Cloud Computing Compliance Controls Catalog (C5)

Présentation

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) est un programme d'attestation du gouvernement allemand. Implémenté en Allemagne par l'Office fédéral de la sécurité des technologies de l'information (BSI), son objectif est d'aider les organisations à démontrer leur sécurité opérationnelle contre les cyber-attaques courantes dans le cadre des « recommandations de sécurité pour les fournisseurs de cloud » du gouvernement allemand.

L'attestation C5 peut être utilisée par les clients d'AWS et par leurs consultants de conformité pour mieux comprendre la gamme de services d'assurance de sécurité informatique proposés par AWS pour la migration de leurs charges de travail dans le cloud. La norme C5 comprend un niveau de sécurité informatique équivalent à IT-Grundschutz et intègre des contrôles spécifiques au cloud.

La norme C5 inclut des contrôles supplémentaires qui informent sur la localisation des données, l'allocation de service, la juridiction, les certifications existantes, les obligations de transparence et la description du service dans son ensemble. Grâce à ces informations, les clients sont en mesure d'évaluer les règlementations juridiques (relatives à la confidentialité des données, par exemple), leurs propres politiques et les risques d'attaques dans le cadre de leur utilisation des services de cloud computing.

Attestation C5 pour vos applications SaaS et PaaS

Les clients AWS peuvent obtenir une attestation C5 pour les applications cloud exécutées sur l'infrastructure AWS. En novembre 2016, AWS a été le premier fournisseur de services de cloud d'Allemagne à obtenir l'attestation C5 au niveau de son infrastructure. Avec le rapport C5, AWS pose les fondements qui documentent son respect de la norme C5 comme fournisseur d'infrastructures en tant que services (IaaS).

Les clients AWS peuvent désormais obtenir une attestation C5 pour les applications cloud sans avoir à contrôler la sécurité physique des centres de données ou l'infrastructure du cloud. Ils peuvent également certifier des applications déployées comme logiciels en tant que services (SaaS) et plates-formes en tant que services (PaaS) dans le cadre de l'attestation C5. Leurs clients ont alors la preuve qu'ils mettent vraiment en œuvre le niveau de sécurité informatique standard du BSI, et ce à tous les degrés.

Témoignages des clients sur la norme C5

Le Cloud Computing Compliance Controls Catalog (C5) du BSI couvre chaque aspect d'un service de cloud exploité de façon sécurisée. Pour les clients d'AWS existants, les débats en interne avec les responsables de la sécurité et de la conformité sont largement facilités. Quant aux clients potentiels, il leur sera bien plus simple de transférer leurs cas d'utilisation sur AWS. Dans les deux cas, l'attestation augmentera considérablement les taux de consommation de services.

Computacenter AG & Co oHG

L'attestation C5 du BSI nous prouve que le cloud Box est une solution de cloud sécurisée pour la gestion de contenu d'entreprise. De par son engagement et son investissement dans la conformité, aussi bien en Allemagne qu'en Europe, Box prouve l'importance qu'ont ces marchés pour l'entreprise. Box utilise, entre autres, l'infrastructure AWS dans la région de Francfort, qui respecte elle aussi la norme C5.

Box, Inc.

« L'attestation C5 d'AWS, un système conçu pour gérer l'infrastructure, constitue la preuve tangible de la sécurité de nos informations dans tout ce qui a trait aux centres de données, aux serveurs, au réseau et aux données, pour nous comme pour nos clients. Grâce à la sécurité et à la fiabilité offerte par AWS, nous pouvons focaliser toute notre énergie et notre concentration sur notre propre entreprise, car nous nous savons entre de bonnes mains. »

e-Spirit AG

Les FAQ ci-dessous sont destinées à servir de guide à l'obtention de l'attestation C5 pour vos applications SaaS et PaaS. Vous trouverez des informations supplémentaires sur la norme C5 et les « Cloud Computing Compliance Controls Catalogue (C5) – Criteria to assess the information security of cloud services » (critères d'évaluation de la sécurité des informations sur les services de cloud) sur le site web du BSI.

  • Quels services AWS sont concernés par la norme C5 ?

    Les services AWS couverts qui sont déjà concernés par la norme C5 sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

  • Qu'est-ce que la norme C5 ?

    La norme C5 (Cloud Computing Compliance Controls Catalogue) est une norme allemande de sécurité informatique relative au cloud computing. Conçu et publié par le BSI au mois de février 2016, l'ensemble des contrôles C5 offre des garanties supplémentaires aux clients allemands pour la migration de leurs charges de travail complexes et réglementées vers des fournisseurs de services de cloud computing tels qu'AWS. La norme C5 regroupe les normes internationales suivantes :

    • ISO/CEI 27001:2013 (ISO – Organisation internationale de normalisation)
    • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0 (ébauche) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (ébauche d'avis sur la comptabilité : « Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing » [Principes de comptabilité généralement acceptés pour l'externalisation de services de comptabilité comprenant le cloud computing], version du 4 novembre 2014)
    • BSI IT-Grundschutz Catalogues, 14e version, 2014
    • BSI SaaS Sicherheitsprofile 2014 [Profils de sécurité de SaaS du BSI, 2014]
  • Qui est à l'origine de cette nouvelle norme ?

    L'autorité nationale allemande en matière de cybersécurité, le Bundesamt für Sicherheit in der Informationstechnik (BSI), a créé la norme C5. Le BSI définit les exigences relatives à la sécurité informatique pour tous les systèmes gouvernementaux, et la plupart des entreprises allemandes alignent leur stratégie de sécurité informatique sur les normes du BSI.

  • Pourquoi une nouvelle norme a-t-elle été créée ?

    Les contrôles effectués au niveau des normes mentionnées ci-dessus ont été collectés puis rassemblés pour les besoins spécifiques du cloud computing. Cette norme est utile aux fournisseurs de service de cloud (CSP) et à leurs clients, car elle permet la bonne compréhension du rôle de chacun en vertu d'un modèle de responsabilité partagée.

  • Quelle est la différence entre la norme C5 et l'IT-Grundschutz (méthodologie de protection de base des technologies de l'information) du BSI ?

    L'IT-Grundschutz est une norme qui permet d'établir et de maintenir une protection adéquate des informations d'une institution. Les catalogues de l'IT-Grundschutz définissent les garanties de protection des processus d'entreprise standards, des systèmes et des applications informatiques, et visent la protection des informations propres à une entreprise. La norme C5 comporte des lignes directrices concernant les offres des fournisseurs de services de cloud (CSP).

  • Quelle est la différence entre une certification et une attestation ?

    Une certification est délivrée par une entreprise spécialisée qualifiée, et reste généralement valable pendant un à trois ans. Une attestation peut être obtenue au cours d'une vérification ou d'une prise en compte de la conformité effectuée par une personne qualifiée. Une attestation prend davantage en compte l'aspect de mise en œuvre continue, ce qui veut dire que le cycle de vérification est bien plus court (moins de 6 mois entre chaque contrôle). Selon les normes ISAE 3000 et ISAE 3402, le processus de vérification fournit des preuves concernant la pertinence et l'efficacité sur une période de temps écoulée. Une certification n'est rien d'autre qu'une assurance éphémère.

  • Quels sont les avantages du client par rapport à cette norme ?

    En Allemagne tout particulièrement, les clients ont tendance à rechercher des services certifiés conformément à l'IT-Grundschutz (niveau minimal de sécurité informatique) allemand défini par le BSI. L'IT-Grundschutz fonctionne bien dans le cadre de rapports sur site ou de relations de sous-traitance traditionnelles, mais n'est pas idéal pour le cloud computing. La norme C5 fournit aux clients un rapport documentant un niveau de sécurité informatique équivalent à celui de l'IT-Grundschutz, qui couvre tous les aspects de la sécurité informatique relatifs au cloud computing. Pour les autorités, une attestation C5 constitue une exigence de base dans le cadre d'un processus d'acquisition.

  • Comment est-ce qu'AWS peut m'aider à obtenir l'attestation C5 pour mes applications SaaS et PaaS ?

    L'attestation C5 est destinée en priorité aux fournisseurs de services de cloud professionnels, à leurs auditeurs et aux clients de ces fournisseurs. Elle définit les exigences (également appelées contrôles) que les fournisseurs de cloud doivent respecter, ou les critères de base qu'ils doivent remplir s'ils souhaitent y prétendre. Les clients AWS bénéficient de l'attestation C5 au niveau de l'infrastructure (IaaS), ce qui leur permet de se concentrer sur l'obtention de l'attestation pour leurs applications aux niveaux SaaS et PaaS.

    En novembre 2016, AWS a été le premier fournisseur de services de cloud d'Allemagne à obtenir l'attestation C5 au niveau de son infrastructure. Grâce à notre attestation C5, nous avons posé les fondements qui peuvent vous permettre d'obtenir de votre auditeur l'attestation C5 pour vos applications cloud. Cela donne aux clients AWS la possibilité de demander leur propre attestation C5 ans avoir à inclure la sécurité physique des centres de données et la gestion de la partie infrastructure du cloud au cadre de leur vérification individuelle. Les applications déployées comme logiciels en tant que services (SaaS) et plates-formes en tant que services (PaaS) peuvent également faire l'objet d'une attestation dans le cadre de la norme C5. Vos clients ont alors la preuve que vous mettez vraiment en œuvre le niveau de sécurité informatique standard du BSI, et ce à tous les degrés.

  • Comment puis-je obtenir une attestation C5 ?

    Le catalogue des contrôles de la conformité précise qu'un auditeur public doit délivrer l'attestation pour les services de cloud examinés suivant une procédure reconnue à l'échelle internationale. L'attestation est basée sur un rapport de vérification dans lequel l'auditeur indique si les exigences ont bien été respectées et véritablement mises en œuvre.

    Pour toute question concernant la préparation et le déroulement d'une vérification pour l'attestation C5, veuillez contacter votre auditeur.

  • À quels critères dois-je prêter attention lors du choix d'un auditeur ?

    Habituellement, une vérification annuelle n'est pas effectuée par un auditeur public en personne, mais plutôt par une équipe. Cette équipe est également composée de spécialistes en informatique. Avant de confirmer le catalogue des contrôles de conformité, les membres de l'équipe doivent vérifier leur admissibilité (voir section 3.5.1). Il peut par exemple s'agir de certifications des auditeurs ISACA (CISA, CISM, CRISC), CSA (CCSK) ou ISO 27001 et IT-Grundschutz. Ces qualifications doivent être listées et vérifiées dans l'attestation.

  • Combien de temps dure le processus d'audit pour l'obtention d'une attestation C5 ?

    La durée du processus de vérification dépend des certifications déjà détenues par votre entreprise. Une certification comme ISO 27001 écourte le processus de vérification. Il est recommandé de demander à la fois une attestation et une certification, car toutes les exigences de la norme ISO/CEI 27001 sont également listées dans le catalogue des contrôles de la conformité.

  • Cette norme a-t-elle un rayonnement international ?

    Le BSI a effectué ce travail en concertation avec l'ANSSI, qui travaillait alors sur la nouvelle version de son label Secure Cloud (aujourd'hui appelé « SecNumCloud »). La norme C5 a été influencée et a influencé la norme Secure Cloud française, avec un objectif précis : la création d'une option de reconnaissance mutuelle sous un label commun, ESCloud.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »