Cloud Computing Compliance Controls Catalog (C5)

Présentation

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) est un programme d'attestation du gouvernement allemand. Implémenté en Allemagne par l'Office fédéral de la sécurité des technologies de l'information (BSI), son objectif est d'aider les organisations à démontrer leur sécurité opérationnelle face aux cyber-attaques courantes lorsqu'elles utilisent des services cloud dans le cadre des « recommandations de sécurité pour les fournisseurs de cloud » du gouvernement allemand.

L'attestation C5 peut être utilisée par les clients d'AWS et leurs conseillers en conformité afin de mieux appréhender les contrôles de sécurité mis en œuvre par AWS pour répondre aux exigences de la norme C5 lorsqu'ils migrent leurs charges de travail vers le cloud. La norme C5 comprend un niveau de sécurité informatique équivalent à IT-Grundschutz et intègre des contrôles spécifiques au cloud.

La norme C5 inclut des exigences de contrôle supplémentaires en matière de localisation des données, d'allocation de service, de juridiction, de certifications existantes, d'obligations de transparence et de description du service dans son ensemble. Grâce à ces informations, les clients sont en mesure d'évaluer les règlementations juridiques (relatives à la confidentialité des données, par exemple), leurs propres politiques et les risques d'attaques dans le cadre de leur utilisation des services de cloud computing.

  • Qu'est-ce que la norme C5 ?

    La norme C5 (Cloud Computing Compliance Controls Catalogue) est une norme allemande de sécurité informatique relative au cloud computing. Conçu et publié par le BSI au mois de février 2016, l'ensemble de contrôles C5 offre des garanties supplémentaires aux clients allemands pour leur migration de charges de travail complexes et règlementées vers des fournisseurs de services de cloud computing tels qu'AWS. La norme C5 regroupe les normes internationales suivantes :

    • ISO/CEI 27001:2013 (ISO – Organisation internationale de normalisation)
    • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0 (ébauche) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (ébauche d'avis sur la comptabilité : « Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing » [Principes de comptabilité généralement acceptés pour l'externalisation de services de comptabilité comprenant le cloud computing], version du 4 novembre 2014)
    • BSI IT-Grundschutz Catalogues, 14e version, 2014
    • BSI SaaS Sicherheitsprofile 2014 [Profils de sécurité SaaS du BSI, 2014]
  • Quels sont les avantages de cette norme pour le client ?

    L'évaluation 2020 dont a fait l'objet AWS par rapport au programme de sécurité et de conformité des informations C5 est terminée, et le rapport C5 peut être téléchargé sur AWS Artifact. Le rapport d'attestation C5 2021 d'AWS sera disponible fin 2021. 

    Le rapport C5 fournit à nos clients européens une attestation délivrée par un tiers indépendant sur l'adéquation de la conception et l'efficacité opérationnelle de nos contrôles afin de satisfaire les critères de la norme C5. En Allemagne, les clients ont l'habitude de rechercher les services cloud ayant fait l'objet d'une évaluation par rapport aux critères de la norme C5. La norme C5 fournit aux clients un cadre documentant un niveau de sécurité informatique équivalant à celui de l'IT-Grundschutz, qui couvre tous les aspects de la sécurité informatique relatifs au cloud computing. Pour les autorités fédérales, une attestation C5 constitue une exigence de base dans le cadre d'un processus d'acquisition.

  • Quelles sont les régions AWS concernées par la norme C5 ?

    Les régions AWS concernées par la norme C5 comprennent Francfort, l'Irlande, Londres, Paris, Milan, Stockholm et Singapour, ainsi que des emplacements périphériques en Allemagne, en Angleterre, en Irlande, en France et à Singapour.

  • Quels sont les services concernés ?

    Les services AWS couverts qui sont déjà concernés par la norme C5 sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l'utilisation de ces services et/ou si vous êtes intéressé par d'autres services, veuillez nous contacter.

  • Qui a créé la norme C5 ?

    L'autorité nationale allemande en matière de cybersécurité, le Bundesamt für Sicherheit in der Informationstechnik (BSI), a élaboré la norme C5 en 2016. Le BSI a remanié et mis à jour le catalogue C5 en 2019. Une nouvelle version (C5:2020) a été finalisée en janvier 2020. Le BSI recommande vivement l'application de la norme C5:2020 pour les audits dont la période d'évaluation se termine le 15 février 2021 ou ultérieurement. Le BSI définit les exigences relatives à la sécurité informatique pour tous les systèmes gouvernementaux, et la plupart des entreprises allemandes alignent leur stratégie de sécurité informatique sur les normes du BSI.

  • Quelle est la différence entre la norme C5 et l'IT-Grundschutz (méthodologie de protection de base des technologies de l'information) du BSI ?

    L'IT-Grundschutz est une norme qui permet d'établir et de maintenir une protection adéquate des informations d'une institution. Les catalogues de l'IT-Grundschutz définissent les garanties de protection des processus d'entreprise, des systèmes et des applications informatiques standard, et traitent de la protection des informations propres à une entreprise. La norme C5 comporte des lignes directrices concernant les offres des fournisseurs de services de cloud (CSP).

  • Comment est-ce qu'AWS peut m'aider à obtenir l'attestation C5 pour mes applications SaaS et PaaS ?

    L'attestation C5 est destinée en priorité aux fournisseurs de services cloud professionnels, à leurs auditeurs et aux clients de ces fournisseurs. Elle définit les exigences (également appelées contrôles) auxquelles les fournisseurs de services cloud doivent se conformer.

    En novembre 2016, AWS a été le premier fournisseur de services cloud d'Allemagne à obtenir l'attestation C5 au niveau infrastructure. Les clients basés en Allemagne et dans d'autres pays européens peuvent utiliser le rapport d'attestation d'AWS pour répondre aux exigences de sécurité locales du cadre C5. L'attestation C5 d'AWS jette les bases qui leur permettront d'obtenir leur propre attestation C5 pour leurs applications cloud auprès de leur auditeur. Plus précisément, les clients ont la possibilité d'obtenir leur propre attestation C5 sans avoir à inclure la sécurité physique des centres de données ou à gérer la partie infrastructure du cloud dans le cadre de leur audit individuel. Les applications déployées comme logiciels en tant que services (SaaS) et plates-formes en tant que services (PaaS) peuvent également faire l'objet d'une évaluation par rapport aux exigences du cadre C5. Avec le soutien d'AWS, vous pouvez montrer à vos clients que vous mettez effectivement en œuvre le niveau de sécurité informatique standard du BSI, et ce sur toutes les couches.

  • Cette norme a-t-elle un rayonnement international ?

    Le BSI a effectué ce travail en concertation avec l'ANSSI, qui travaillait alors sur la nouvelle version de son label Secure Cloud (aujourd'hui appelé « SecNumCloud »). La norme C5 a été influencée par la norme SecNumCloud française, et a à son tour influencé celle-ci, avec un objectif précis : la création d'une option de reconnaissance mutuelle sous un label commun, ESCloud. De même, la version préliminaire du Système européen de certification de la cybersécurité pour les services cloud (EUCS) de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) s'inspire largement de la norme de sécurité C5.

  • Quelle est la différence entre une certification et une attestation ?

    Une certification est délivrée par une entreprise spécialisée accréditée, et celle-ci reste généralement valable pendant un à trois ans. Une attestation peut être obtenue dans le cadre d'un audit de conformité ou d'un audit comptable effectué par une personne qualifiée. Une attestation prend davantage en compte l'aspect de mise en œuvre continue, ce qui veut dire que le cycle de vérification est bien plus court (moins de 6 mois entre chaque contrôle). Selon les normes ISAE 3000 et ISAE 3402, le processus d'audit fournit des preuves concernant la pertinence et l'efficacité sur une période écoulée. Une certification n'est rien d'autre qu'une assurance éphémère.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »