Le catalogue C5
L’agence fédérale allemande de cybersécurité BSI est à l’origine du catalogue C5 (Cloud Computing Compliance Criteria Catalogue), à l’instar de SecNumCloud pour la France. Le BSI a publié la première version de ce catalogue en 2016 pour évaluer la sécurité des services de Cloud. Outre les bonnes pratiques régulièrement mises à jour par le BSI (IT-GrundschutzKompendium), les référentiels ISO 27001, ISO 27002, ISO 27017 et CCM ont servi de base pour établir le catalogue C5. Il a fait l’objet d’une nouvelle version en 2020. Les principaux changements concernent DevOps, le règlement européen Cybersecurity Act, les modalités d’enquêtes administratives et judiciaires, les exigences clients, les audits. Le fournisseur de Cloud peut associer l’audit de conformité à d’autres démarches comme ISAE 3402 par exemple.