Glossaire · Cybersécurité UE BSI C5 (Cloud Computing Compliance Criteria Catalogue)
Norme de l'agence fédérale allemande de cybersécurité (BSI) définissant la base minimale de sécurité pour les services cloud destinés au secteur public allemand et aux industries régulées. Largement considérée comme l'équivalent allemand de SOC 2.
## Ce qu'est réellement le BSI C5
Le BSI C5 — Cloud Computing Compliance Criteria Catalogue — est la norme de sécurité cloud publiée par l'**Office fédéral allemand de la sécurité des technologies de l'information (Bundesamt für Sicherheit in der Informationstechnik, BSI)**. Publiée pour la première fois en 2016 (C5), révisée en 2020 (C5:2020), elle définit une base de sécurité complète pour les services cloud et le processus d'audit par lequel les fournisseurs peuvent démontrer leur conformité.
Le C5 est de portée similaire au SOC 2 (États-Unis) ou à l'ISO 27001/27017 (international), mais adapté aux **exigences légales et réglementaires allemandes**, et largement considéré comme la norme de fait de sécurité cloud pour les acheteurs allemands du secteur public et des industries régulées.
## Ce que couvre le BSI C5
Le C5:2020 comprend environ **125 contrôles** répartis sur 17 domaines, dont :
- Organisation de la sécurité de l'information
- Sécurité du personnel
- Gestion des actifs
- Sécurité physique
- Sécurité opérationnelle
- Gestion des identités et des accès
- Cryptographie
- Sécurité des communications
- Portabilité et interopérabilité
- Approvisionnement, développement et modification
- Contrôle et surveillance des fournisseurs et des sous-traitants
- Gestion des incidents
- Continuité d'activité
- Conformité
- Traitement des demandes d'enquête des autorités gouvernementales
- Sécurité et sûreté des produits
- Vie privée
Le domaine de contrôle relatif au traitement des demandes d'enquête est particulièrement important pour l'**évaluation de la souveraineté** — il traite de la manière dont le fournisseur gère les demandes de données émanant de gouvernements étrangers, point précis où l'exposition au [CLOUD Act](/fr/glossary/cloud-act/) américain devient visible.
## Comment fonctionnent les audits BSI C5
Le BSI C5 utilise un **modèle d'attestation** similaire à SOC 2 :
### Attestation de Type 1
L'auditeur vérifie que les contrôles sont conçus de manière appropriée à un instant donné. Coût plus faible ; plus rapide.
### Attestation de Type 2
L'auditeur vérifie que les contrôles ont fonctionné efficacement sur une période définie (généralement 6 à 12 mois). Plus rigoureuse ; c'est ce qu'attendent les acheteurs régulés.
Les audits sont réalisés par des auditeurs indépendants qualifiés par le BSI. Le rapport d'audit (C5 Attestation Report) est partagé sous confidentialité avec les clients du fournisseur.
## Pourquoi le BSI C5 compte
### 1. Accès au marché allemand
Pour les fournisseurs cloud souhaitant servir les entreprises allemandes, en particulier dans les industries régulées (banques sous BaFin, santé sous SGB, secteur public sous marchés fédéraux), l'attestation C5 est de fait requise.
### 2. Révèle l'exposition à la souveraineté
Le contrôle BC-01 du C5 (« Traitement des demandes d'enquête des autorités gouvernementales ») oblige les fournisseurs à documenter leur exposition au droit étranger. Cela rend les expositions au CLOUD Act, à la FISA 702 et autres lisibles et auditables.
### 3. Fondation pour l'EUCS
Le dispositif pan-européen de certification de cybersécurité [EUCS](/fr/glossary/eucs/) s'appuie largement sur le C5. Les fournisseurs attestés C5 seront bien positionnés pour l'EUCS.
### 4. Passerelle des standards internationaux vers les standards allemands
Le C5 s'aligne sur ISO 27001, ISO 27017, ISO 27018 et SOC 2. Les fournisseurs disposant de ces certifications peuvent généralement obtenir le C5 avec un effort incrémental.
## Fournisseurs notables attestés C5
Le C5 est largement détenu parmi les fournisseurs cloud européens et de plus en plus parmi les offres allemandes des hyperscalers :
### Fournisseurs européens avec C5
- **Hetzner** — alternative hyperscaler allemande
- **IONOS** — cloud et hébergement allemands
- **Open Telekom Cloud** — cloud de Deutsche Telekom
- **plusserver** — cloud managé allemand
- **STACKIT** — cloud entreprise du groupe Schwarz
- Divers fournisseurs allemands de services managés
### Hyperscalers
- **AWS** dispose de l'attestation C5 pour ses régions allemandes
- **Microsoft Azure** dispose du C5 pour ses offres allemandes
- **Google Cloud** dispose du C5 pour ses régions européennes
À noter : l'attestation C5 des hyperscalers ne résout pas l'exposition au CLOUD Act. Le C5 documente cette exposition ; il ne l'élimine pas.
## BSI C5 vs autres dispositifs
| Dispositif | Pays | Portée | Relation avec C5 |
|--------|---------|-------|-------|
| BSI C5 | Allemagne | Sécurité cloud | Cette norme |
| SecNumCloud | France | Sécurité cloud + souveraineté | Plus stricte sur la souveraineté |
| [Cloud de Confiance](/fr/glossary/cloud-de-confiance/) | France | Enveloppe de souveraineté | S'appuie sur SecNumCloud |
| SOC 2 | États-Unis/international | Sécurité générale | Recouvrement important |
| ISO 27001/27017 | International | Sécurité de l'information | Le C5 s'y appuie |
| EUCS (projet) | UE | Cybersécurité cloud pan-européenne | Intègre probablement des éléments du C5 |
## Ce que le BSI C5 signifie en pratique
### Pour les acheteurs allemands
L'attestation C5 est le signal minimal crédible de sécurité cloud. L'attestation de Type 2 est l'attente du marché.
### Pour les fournisseurs cloud européens
Le C5 vaut l'investissement : l'audit est rigoureux et coûteux, mais il ouvre le marché allemand.
### Pour les SaaS transfrontaliers
Si vous êtes un SaaS européen servant des entreprises allemandes, votre infrastructure cloud a besoin du C5, même si vous ne l'avez pas directement — votre fournisseur doit l'avoir.
### Pour l'évaluation de la souveraineté
Le C5 seul n'est pas une certification de souveraineté. L'équivalent allemand est un travail distinct du BSI sur les critères de souveraineté cloud, qui s'appuie sur le C5 et ajoute des exigences de juridiction de contrôle.
## Ce que 2026-2027 apporte
- **Révision C5:2025** — mises à jour périodiques alignées sur les travaux NIS2 et EUCS
- **Finalisation de l'EUCS** — si et lorsque l'EUCS aboutit, les fournisseurs attestés C5 seront probablement avantagés
- **Exigences accrues des acheteurs** — les entreprises allemandes demandent de plus en plus un C5 de Type 2 et une analyse explicite du CLOUD Act
- **Offres souveraines des hyperscalers** — attestation C5 étendue à des régions hyperscalers souveraines dédiées
## Implications pratiques
Pour la plupart des acheteurs européens de technologie :
- **Si vous servez des entreprises allemandes** : votre fournisseur cloud a besoin du C5
- **Si vous évaluez des fournisseurs cloud européens** : l'attestation C5 est un signal de qualité significatif
- **Si vous évaluez la souveraineté** : le C5 documente l'exposition mais ne l'élimine pas — regardez au-delà du C5, jusqu'à la structure juridique
- **Si vous êtes un acheteur public ou d'une industrie régulée allemande** : cela affecte directement vos achats
Pour les choix SaaS du quotidien, le statut C5 de l'infrastructure cloud de vos fournisseurs constitue généralement une base adéquate de diligence raisonnable.
Cela vous a-t-il été utile ?
Merci pour votre retour !