ConformScan
Démarrer gratuitement →
BSI C5AuditCloud SecurityGermany

Préparation à l'audit BSI C5 : Guide étape par étape pour les équipes cloud

Comment se préparer à un audit BSI C5 en 2025 — les contrôles importants, ce que vérifient les auditeurs et comment générer les preuves automatiquement.

24 mars 2025·9 min de lecture·
ConformScan

Le BSI C5 (Cloud Computing Compliance Criteria Catalogue) est la norme fédérale allemande pour la sécurité cloud. Conçu à l'origine pour les fournisseurs de services cloud, il est de plus en plus exigé dans les appels d'offres d'entreprises et est référencé dans les directives d'implémentation NIS2 en Allemagne. Ce guide explique ce que les audits C5 vérifient et comment vous préparer efficacement.

Qu'est-ce que le BSI C5 ?

Publié par l'Office fédéral allemand de la sécurité des technologies de l'information (BSI), le C5 définit 17 domaines de contrôle couvrant les exigences de sécurité pour les services cloud. Deux niveaux d'attestation existent :

  • Type 1 : Évaluation ponctuelle — confirme que les contrôles sont conçus de manière appropriée
  • Type 2 : Évaluation sur une période (typiquement 6-12 mois) — confirme que les contrôles fonctionnent efficacement dans le temps

Le Type 2 est requis pour la plupart des contrats du secteur public et est de plus en plus attendu par les acheteurs d'entreprises allemands.

Les 17 domaines de contrôle C5

C5 2020 couvre :

  1. Organisation de la sécurité de l'information (OIS)
  2. Politiques de sécurité (SP)
  3. Ressources humaines (HR)
  4. Gestion des actifs (AM)
  5. Sécurité physique (PS)
  6. Sécurité des opérations (OS)
  7. Gestion des identités et des accès (IAM)
  8. Cryptographie et gestion des clés (CKM)
  9. Sécurité des communications (CS)
  10. Portabilité et interopérabilité (PI)
  11. Disponibilité des services (AVL)
  12. Gestion des incidents (IM)
  13. Achats, développement et maintenance (PDM)
  14. Conformité (CO)
  15. Politiques de sécurité de l'information pour les fournisseurs (SSO)
  16. Tests de sécurité (ST)
  17. Tests de pénétration (PT)

Les contrôles d'infrastructure que les auditeurs vérifient en premier

Les auditeurs C5 se concentrent intensément sur ces domaines lors de l'examen des infrastructures cloud :

IAM (C5-IAM)

  • MFA imposé pour les comptes privilégiés
  • Accès privilégié géré via des outils PAM ou élévation temporaire
  • Revues IAM effectuées au moins trimestriellement
  • Les comptes de service suivent le principe du moindre privilège
  • Accès révoqué immédiatement lors du départ d'un employé

Cryptographie (C5-CKM)

  • Chiffrement au repos pour toutes les données classifiées confidentielles
  • Rotation des clés KMS activée (minimum annuel)
  • TLS 1.2+ imposé partout
  • Pas de suites de chiffrement obsolètes (SSLv3, TLS 1.0, TLS 1.1)
  • Clés KMS gérées par le client pour les données hautement sensibles

Sécurité des opérations (C5-OS)

  • CloudTrail multi-région, validation des fichiers journaux activée
  • Gestion centralisée des journaux avec protection contre la falsification
  • Processus de gestion des changements pour l'infrastructure (IaC, pas de modifications manuelles)
  • Scan de vulnérabilités sur tous les workloads EC2 et conteneurs
  • Gestion des correctifs dans des SLA définis

Disponibilité (C5-AVL)

  • RDS Multi-AZ activé pour la production
  • Sauvegardes automatiques avec procédures de restauration testées
  • Rétention des sauvegardes ≥ 30 jours pour les données réglementées
  • Recovery Time Objective (RTO) et Recovery Point Objective (RPO) documentés

Collecte de preuves : le plus grand goulot d'étranglement des audits

La partie la plus difficile d'un audit C5 n'est pas les contrôles eux-mêmes — c'est la collecte de preuves qu'ils fonctionnent. Les auditeurs ont besoin d'exports de configuration, d'échantillons de journaux, de registres de revue d'accès et plus encore. La collecte manuelle prend des semaines.

ConformScan automatise la collecte de preuves en exécutant 193+ vérifications sur votre infrastructure AWS et en générant un rapport PDF structuré mappé aux domaines de contrôle BSI C5. Vous obtenez :

  • Statut réussi/échoué pour chaque contrôle pertinent C5
  • Historique de scan horodaté comme preuve d'audit Type 2
  • Rapports en langue allemande acceptés par les auditeurs certifiés BSI
  • Code de remédiation (Terraform/CLI) pour chaque finding

Calendrier : combien de temps dure un audit C5 ?

  • Préparation : 2-6 mois (documentation, remédiation des écarts)
  • Évaluation Type 1 : 2-4 semaines
  • Période d'évaluation Type 2 : 6-12 mois de collecte de preuves
  • Revue auditeur et rapport : 4-8 semaines

Commencer tôt avec le scanning automatisé vous donne une piste de preuves continue — rendant l'évaluation Type 2 bien plus rapide et économique.

BSI C5 vs ISO 27001 vs NIS2

Ces frameworks se chevauchent considérablement. BSI C5 s'aligne étroitement avec les contrôles de l'Annexe A ISO 27001 et satisfait la plupart des exigences de l'article 21 NIS2. Les entreprises poursuivant les trois peuvent utiliser le scanning multi-framework de ConformScan pour identifier les lacunes dans tous les standards simultanément.

Prêt à analyser votre infrastructure ?

1 scan gratuit/mois · Sans carte bancaire · Résultats en moins de 2 minutes · Hébergé en Allemagne

Démarrer gratuitement →

Autres guides conformité

NIS2AWS

Checklist NIS2 pour AWS : Le guide complet 2025

8 min de lecture

GDPRDSGVO

Sécurité cloud RGPD/DSGVO : Ce que les utilisateurs AWS & Azure doivent corriger en 2025

7 min de lecture

Préparation à l'audit BSI C5 : Guide étape par étape pour les équipes cloud | ConformScan Blog