Certification de sécurité cloud BSI C5 : Ce que les institutions financières doivent savoir
Introduction
Lorsqu'une banque allemande déplace des charges de travail vers le cloud, elle se confronte à une question à laquelle la plupart des cadres de conformité centrés sur les États-Unis ne répondent pas adéquatement : Ce fournisseur de cloud respecte-t-il les normes de sécurité attendues par les autorités fédérales allemandes ? Le BSI C5 -- Catalogue des critères de conformité en cloud computing -- existe précisément pour répondre à cette question. Publié par le Bundesamt für Sicherheit in der Informationstechnik (BSI), le C5 est devenu la norme de facto pour évaluer les fournisseurs de services cloud opérant dans ou servant le marché allemand.
Pour les institutions financières supervisées par BaFin, le C5 n'est pas simplement une certification souhaitable. Il est devenu un prérequis pratique pour l'adoption du cloud, mentionné directement dans les attentes de supervision de BaFin et de plus en plus exigé dans les processus d'approvisionnement. Avec DORA (Règlement (UE) 2022/2554) désormais en vigueur et son article 28 imposant des exigences strictes aux fournisseurs de services tiers en TIC, l'alignement entre le C5 et les attentes réglementaires européennes n'a jamais été aussi pertinent. Cet article explique ce que couvre le C5, qui en a besoin, comment ses 17 domaines d'exigences correspondent aux obligations du secteur financier, et comment l'automatisation peut réduire le fardeau de la collecte continue de preuves C5.
Qu'est-ce que le BSI C5 ?
Le Catalogue des critères de conformité en cloud computing (C5) a été publié pour la première fois par le BSI en 2016 et mis à jour de manière substantielle en 2020 (C5:2020). Il définit un ensemble d'exigences minimales de sécurité que les fournisseurs de services cloud doivent respecter, organisées en 17 domaines couvrant tout, de la sécurité organisationnelle à la gestion de la chaîne d'approvisionnement. Contrairement à l'ISO 27001, qui certifie un système de gestion de la sécurité de l'information (ISMS), le C5 est spécifiquement conçu pour les environnements cloud et nécessite un rapport d'attestation d'un auditeur indépendant -- généralement structuré comme un rapport de type I ou II de style SOC 2 sous ISAE 3402 ou ISAE 3000.
Le BSI a développé le C5 car les normes internationales existantes ne répondaient pas pleinement aux préoccupations spécifiques en matière de sécurité du cloud computing dans le contexte réglementaire allemand et européen. Le C5 intègre des exigences de l'ISO 27001, de l'ISO 27017, de l'ISO 27018, et de la Cloud Security Alliance's Cloud Controls Matrix (CCM), mais ajoute des contrôles spécifiques à l'Allemagne concernant la transparence de la localisation des données, la juridiction et la coopération avec les autorités de supervision.
Un rapport d'attestation C5 est structuré autour de deux catégories de critères : les critères de base (Basiskriterien) que chaque fournisseur de cloud doit respecter, et des critères supplémentaires (Zusatzkriterien) qui traitent des exigences de sécurité accrues. Les institutions financières doivent généralement s'attendre à ce que leurs fournisseurs de cloud satisfassent les deux ensembles de critères.
La distinction entre le C5 et l'ISO 27001 est importante. L'ISO 27001 certifie qu'une organisation dispose d'un ISMS en place, mais ne traite pas spécifiquement des risques liés au cloud tels que la multi-location, la portabilité des données ou la transparence concernant les sous-traitants. Le C5 comble cette lacune. De nombreux fournisseurs de cloud détiennent les deux certifications, et pour les institutions financières allemandes, les deux sont généralement attendues -- mais le C5 est celui qui répond spécifiquement aux attentes de supervision liées au cloud de BaFin telles que décrites dans les Bankaufsichtliche Anforderungen an die IT (BAIT) et ses exigences successeurs sous DORA.
Les 17 domaines d'exigences
Le C5:2020 organise ses critères en 17 domaines. Chaque domaine contient des contrôles spécifiques qui doivent être mis en œuvre et prouvés. Voici ce que les institutions financières doivent comprendre sur chacun :
1. Organisation de la sécurité de l'information (OIS) : Établit le cadre de gouvernance pour la sécurité cloud, y compris les rôles, les responsabilités et les politiques de sécurité. Exige une fonction de sécurité de l'information dédiée.
2. Politiques de sécurité (SP) : Mandate des politiques de sécurité documentées qui sont régulièrement examinées et approuvées par la direction. Les politiques doivent couvrir tous les aspects de la prestation de services cloud.
3. Ressources humaines (HR) : Couvre les vérifications des antécédents, la formation à la sécurité et les procédures de licenciement pour le personnel ayant accès à l'infrastructure cloud.
4. Gestion des actifs (AM) : Exige un inventaire de tous les actifs impliqués dans la prestation de services cloud, y compris les procédures de classification et de traitement.
5. Sécurité physique (PS) : Traite de la sécurité physique des centres de données, y compris les contrôles d'accès, les protections environnementales et la sécurité des équipements. Pour les institutions financières allemandes, c'est ici que la localisation des centres de données devient critique.
6. Gestion des opérations (OPS) : Couvre la gestion des changements, la planification de la capacité, la protection contre les logiciels malveillants et les procédures de sauvegarde pour les opérations cloud.
7. Gestion des identités et des accès (IDM) : Exige des mécanismes d'authentification, d'autorisation et de contrôle d'accès robustes, y compris l'authentification multi-facteurs et la gestion des accès privilégiés.
8. Cryptographie (CRY) : Mandate des normes de cryptage pour les données au repos et en transit, des procédures de gestion des clés, et la conformité aux directives techniques du BSI sur les algorithmes cryptographiques.
9. Sécurité des communications (COS) : Traite de la sécurité du réseau, de la segmentation et de la surveillance pour les environnements cloud.
10. Portabilité et interopérabilité (PI) : Exige des fournisseurs qu'ils soutiennent la portabilité des données et évitent le verrouillage des fournisseurs -- un domaine unique au C5 qui reflète les préoccupations européennes en matière de souveraineté des données.
11. Approvisionnement et chaîne d'approvisionnement (PSC) : Couvre la gestion des sous-traitants, y compris la diligence raisonnable, les exigences contractuelles et la surveillance continue de la chaîne d'approvisionnement.
12. Conformité (COM) : Assure le respect des obligations légales, réglementaires et contractuelles, y compris les exigences de protection des données en vertu du GDPR.
13. Gestion des incidents de sécurité (SIM) : Mandate des procédures de détection, de réponse et de notification des incidents, y compris les obligations de notification.
14. Continuité des activités (BCM) : Exige une planification de la continuité des activités, des tests de reprise après sinistre et des mesures de résilience pour les services cloud.
15. Développement de systèmes (DEV) : Traite des pratiques de développement sécurisé, y compris le codage sécurisé, les tests et la gestion des changements pour les applications cloud.
16. Journalisation et surveillance (LOG) : Exige une journalisation complète des événements pertinents en matière de sécurité et un examen régulier des journaux, une exigence critique pour les institutions financières soumises aux attentes de BaFin en matière de pistes de vérification.
17. Audit et assurance (AUA) : Établit le cadre pour des audits indépendants et une assurance continue de la conformité C5.
Pour les institutions financières, les domaines les plus scrutés sont généralement la Sécurité physique (PS), la Gestion des identités et des accès (IDM), la Journalisation et la surveillance (LOG), et l'Approvisionnement et la chaîne d'approvisionnement (PSC), car ceux-ci s'alignent directement sur les domaines de focus de supervision de BaFin.
Relation avec DORA et d'autres cadres
L'introduction de DORA a rendu le C5 plus pertinent que jamais pour les institutions financières allemandes. L'article 28 de DORA exige que les entités financières évaluent le risque TIC posé par les fournisseurs de services tiers et s'assurent que les arrangements contractuels incluent des dispositions pour la sécurité, les droits d'audit et les stratégies de sortie. Les rapports d'attestation C5 fournissent précisément le type de preuve dont les institutions financières ont besoin pour démontrer leur conformité à ces exigences.
Plus précisément, l'article 28(2) de DORA exige que les fournisseurs de services tiers en TIC maintiennent "des normes de sécurité de l'information appropriées." Un rapport d'attestation C5 de type II actuel est une preuve solide de la conformité à cette norme. L'article 28(7) de DORA exige en outre que les contrats avec les fournisseurs tiers en TIC incluent des dispositions sur la localisation des données, les droits d'audit et la notification des incidents -- toutes abordées dans les domaines d'exigences du C5.
La relation entre le C5 et d'autres cadres est complémentaire plutôt que duplicative. L'ISO 27001 fournit la base de l'ISMS, le C5 ajoute des contrôles spécifiques au cloud, le DORA ajoute des exigences spécifiques au secteur financier pour la gestion des risques tiers, et le NIS2 (tel qu'implémenté en Allemagne par le NIS2-Umsetzungsgesetz) ajoute des exigences pour les opérateurs de services essentiels. Une institution financière utilisant un fournisseur de cloud qui détient des attestations C5, ISO 27001 et SOC 2 dispose d'une solide base pour répondre simultanément à plusieurs exigences réglementaires.
Le précédent circulaire BAIT de BaFin (Bankaufsichtliche Anforderungen an die IT) faisait explicitement référence au C5 comme référence pour évaluer les fournisseurs de cloud. Bien que le BAIT soit en train d'être remplacé par les normes techniques d'application (ITS) et les normes techniques réglementaires (RTS) de DORA, l'attente pratique que les fournisseurs de cloud détiennent une attestation C5 n'a pas diminué. Si quoi que ce soit, l'accent accru de DORA sur le risque tiers en TIC a renforcé l'importance du C5.
Automatisation de la conformité avec Matproof
Gérer la conformité C5 manuellement est un processus gourmand en ressources. Une attestation C5 de type II typique nécessite une collecte continue de preuves à travers tous les 17 domaines sur une période d'observation d'au moins six mois. Pour les institutions financières qui travaillent avec plusieurs fournisseurs de cloud, le volume de preuves à collecter, examiner et maintenir peut être écrasant.
Matproof automatise les aspects les plus laborieux de la conformité C5. La plateforme se connecte à votre infrastructure cloud -- que ce soit AWS, Azure ou GCP -- et collecte en continu des preuves mappées aux domaines d'exigences C5. Cela inclut des instantanés de configuration pour les domaines de la Sécurité physique et de la Gestion des identités et des accès, des journaux d'audit pour le domaine de la Journalisation et de la surveillance, et la vérification de l'état de cryptage pour le domaine de la Cryptographie.
Parce que Matproof est conçu pour les services financiers européens avec une résidence de données 100 % UE dans des centres de données allemands, la plateforme elle-même satisfait aux attentes de souveraineté des données que le C5 a été conçu pour aborder. Les preuves sont stockées, traitées et mises à disposition pour audit en Allemagne, éliminant les préoccupations concernant les transferts de données vers des pays tiers.
Matproof mappe également les contrôles C5 aux exigences qui se chevauchent dans DORA, ISO 27001 et NIS2. Cela signifie que les preuves collectées pour la conformité C5 peuvent simultanément satisfaire les exigences de documentation de l'article 28 de DORA, des contrôles de l'annexe A de l'ISO 27001 et des mesures de sécurité NIS2, réduisant ainsi l'effort de conformité total à travers les cadres.
Feuille de route de mise en œuvre
Semaines 1-2 : Inventaire et définition du périmètre. Identifier tous les fournisseurs de services cloud utilisés, les services qu'ils fournissent et quels domaines C5 s'appliquent à chaque fournisseur. Déterminer si vos fournisseurs détiennent déjà une attestation C5 et examiner le périmètre de leurs rapports d'attestation.
Semaines 3-4 : Analyse des écarts. Comparer vos contrôles de sécurité cloud actuels aux exigences C5:2020. Se concentrer d'abord sur les critères de base, puis évaluer les critères supplémentaires. Porter une attention particulière au domaine de la Portabilité et de l'Interopérabilité (PI), car ce domaine est souvent négligé mais devient de plus en plus important pour les exigences de stratégie de sortie de DORA.
Semaines 5-8 : Remédiation et collecte de preuves. Traiter les écarts identifiés et établir une collecte de preuves automatisée. Configurer la surveillance pour les contrôles pertinents au C5 et commencer à constituer votre référentiel de preuves. C'est ici qu'une plateforme comme Matproof apporte le plus de valeur, en automatisant la collecte de preuves de configuration, de journaux d'accès et de métriques de sécurité.
Semaines 9-12 : Validation et préparation à l'audit. Effectuer un examen interne des preuves collectées contre tous les 17 domaines. Se préparer à l'audit d'attestation externe en organisant les preuves dans la structure attendue par l'auditeur. Engager votre cabinet d'audit choisi tôt pour s'aligner sur le périmètre et les attentes.
En continu : Surveillance continue. L'attestation C5 de type II nécessite des preuves sur une période d'observation. Établir une surveillance continue pour s'assurer que les contrôles restent efficaces et que les preuves continuent d'être collectées. Planifier une ré-attestation annuelle et maintenir votre référentiel de preuves tout au long de l'année.
FAQ
Qui a besoin de la certification BSI C5 -- le fournisseur de cloud ou l'institution financière ?
L'attestation C5 est obtenue par le fournisseur de services cloud, et non par l'institution financière. Cependant, les institutions financières sont responsables de s'assurer que leurs fournisseurs de cloud détiennent une attestation C5 actuelle et que le périmètre de l'attestation couvre les services qu'elles consomment. En vertu de l'article 28 de DORA, les entités financières doivent évaluer et documenter la posture de sécurité de leurs fournisseurs tiers en TIC, et l'attestation C5 est l'un des principaux outils pour ce faire.
Quelle est la différence entre l'attestation C5 de type I et de type II ?
Une attestation de type I évalue la conception des contrôles à un moment donné. Une attestation de type II évalue à la fois la conception et l'efficacité opérationnelle des contrôles sur une période d'observation, généralement de six à douze mois. Pour les institutions financières, le type II est la norme attendue, car il fournit l'assurance que les contrôles ne sont pas seulement conçus de manière appropriée mais fonctionnent effectivement comme prévu au fil du temps. Les attentes de supervision de BaFin exigent effectivement une attestation de type II pour les arrangements d'externalisation cloud matériels.
Comment le C5 se rapporte-t-il aux exigences de DORA pour les fournisseurs tiers en TIC ?
Le C5 fournit un cadre structuré et audité indépendamment pour évaluer la sécurité des fournisseurs de cloud -- précisément ce que l'article 28 de DORA exige des entités financières. Bien que DORA ne mandate pas explicitement le C5, l'attestation couvre pratiquement toutes les exigences liées à la sécurité que DORA impose aux arrangements tiers en TIC. En pratique, les superviseurs de BaFin s'attendent à ce que les institutions financières s'appuient sur des normes reconnues comme le C5 lors de l'évaluation des fournisseurs de cloud.
Une seule attestation C5 peut-elle couvrir plusieurs exigences réglementaires ?
Oui. Les contrôles C5 se chevauchent considérablement avec les exigences de l'ISO 27001, du SOC 2 et de DORA. Le mappage inter-cadres de Matproof permet de réutiliser les preuves collectées pour le C5 pour la documentation de l'article 28 de DORA, les contrôles de l'annexe A de l'ISO 27001 et les mesures de sécurité NIS2, réduisant ainsi considérablement la charge de conformité totale à travers les cadres.