Cloud Computing Compliance Controls Catalog (C5)

Présentation

Le catalogue des contrôles de conformité de cloud computing (C5) est un système d'attestation soutenu par le gouvernement allemand et introduit en Allemagne par l'Office fédéral de la sécurité de l'information (BSI). C5 aide les organisations à démontrer leur sécurité opérationnelle contre les cyber-attaques courantes lorsqu'elles utilisent des services cloud dans le contexte des « Recommandations de sécurité pour les fournisseurs de services cloud » du gouvernement allemand.

L'attestation C5 peut être utilisée par les clients d'AWS et leurs conseillers en conformité afin de mieux aborder les contrôles de sécurité mis en œuvre par AWS pour répondre aux exigences de la norme C5 lorsqu'ils migrent leurs charges de travail vers le cloud. La norme C5 comprend un niveau de sécurité informatique équivalent à IT-Grundschutz et intègre des contrôles spécifiques au cloud.

La norme C5 inclut des exigences de contrôle supplémentaires en matière de localisation des données, d'allocation de service, de juridiction, de certifications existantes, d'obligations de transparence et de description du service dans son ensemble. Grâce à ces informations, les clients sont en mesure d'évaluer les règlementations juridiques (relatives à la confidentialité des données, par exemple), leurs propres politiques et les risques d'attaques dans le cadre de leur utilisation des services de cloud computing.

• Qu'est-ce que la norme C5 ?

  La norme C5 (Cloud Computing Compliance Controls Catalogue) est une norme allemande de sécurité informatique relative au cloud computing. Conçu et publié par le BSI au mois de février 2016, l'ensemble de contrôles C5 offre des garanties supplémentaires aux clients allemands pour leur migration de charges de travail complexes et règlementées vers des fournisseurs de services de cloud computing tels qu'AWS. La norme C5 regroupe les normes internationales suivantes :

  • ISO/CEI 27001:2017 (ISO – Organisation internationale de normalisation)
  • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
  • AICPA Trust Service Principles Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
  • Trusted Cloud Data Protection Profile (TCDP) – Version 1
  • ISO/IEC 27017:2015
  • ISO/IEC 27-18:2014
  • BSI IT-Grundschutz Kompendium – Édition 2019
    

• Qui a créé la norme C5 ?

  L'autorité nationale allemande en matière de cybersécurité, la Bundesamt für Sicherheit in der Informationstechnik (BSI), a élaboré la norme C5 en 2016. La BSI définit les exigences relatives à la sécurité informatique pour tous les systèmes gouvernementaux, et la plupart des entreprises allemandes alignent leur stratégie de sécurité informatique sur les normes de la BSI. La BSI a remanié et mis à jour le catalogue C5 en 2019. Une nouvelle version (C5:2020) a été finalisée en janvier 2020. 

• Quels sont les avantages de cette norme pour le client ?

  Le rapport C5 fournit à nos clients européens une attestation délivrée par un tiers indépendant sur l'adéquation de la conception et l'efficacité opérationnelle de nos contrôles afin de satisfaire les critères de la norme C5. En Allemagne, les clients ont l'habitude de rechercher les services cloud ayant fait l'objet d'une évaluation par rapport aux critères de la norme C5. La norme C5 fournit aux clients un cadre documentant un niveau de sécurité informatique équivalant à celui de l'IT-Grundschutz, qui couvre tous les aspects de la sécurité informatique relatifs au cloud computing. Pour les autorités fédérales, une attestation C5 constitue une exigence de base dans le cadre d'un processus d'approvisionnement.

  Les informations actuelles sur le C5 au sein de l'AWS peuvent être consultées sur les AWS Security Blog C5 posts.
  

• Quelles sont les régions AWS concernées par la norme C5 ?

  Les régions AWS concernées par la norme C5 comprennent Francfort, l'Irlande, Londres, Paris, Milan, Stockholm et Singapour, ainsi que des emplacements périphériques en Allemagne, en Irlande, en Angleterre, en France et à Singapour.

• Quels sont les services concernés ?

  Les services AWS couverts qui sont déjà concernés par la norme C5 sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.
  

• Quelle est la différence entre la norme C5 et l'IT-Grundschutz (méthodologie de protection de base des technologies de l'information) ?

  L'IT-Grundschutz est une norme qui permet d'établir et de maintenir une protection adéquate des informations d'une institution. Les catalogues de l'IT-Grundschutz définissent les garanties de protection des processus d'entreprise, des systèmes et des applications informatiques standard, et traitent de la protection des informations propres à une entreprise. La norme C5 comporte des lignes directrices concernant les offres des fournisseurs de services de cloud (CSP).

• Cette norme a-t-elle un rayonnement international ?

  La BSI a effectué ce travail en concertation avec l'ANSSI, qui travaillait alors sur la nouvelle version de son label Secure Cloud (aujourd'hui appelé « SecNumCloud »). La norme C5 a été influencée par la norme SecNumCloud française, et a à son tour influencé celle-ci, avec un objectif précis : la création d'une option de reconnaissance mutuelle sous un label commun, ESCloud. De même, la version préliminaire du Système européen de certification de la cybersécurité pour les services cloud (EUCS) de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) s'inspire largement de la norme de sécurité C5.
  

• Quelle est la différence entre une certification et une attestation ?

  Une certification est délivrée par une entreprise spécialisée accréditée, et celle-ci reste généralement valable pendant un à trois ans. Une attestation peut être obtenue dans le cadre d'un audit de conformité ou d'un audit comptable effectué par une personne qualifiée. Une attestation prend davantage en compte l'aspect de mise en œuvre continue, ce qui veut dire que le cycle de vérification est bien plus court (moins de 6 mois entre chaque contrôle). Selon les normes ISAE 3000 et ISAE 3402, le processus d'audit fournit des preuves concernant la pertinence et l'efficacité sur une période écoulée. Une certification n'est rien d'autre qu'une assurance éphémère.