La norme allemande de sécurité pour les services cloud.
Le Cloud Computing Compliance Criteria Catalogue du BSI définit les exigences minimales de sécurité de l’information dans le cloud. Nous vous accompagnons de l’analyse d’écarts à l’attestation de type 2 — alignée sur les standards, auditable, pragmatique.
- 2016première publication, refonte majeure en 2020
- 121critères d’audit, base et critères additionnels
- 17domaines d’exigences d’OIS à PCS
- § 393SGB V — obligatoire dans la santé depuis juillet 2025
- ISAE3000 / IDW PS 860 — audit par des commissaires aux comptes
Qu’est-ce que le catalogue C5 ?
La norme allemande d’audit et d’attestation pour les services cloud — développée par l’Office fédéral allemand pour la sécurité de l’information (BSI) afin de rendre démontrable un niveau de sécurité largement accepté.
La norme
Le C5 traduit des référentiels établis tels qu’ISO/IEC 27001, ISO/IEC 27017 et les AICPA Trust Services Criteria en un catalogue auditable et spécifique au cloud — référence en matière de sécurité cloud dans la zone DACH.
Le principe
Le BSI définit ce qui doit être satisfait — pas comment. La mise en œuvre relève du fournisseur cloud ; l’audit indépendant est réalisé par des commissaires aux comptes selon ISAE 3000 (revised) ou IDW PS 860.
L’obligation
Les autorités fédérales exigent le C5 selon EVB-IT Cloud. Depuis le 1er juillet 2025, le § 393 SGB V (DigiG) impose aux services cloud du secteur santé une attestation C5 type 2 ou un équivalent.
Les 17 domaines d’exigences du C5.
Chaque domaine contient des critères de base auditables ainsi que des critères additionnels optionnels pour les niveaux de protection plus élevés. Les codes suivent la nomenclature BSI et constituent la base de votre matrice de contrôles.
Organisation de la sécurité de l’information
Rôles, responsabilités, engagement de la direction
Politiques & directives de sécurité
Politiques documentées, approbation et revue
Ressources humaines
Embauche, sensibilisation, processus de départ
Gestion des actifs
Inventaire, classification, traitement
Sécurité physique
Datacenters, accès, protection environnementale
Exploitation courante
Capacité, journalisation, gestion des vulnérabilités
Gestion des identités & accès
IAM, accès privilégiés, MFA
Cryptographie & gestion des clés
Algorithmes, clés, cycle de vie
Sécurité des communications
Segmentation réseau, TLS, transmissions
Portabilité & interopérabilité
Export, normes, restitution des données
Acquisition, développement & changement
SDLC sécurisé, change management
Prestataires & fournisseurs
Sous-prestataires, pilotage, surveillance
Gestion des incidents de sécurité
Détection, réponse, retour d’expérience
Continuité d’activité & BCM
BIA, reprise, tests
Conformité
Exigences légales, réglementaires et contractuelles
Demandes des autorités d’enquête
Légalité, transparence, processus
Sécurité produit
Mise à disposition et exploitation sécurisées du service cloud
Exigences de transparence
Divulgation des sous-traitants, lieux de stockage des données, systèmes juridiques
Type 1 ou type 2 — lequel choisir ?
Le C5 connaît deux types de rapports. Le BSI recommande le type 2, car seule la vérification d’efficacité fournit une évaluation pertinente sur une période donnée.
Adéquation de la conception
Évalue à une date donnée si le système de contrôle interne lié au service est adéquat pour satisfaire les critères C5. Pertinent en première évaluation à l’entrée dans la norme — non destiné selon le BSI à des rapports répétés.
Efficacité opérationnelle
Évalue sur une période définie (en général 6–12 mois) si les contrôles sont non seulement adéquatement conçus mais aussi mis en œuvre efficacement. La preuve attendue par le marché — et, depuis DigiG, par le législateur.
En cinq étapes jusqu’à l’attestation C5.
En tant que partenaire GRC et sécurité de l’information, nous vous accompagnons de manière structurée à travers chaque phase — de la première analyse d’écarts à l’attestation par le commissaire aux comptes.
À qui s’adresse le C5 ?
Le C5 concerne à la fois les fournisseurs cloud qui doivent démontrer une attestation et les utilisateurs cloud des secteurs régulés qui exigent une attestation de leurs prestataires.
Fournisseurs de services cloud
Fournisseurs SaaS, PaaS et IaaS souhaitant démontrer leur maturité de sécurité auprès des clients, auditeurs et régulateurs.
Secteur de la santé
Cliniques, caisses d’assurance maladie et prestataires selon § 393 SGB V — depuis juillet 2025, obligation légale pour leurs prestataires cloud.
Secteur public
Autorités fédérales, régionales et communales achetant des services cloud externes selon EVB-IT Cloud et le standard minimal du BSI.
Secteurs régulés
Services financiers, fournisseurs d’énergie et entreprises KRITIS établissant le C5 en complément d’ISO 27001, DORA ou NIS2.
Questions fréquentes sur le C5.
Le C5 est-il une certification ?
Non. Le C5 est une norme d’attestation. Un commissaire aux comptes indépendant audite selon ISAE 3000 (revised) ou IDW PS 860 et émet un rapport assorti d’une attestation. Le BSI lui-même n’effectue pas d’audits et ne délivre pas de certificats.
Comment le C5 se positionne-t-il par rapport à ISO 27001 ?
Un certificat ISO/IEC 27001 existant constitue une excellente base. De nombreux critères C5 référencent directement les contrôles de l’annexe A. Le BSI met à disposition des tables de correspondance permettant d’identifier efficacement les écarts entre un ISMS et les exigences cloud propres au C5.
Quelle différence entre critères de base et critères additionnels ?
Pour une attestation C5, tous les critères de base applicables doivent être pleinement satisfaits — ils constituent le niveau minimal. Les critères additionnels sont optionnels et adressent des besoins de protection accrus. Les clients aux workloads particulièrement sensibles les exigent souvent explicitement.
Combien de temps pour obtenir une première attestation de type 2 ?
Réalistement 9 à 18 mois, selon la maturité de l’ISMS existant. Typiquement 3 à 6 mois pour l’analyse d’écarts et la mise en œuvre, 6 à 12 mois pour la période d’efficacité opérationnelle, plus l’audit proprement dit et la rédaction du rapport.
Qu’est-ce qui change avec C5:2026 ?
Le successeur C5:2026 s’appuie sur le C5:2020 et complète les critères avec, entre autres, des références à NIS2, CEN/TS 18026 et aux AICPA Trust Services Criteria mis à jour. Les services cloud déjà attestés conservent leur statut — pour les nouvelles périodes d’audit s’appliquent les nouveaux critères selon les délais de transition du BSI.
Le C5 s’applique-t-il aussi si nous utilisons des sous-prestataires ?
Oui — et il adresse ce cas explicitement. Les contrôles relevant de sous-prestataires (par ex. fournisseurs IaaS pour des services SaaS) sont intégrés comme Complementary Subservice Organization Controls dans la description du système. La section 3.4.5 du C5:2020 le détaille.
« Le C5 n’est pas une case à cocher — c’est la preuve de confiance que les clients régulés attendent aujourd’hui des fournisseurs cloud. Nous construisons le système de contrôle interne pour qu’il tienne lors de l’audit — pas seulement passe formellement. »
Prêt pour le standard C5 ?
30 minutes avec Valeri Milke : nous clarifions votre point de départ, évaluons votre architecture cloud et tracons un chemin réaliste vers l’attestation de type 2 — y compris estimation d’effort et timeline.
Prendre rendez-vous