Catalogue de critères de conformité du cloud computing
(C5)
Présentation
Le catalogue de critères de conformité du cloud computing (C5) est un système d’attestation soutenu par le gouvernement allemand et introduit en Allemagne par l’Office fédéral de la sécurité de l’information (BSI). C5 aide les organisations à démontrer leur sécurité opérationnelle contre les cyber-attaques courantes lorsqu’elles utilisent des services cloud dans le contexte des « Recommandations de sécurité pour les fournisseurs de services cloud » du gouvernement allemand.
L’attestation C5 peut être utilisée par les clients d’AWS et leurs conseillers en conformité afin de mieux aborder les contrôles de sécurité mis en œuvre par AWS pour répondre aux exigences de la norme C5 lorsqu’ils migrent leurs charges de travail vers le cloud. La norme C5 comprend un niveau de sécurité informatique équivalent à IT-Grundschutz et intègre des contrôles spécifiques au cloud.
La norme C5 inclut des exigences de contrôle supplémentaires en matière de localisation des données, d’allocation de service, de juridiction, de certifications existantes, d’obligations de transparence et de description du service dans son ensemble. Grâce à ces informations, les clients sont en mesure d’évaluer les règlementations juridiques (relatives à la confidentialité des données, par exemple), leurs propres politiques ou l’environnement des menaces dans le cadre de leur utilisation des services de cloud computing.
Questions fréquentes (FAQ)
Ouvrir tout- ISO/IEC 27001:2013 - Systèmes de management de la sécurité de l’information - Exigences
- ISO/IEC 27002:2016 - Procédures de sécurité informatique - Lignes directrices pour les mesures de sécurité de l’information
- ISO/IEC 27017:2015 - Techniques de sécurité - Code de pratiques exemplaires pour les contrôles de sécurité de l’information basés sur l’ISO/IEC 27002 pour les services cloud
- BSI - IT-Grundschutz Kompendium, 2e édition 2019
- CSA – Cloud Controls Matrix 3.0.1 (CSA – Cloud Security Alliance)
- Critères de l'AICPA Trust Service Principles 2017 (AICPA - American Institute of Certified Public Accountants)
- ANSSI (Agence nationale de la sécurité des systèmes d’information, Agence nationale de cybersécurité de la France) - Fournisseurs de services de cloud computing v. 3.1 (SecNumCloud)
- IDW (Institut der Wirtschaftsprüfer, l’Institut allemand des experts-comptables agréés) RS FAIT 5 - Déclaration sur l’information financière : « Principes d’une comptabilité ordonnée pour l’externalisation des services liés à l’information financière, y compris le cloud computing », au 4 novembre 2015
La norme C5 (Cloud Computing Compliance Criteria Catalogue) est une norme allemande de sécurité informatique relative au cloud computing. Conçu et publié pour la première fois par le BSI en 2016, l’ensemble de contrôles C5 offre des garanties supplémentaires aux clients allemands pour leur migration de charges de travail complexes et règlementées vers des fournisseurs de services de cloud computing tels qu’AWS.
La norme C5 actuelle a été publiée en 2020 et comprend des exigences issues des normes et publications suivantes :
L'autorité nationale allemande en matière de cybersécurité, la Bundesamt für Sicherheit in der Informationstechnik (BSI), a élaboré la norme C5 en 2016. La BSI définit les exigences relatives à la sécurité informatique pour tous les systèmes gouvernementaux, et la plupart des entreprises allemandes alignent leur stratégie de sécurité informatique sur les normes de la BSI. La version actuelle (C5:2020) a été finalisée en janvier 2020.
Le rapport C5 fournit à nos clients européens une attestation délivrée par un tiers indépendant sur l’adéquation de la conception et l’efficacité opérationnelle de nos contrôles afin de satisfaire les critères de la norme C5. En Allemagne, les clients ont l'habitude de rechercher les services cloud ayant fait l'objet d'une évaluation par rapport aux critères de la norme C5. La norme C5 fournit aux clients un cadre documentant un niveau de sécurité informatique équivalant à celui de l'IT-Grundschutz, qui couvre tous les aspects de la sécurité informatique relatifs au cloud computing. Pour les autorités fédérales, une attestation C5 constitue une exigence de base dans le cadre d'un processus d'approvisionnement.
Les informations actuelles sur C5 au sein d'AWS peuvent être consultées sur les articles de blog sur la sécurité AWS C5.
Les régions AWS concernées par le C5 comprennent Francfort, l’Irlande, Londres, Paris, Milan, Stockholm, Singapour, Zurich et l’Espagne, ainsi que des emplacements périphériques en Autriche, en Belgique, en Bulgarie, en Croatie, en République tchèque, au Danemark, en Estonie, en Finlande, en France, en Allemagne, en Grèce, en Hongrie, en Irlande, en Italie, aux Pays-Bas, en Norvège, en Pologne, au Portugal, en Roumanie, à Singapour, en Espagne, en Suède, en Suisse et au Royaume-Uni.
Les services AWS couverts qui sont déjà concernés par la norme C5 sont indiqués à la page Services AWS concernés par le programme de conformité. Si vous souhaitez en savoir plus sur l’utilisation de ces services et/ou si vous êtes intéressé par d’autres services, veuillez nous contacter.
L'IT-Grundschutz est une norme qui permet d'établir et de maintenir une protection adéquate des informations d'une institution. Les catalogues de l'IT-Grundschutz définissent les garanties de protection des processus d'entreprise, des systèmes et des applications informatiques standard, et traitent de la protection des informations propres à une entreprise. La norme C5 comporte des lignes directrices concernant les offres des fournisseurs de services cloud (CSP).
Le rapport AWS C5 est disponible pour les clients utilisant AWS Artifact, un portail en libre-service qui permet d'accéder sur demande aux rapports de conformité d'AWS. Se connecter à AWS Artifact dans Console de gestion AWS ou en apprendre davantage sur lDémarrer avec AWS Artifact.
En janvier 2026, nous avons annoncé que l’AWS European Sovereign Cloud était disponible pour tous, un nouveau cloud indépendant destiné à l’Europe, entièrement situé au sein de l’Union européenne (UE) et physiquement et logiquement distinct de toutes les autres régions AWS. Le rapport dédié « AWS European Sovereign Cloud C5 » fournit à nos clients une attestation indépendante, réalisée par un tiers, quant à l’adéquation de la conception des contrôles AWS pour répondre aux critères de base et supplémentaires du référentiel C5.
Pour en savoir plus sur le rapport C5 relatif à l’AWS European Sovereign Cloud et sur son champ d’application, rendez-vous sur https://aws.eu/compliance/.