Cloud Computing Compliance Controls Catalog (C5)

Présentation

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) est un programme d'attestation du gouvernement allemand. Implémenté en Allemagne par l'Office fédéral de la sécurité des technologies de l'information (BSI), son objectif est d'aider les organisations à démontrer leur sécurité opérationnelle face aux cyber-attaques courantes lorsqu'elles utilisent des services cloud dans le cadre des « recommandations de sécurité pour les fournisseurs de cloud » du gouvernement allemand.

L'attestation C5 peut être utilisée par les clients d'AWS et leurs conseillers en conformité afin de mieux aborder les contrôles de sécurité mis en œuvre par AWS pour répondre aux exigences de la norme C5 lorsqu'ils migrent leurs charges de travail vers le cloud. La norme C5 comprend un niveau de sécurité informatique équivalent à IT-Grundschutz et intègre des contrôles spécifiques au cloud.

La norme C5 inclut des exigences de contrôle supplémentaires en matière de localisation des données, d'allocation de service, de juridiction, de certifications existantes, d'obligations de transparence et de description du service dans son ensemble. Grâce à ces informations, les clients sont en mesure d'évaluer les règlementations juridiques (relatives à la confidentialité des données, par exemple), leurs propres politiques et les risques d'attaques dans le cadre de leur utilisation des services de cloud computing.

  • Qu'est-ce que la norme C5 ?

    La norme C5 (Cloud Computing Compliance Controls Catalogue) est une norme allemande de sécurité informatique relative au cloud computing. Conçu et publié par le BSI au mois de février 2016, l'ensemble de contrôles C5 offre des garanties supplémentaires aux clients allemands pour leur migration de charges de travail complexes et règlementées vers des fournisseurs de services de cloud computing tels qu'AWS. La norme C5 regroupe les normes internationales suivantes :

    • ISO/CEI 27001:2017 (ISO – Organisation internationale de normalisation)
    • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2017 (AICPA – American Institute of Certified Public Accountants)
    • Trusted Cloud Data Protection Profile (TCDP) – Version 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium – Édition 2019
  • Qui a créé la norme C5 ?

    L'autorité nationale allemande en matière de cybersécurité, la Bundesamt für Sicherheit in der Informationstechnik (BSI), a élaboré la norme C5 en 2016. La BSI définit les exigences relatives à la sécurité informatique pour tous les systèmes gouvernementaux, et la plupart des entreprises allemandes alignent leur stratégie de sécurité informatique sur les normes de la BSI. La BSI a remanié et mis à jour le catalogue C5 en 2019. Une nouvelle version (C5:2020) a été finalisée en janvier 2020. 

  • Quels sont les avantages de cette norme pour le client ?

    L'évaluation 2021 dont a fait l'objet AWS par rapport au programme de sécurité et de conformité des informations C5 est terminée, et le rapport C5 peut être téléchargé sur AWS Artifact. Cette évaluation traite à la fois des critères C5 de base et les critères C5 additionnels. Le rapport d'attestation C5 2022 d'AWS sera disponible fin 2022.

    Le rapport C5 fournit à nos clients européens une attestation délivrée par un tiers indépendant sur l'adéquation de la conception et l'efficacité opérationnelle de nos contrôles afin de satisfaire les critères de la norme C5. En Allemagne, les clients ont l'habitude de rechercher les services cloud ayant fait l'objet d'une évaluation par rapport aux critères de la norme C5. La norme C5 fournit aux clients un cadre documentant un niveau de sécurité informatique équivalant à celui de l'IT-Grundschutz, qui couvre tous les aspects de la sécurité informatique relatifs au cloud computing. Pour les autorités fédérales, une attestation C5 constitue une exigence de base dans le cadre d'un processus d'approvisionnement.

  • Quelles sont les régions AWS concernées par la norme C5 ?

    Les régions AWS concernées par la norme C5 comprennent Francfort, l'Irlande, Londres, Paris, Milan, Stockholm et Singapour, ainsi que des emplacements périphériques en Allemagne, en Angleterre, en Irlande, en France et à Singapour.
  • Quels sont les services concernés ?

    Les services AWS couverts qui sont déjà concernés par la norme C5 sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

  • Quelle est la différence entre la norme C5 et l'IT-Grundschutz (méthodologie de protection de base des technologies de l'information) ?

    L'IT-Grundschutz est une norme qui permet d'établir et de maintenir une protection adéquate des informations d'une institution. Les catalogues de l'IT-Grundschutz définissent les garanties de protection des processus d'entreprise, des systèmes et des applications informatiques standard, et traitent de la protection des informations propres à une entreprise. La norme C5 comporte des lignes directrices concernant les offres des fournisseurs de services de cloud (CSP).
  • Cette norme a-t-elle un rayonnement international ?

    La BSI a effectué ce travail en concertation avec l'ANSSI, qui travaillait alors sur la nouvelle version de son label Secure Cloud (aujourd'hui appelé « SecNumCloud »). La norme C5 a été influencée par la norme SecNumCloud française, et a à son tour influencé celle-ci, avec un objectif précis : la création d'une option de reconnaissance mutuelle sous un label commun, ESCloud. De même, la version préliminaire du Système européen de certification de la cybersécurité pour les services cloud (EUCS) de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) s'inspire largement de la norme de sécurité C5.

  • Quelle est la différence entre une certification et une attestation ?

    Une certification est délivrée par une entreprise spécialisée accréditée, et celle-ci reste généralement valable pendant un à trois ans. Une attestation peut être obtenue dans le cadre d'un audit de conformité ou d'un audit comptable effectué par une personne qualifiée. Une attestation prend davantage en compte l'aspect de mise en œuvre continue, ce qui veut dire que le cycle de vérification est bien plus court (moins de 6 mois entre chaque contrôle). Selon les normes ISAE 3000 et ISAE 3402, le processus d'audit fournit des preuves concernant la pertinence et l'efficacité sur une période écoulée. Une certification n'est rien d'autre qu'une assurance éphémère.

compliance-contactus-icon
Des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »