Je souhaite avoir des informations sur la norme C5



 

Uptime Institute

Cloud Computing Compliance Controls Catalog (C5) est un programme d'attestation du gouvernement allemand. Implémenté en Allemagne par l'Office fédéral de la sécurité des technologies de l'information (BSI), son objectif est d'aider les organisations à démontrer leur sécurité opérationnelle contre les cyber-attaques courantes dans le cadre des « recommandations de sécurité pour les fournisseurs de cloud » du gouvernement allemand.

L'attestation C5 peut être utilisée par les clients d'AWS et par leurs consultants de conformité pour mieux comprendre la gamme de services d'assurance de sécurité informatique proposés par AWS pour la migration de leurs charges de travail dans le cloud. La norme C5 comprend un niveau de sécurité informatique équivalent à IT-Grundschutz et intègre des contrôles spécifiques au cloud.

La norme C5 inclut des contrôles supplémentaires qui informent sur la localisation des données, l'allocation de service, la juridiction, les certifications existantes, les obligations de transparence et la description du service dans son ensemble. Grâce à ces informations, les clients sont en mesure d'évaluer les règlementations juridiques (relatives à la confidentialité des données, par exemple), leurs propres politiques et les risques d'attaques dans le cadre de leur utilisation des services de cloud computing.


Le Cloud Computing Compliance Controls Catalog (C5) du BSI couvre chaque aspect d'un service de cloud exploité de façon sécurisée. Pour les clients d'AWS existants, les débats en interne avec les responsables de la sécurité et de la conformité sont largement facilités. Quant aux clients potentiels, il leur sera bien plus simple de transférer leurs cas d'utilisation sur AWS. Dans les deux cas, l'attestation augmentera considérablement les taux de consommation de services.
Computacenter AG & Co oHG

Conçu et publié par le BSI au mois de février 2016, l'ensemble de contrôles C5 offre des garanties supplémentaires aux clients allemands pour leur migration de charges de travail complexes et règlementées vers des fournisseurs de services de cloud computing tels qu'AWS.

Les normes suivantes ont été prises en compte par le BSI :

• ISO/CEI 27001:2013 (ISO – Organisation internationale de normalisation)

• CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)

• AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)

• ANSSI Référentiel Secure Cloud 2.0 (ébauche) (ANSSI – Agence nationale de la sécurité des systèmes d'information)

• IDW ERS FAIT 5 04.11.201 (ébauche d'avis sur la comptabilité : « Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing » [Principes de comptabilité généralement acceptés pour l'externalisation de services de comptabilité comprenant le cloud computing], version du 4 novembre 2014)

• BSI IT-Grundschutz Catalogues, 14e version, 2014

• BSI SaaS Sicherheitsprofile 2014 [Profils de sécurité de SaaS du BSI, 2014]

 

Contactez-nous