Le catalogue C5

L’agence fédérale allemande de cybersécurité BSI est à l’origine du catalogue C5 (Cloud Computing Compliance Criteria Catalogue), à l’instar de SecNumCloud pour la France. Le BSI a publié la première version de ce catalogue en 2016 pour évaluer la sécurité des services de Cloud. Outre les bonnes pratiques régulièrement mises à jour par le BSI (IT-GrundschutzKompendium), les référentiels ISO 27001, ISO 27002, ISO 27017 et CCM ont servi de base pour établir le catalogue C5. Il a fait l’objet d’une nouvelle version en 2020. Les principaux changements concernent DevOps, le règlement européen Cybersecurity Act, les modalités d’enquêtes administratives et judiciaires, les exigences clients, les audits. Le fournisseur de Cloud peut associer l’audit de conformité à d’autres démarches comme ISAE 3402 par exemple.

 

Contenu

Les critères du catalogue C5 sont regroupés suivant 17 domaines et divisés en deux catégories : basiques et additionnels. Les critères basiques reflètent le niveau minimal de sécurité d’un service Cloud. Les critères additionnels sont utilisés pour répondre à des exigences plus élevées de sécurité des clients.

C5

Les 17 domaines sont les suivants :

  •  Organisation
  •  Documentation
  • Ressources Humaines
  • Gestion des assets
  • Sécurité physique
  • Opérations
  • Gestion des identités et des accès
  •  Cryptographie
  • Sécurité des réseaux
  • Portabilité et interportabilité
  • Acquisitions et développement
  • Supervision des services et des sous-traitants
  • Continuité
  • Conformité
  • Traitement des demandes d’investigations
  • Gestion des configurations.

Audit

L'objectif de l'audit est de fournir une assurance raisonnable sur l’efficacité du système de contrôle interne pour répondre aux critères C5. L’audit peut être réalisé à une date spécifiée (rapport de type I) ou tout au long d'une période (rapport de type II).

Les preuves de conformité doivent suivre les standards d’audit ISAE 3000 publiés par l’IAASB (International Auditing and Assurance Standard Board).

ISAE 3000

L’attestation doit comprendre au minimum :

  • Description et périmètre des services de Cloud.
  • Critères applicables du catalogue C5.
  • Politiques, procédures et mesures de sécurité.
  • Traitement des incidents et des exceptions.
  • Mesures complémentaires.
Le rapport doit inclure les conclusions d’audit (périmètre, version du catalogue C5,  responsabilités du fournisseur Cloud, présentation de la société d’audit, responsabilités de l’auditeurs, limitations, opinion d’audit, conditions générales) et la déclaration du fournisseur Cloud.

 

SécuritéCloud, CatalogueC5