec d'autres normes de gestion, telles que ISO 9001 et ISO 14001, pour une gestion intégrée des risques.
ISO 50006 - Mesure de la performance énergétique ISO 50006 est une norme internationale qui fournit un cadre pour mesurer et améliorer la performance énergétique des organisations. Elle fournit des lignes directrices pour l'établissement de plans de mesure et de vérification, ainsi que pour l'évaluation de l'efficacité des mesures prises pour améliorer la performance énergétique. La norme ISO 50006 est applicable à toutes les organisations, quels que soient leur taille, leur type ou leur secteur d'activité. Elle aide les organisations à identifier les opportunités d'amélioration de l'efficacité énergétique, à surveiller les résultats de leurs efforts d'amélioration et à démontrer leur engagement en faveur de la durabilité. La norme ISO 50006 peut être utilisée conjointement avec d'autres normes de gestion, telles que ISO 50001 et ISO 14001, pour une gestion intégrée de l'énergie et de l'environnement.
ISO 27017 - Sécurité des services cloud La norme ISO 27017 fournit des directives de sécurité pour les fournisseurs de services cloud et les clients utilisant des services cloud. Elle aborde des aspects tels que la confidentialité, l'intégrité et la disponibilité des données dans le cloud, ainsi que la conformité réglementaire et légale. Elle fournit également des recommandations pour l'identification et la gestion des risques de sécurité associés aux services cloud. Cette norme peut aider les organisations à assurer la sécurité de leurs données et à établir une confiance mutuelle avec les fournisseurs de services cloud en utilisant des pratiques de sécurité reconnues et cohérentes.
ISO 27701 - Systèmes de gestion de la protection des données personnelles La norme ISO 27701 fournit des lignes directrices pour la protection des données personnelles. Elle complète 3/4
By Human, Business & Technology
les systèmes de gestion de la sécurité de l'information (ISO 27001) et de la protection des données (RGPD) en fournissant des exigences spécifiques pour la protection des données personnelles. Elle fournit des conseils pour la collecte, le stockage, la gestion et la suppression des données personnelles afin de respecter la vie privée et la sécurité des individus. Cette norme peut aider les organisations à gérer efficacement les risques liés à la protection des données personnelles et à démontrer leur conformité aux exigences réglementaires en matière de protection des données.
SSAE 18 - Norme d'audit des systèmes d'information La norme SSAE 18 (Statement on Standards for Attestation Engagements) est un standard pour l'audit des systèmes d'information. Elle fournit des lignes directrices et des exigences pour les auditeurs lors de l'évaluation de l'efficacité des contrôles des systèmes d'information d'une organisation. La certification SSAE 18 est reconnue internationalement et peut aider les organisations à renforcer la confiance de leurs clients, partenaires et parties prenantes dans la sécurité et la fiabilité de leurs systèmes d'information.
ANSI/BICSI 002 - Norme de conception des datacenters ANSI/BICSI 002 est une norme qui fournit des bonnes pratiques pour la conception, la construction, l'exploitation et la maintenance des infrastructures de datacenters. Elle couvre des sujets tels que la gestion des câbles, la sécurité physique, l'efficacité énergétique, la gestion thermique et l'accessibilité. Cette norme vise à garantir une infrastructure de centres de données fiable, évolutive et sécurisée pour soutenir les applications informatiques et les services critiques.
ANSI/BICSI 001 - Norme de bonnes pratiques pour l'installation de câblage La norme ANSI/BICSI 001-2020 énonce les bonnes pratiques pour la conception et la mise en œuvre d'un système de câblage de télécommunications structuré. Elle définit les exigences de performance pour le câblage en cuivre et en fibre optique, les chemins de câbles, les armoires de communication et les prises de raccordement. Cette norme s'applique à tout type de bâtiment, y compris les datacenters, les bureaux, les hôtels et les bâtiments gouvernementaux. Elle fournit des recommandations pour garantir la qualité, la fiabilité et la sécurité des systèmes de câblage. La norme met également l'accent sur les considérations environnementales, les bonnes pratiques d'installation et de maintenance, ainsi que les mesures de sécurité pour éviter les risques de piratage et de vol de données. En respectant cette norme, les professionnels du câblage peuvent améliorer l'efficacité de leur infrastructure de télécommunications et assurer une connectivité fiable pour les utilisateurs finaux.
EN 50600 - Norme européenne pour les centres de données La norme EN 50600 est une norme européenne relative à la conception, l'exploitation et la maintenance des datacenters. Elle vise à établir des exigences de performance pour les installations de centres de données, notamment en ce qui concerne la disponibilité, la sécurité, l'efficacité énergétique et la durabilité. Cette norme est divisée en plusieurs parties, chacune couvrant un aspect différent des centres de données, tels que la sécurité physique, la fiabilité électrique et mécanique, la gestion de l'environnement, etc. EN 50600 est une norme relativement nouvelle, publiée pour la première fois en 2013, et elle est souvent considérée comme une alternative européenne à la norme américaine TIA-942.
ANSI/ASHRAE TC 9.9 - Norme pour les conditions environnementales dans les datacenters L'ANSI/ASHRAE TC 9.9 est une norme pour la conception et l'exploitation efficaces des datacenters en matière de refroidissement, de ventilation, de conditionnement d'air et d'autres aspects de la gestion thermique. Elle définit les exigences en matière de température, d'humidité, de qualité de l'air, de contrôle des particules et d'autres facteurs environnementaux pour garantir une performance optimale des équipements informatiques. La norme comprend également des recommandations pour la surveillance et le contrôle en temps réel des conditions environnementales, ainsi que des pratiques de gestion de l'énergie et de gestion des risques. Cette norme permet aux organisations de concevoir et d'exploiter des centres de données efficaces et durables, tout en réduisant les coûts d'exploitation et les émissions de gaz à effet de serre.
4/4
By Human, Business & Technology