Catalogue des critères de conformité cloud computing (C5)

Présentation du C5

En 2016, l’Office fédéral allemand pour la sécurité des informations (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) a créé le Cloud Computing Compliance Controls Catalog (C5). Le BSI a révisé les recommandations en tant que catalogue de critères de conformité cloud computing (C5 :2020) en 2020. C5 est une norme vérifiée qui établit une base de référence minimale obligatoire pour la sécurité dans le cloud et l’adoption de solutions de cloud public par les agences gouvernementales allemandes et les entreprises qui travaillent avec le gouvernement. Le C5 est également de plus en plus adopté par le secteur privé.

L’objectif du catalogue d’exigences C5 est de fournir un cadre de sécurité cohérent pour certifier les fournisseurs de services cloud et de donner à leurs clients l’assurance que leurs données seront gérées de manière sécurisée.

Le C5 est basé sur les normes de sécurité informatique internationalement reconnues, telles que l’ISO/IEC 27001:2013, la Cloud Security Alliance Cloud Controls Matrix 3.0.1 et les catalogues IT-Grundschutz propriétaires du BSI. Le catalogue se compose de 114 exigences couvrant 17 domaines, par exemple l’organisation de la sécurité des informations et de la sécurité physique, avec des exigences de sécurité de base pour tous les fournisseurs de services cloud, ainsi que d’autres exigences pour le traitement des données hautement confidentielles et des situations nécessitant une haute disponibilité.

Le BSI met également l’accent sur la transparence. Dans le cadre d’un audit, le fournisseur de cloud doit inclure une description détaillée du système et publier certains paramètres environnementaux, tels que la juridiction et le lieu de traitement des données, la prestation des services et les autres certifications délivrées aux services cloud, ainsi que des informations sur les obligations de divulgation des fournisseurs de cloud aux autorités publiques. Ce système aide les clients potentiels du cloud à décider si les services cloud répondent à leurs exigences essentielles, telles que la conformité aux exigences légales telles que la protection des données, les stratégies de l’entreprise ou la capacité à répondre à la menace de l’espionnage industriel.

Microsoft et C5

Les services de cloud computing Microsoft sont audités au moins une fois par an au regard des normes SOC 2 (AT Section 101). Selon le BSI, un audit C5 peut être combiné avec un audit SOC 2 afin de réutiliser certaines parties de la description du système et les résultats d’audit pour les contrôles communs. Microsoft Azure, Azure Government et Azure Allemagne génèrent un rapport combiné (C5, SOC 2 Type 2, attestation CSA Star) basé sur l’évaluation d’audit effectuée par un auditeur indépendant, lequel démontre la preuve de sa conformité avec C5.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

• Azure, Microsoft Azure Government et Azure Allemagne
• Office 365 Allemagne

Azure, Dynamics 365 et C5

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Germany C5 :2020.

Foire aux questions

Puis-je utiliser la conformité Microsoft avec C5 pour aider mon entreprise à obtenir sa propre attestation C5 ?

Oui. Vous pouvez utiliser l’attestation des services cloud computing Microsoft comme base de tout programme ou initiative qui requiert C5. Cependant, vous devrez obtenir votre propre attestation C5 pour les composants extérieurs ou fondés sur ces services.

Quelle est la différence entre C5 et les catalogues IT-Grundschutz ?

IT-Grundschutz fournit la méthodologie spécifique aidant les entreprises à identifier et à mettre en œuvre des mesures de sécurité pour les systèmes informatiques. C’est l’un des éléments à partir desquels les normes C5 ont été établies. C5 fournit un ensemble de normes d’audit pour les fournisseurs de services cloud, mais laisse les détails de la mise en œuvre au fournisseur de services cloud.

Qu’est-ce que Microsoft Cloud Allemagne ?

Microsoft Cloud Germany est physiquement basé en Allemagne, adhérant aux exigences de la loi allemande sur la confidentialité, qui limite le transfert de données personnelles à d’autres pays et offre une protection contre l’accès par les autorités d’autres juridictions qui pourraient violer les lois nationales. Azure Allemagne fournit des services Azure à partir de centres de données allemands avec une résidence des données en Allemagne, et offre des mesures strictes de contrôle et d’accès aux données fournies par le biais d’un modèle de données fiduciaire unique régi par le droit allemand.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources

• Catalogue des critères de conformité du cloud computing (C5 :2020) (anglais) (allemand)
• Recommandations en matière de sécurité pour les fournisseurs de services cloud(anglais) (allemand)
• Azure + Dynamics 365 + Services en ligne - Public & Government - SOC 2 Type II + C5 + CSA Star Report
• Microsoft 365 - C5 Worldwide Type 1 Report
• Classeur IT-Grundschutz pour Microsoft Azure Allemagne
• IT-Grundschutz Workbook (anglais) pour Office 365 Allemagne
• It-Grundschutz Workbook (Allemand) pour Office 365 Allemagne
• Conformité sur le site Microsoft Trust Center