Le BSI met à jour la norme de sécurité cloud C5:2026 : Exigences plus strictes et cryptographie post-quantique

Auteur : heise.de Source : heise.de

Mode rédactionnel : CLARUS_ANALYSIS Recommandation d'indexation : INDEX Langue/Rôle : FULL_ANALYSIS Date de vérification des faits : 2025

Résumé

L'Office fédéral allemand pour la sécurité de l'information (BSI) a publié la version mise à jour du catalogue de critères C5:2026. La norme définit les exigences minimales pour un cloud computing sécurisé et remplace la version de 2020. C5 est considéré comme la norme de référence pour les autorités allemandes, les prestataires de services financiers, les banques et le secteur de la santé. La nouvelle version contient des spécifications plus précises sur la gestion des conteneurs et des réglementations complètes concernant la cryptographie post-quantique. Le catalogue sera disponible pour la première fois dans un format lisible par machine.

Personnes

• Claudia Plattner (Présidente du BSI)
• Thomas Caspers (Vice-président du BSI)

Thèmes

• Sécurité du cloud
• Cryptographie
• Normes de conformité
• Souveraineté numérique

Clarus Lead

La mise à jour aborde les défis centraux du secteur : la cryptographie post-quantique devient la norme, tandis que la gestion des conteneurs est soumise à une réglementation beaucoup plus stricte. Pour les organisations dans les secteurs réglementés (santé, finances, administration publique), de nouvelles exigences de conformité en découleront. Le BSI prévoit en outre un cadre indépendant de critères de souveraineté, qui signale une charge d'examen double – une réaction aux débats croissants sur la protection des données et la géopolitique.

Résumé détaillé

Améliorations structurelles et lisibilité par machine

La structure révisée avec sous-critères et critères supplémentaires apporte de la clarté à l'examen et à l'évaluation. Pour la première fois, le catalogue sera fourni dans un format lisible par machine, ce qui devrait faciliter les processus d'automatisation pour les fournisseurs de cloud et les organismes de contrôle. Cependant, le problème fondamental demeure : la certification officielle est coûteuse et donc réaliste à mettre en œuvre principalement pour les grandes entreprises établies.

Cryptographie post-quantique et spécifications techniques

Le chapitre 5.8 de la nouvelle norme réglemente de manière complète la cryptographie post-quantique. Les fournisseurs de cloud doivent utiliser des procédures hybrides pour renforcer les procédures prévisiblement faibles. Le BSI a tenu compte des retours de la communauté au cours des cinq dernières années, notamment des exigences déjà définies dans les coopérations cloud bilatérales avec les fournisseurs européens et américains. Au-delà du chiffrement, C5:2026 régule également la gestion des conteneurs de manière beaucoup plus précise que la version antérieure – un domaine critique pour les infrastructures cloud modernes.

Exigences juridiques et organisationnelles

Le catalogue oblige les fournisseurs de cloud à exposer de manière transparente à quelle juridiction ils sont soumis, ainsi que leurs sociétés mères. Les demandes de données par les autorités doivent être entièrement documentables. Les définitions centrales (zones, partitions, emplacements) sont établies de manière contraignante pour éliminer les incertitudes d'interprétation. Le BSI prévoit la publication rapide de critères de souveraineté supplémentaires qui lieront les solutions cloud à l'indépendance politique.

Messages clés

• C5:2026 renforce les normes de sécurité du cloud computing en Allemagne avec des exigences spécifiques concernant la cryptographie post-quantique et la gestion des conteneurs
• Les formats lisibles par machine permettent l'automatisation, mais ne réduisent pas la complexité globale de la certification
• Les critères de souveraineté en préparation indiquent une priorisation politique de la protection des données et de l'indépendance européenne dans les infrastructures cloud

Questions critiques

1. Qualité des preuves : Sur quelles études ou incidents la priorisation de la cryptographie post-quantique dans C5:2026 est-elle basée ? Un horizon temporel concret pour la menace des ordinateurs quantiques a-t-il été établi ?

2. Coûts de mise en œuvre : Comment le BSI aborder-t-il le problème reconnu selon lequel les coûts de certification excluent les petits fournisseurs et renforcent ainsi la concentration du marché ?

3. Causalité : Dans quelle mesure les nouveaux critères de souveraineté constituent-ils une mesure de sécurité technique et dans quelle mesure une réaction politique aux tensions géopolitiques – où se trace la limite ?

4. Interopérabilité : Comment C5:2026 sera-t-il harmonisé avec les normes internationales (ISO 27001, conformité AWS/Azure), en particulier dans les configurations cloud hybride et multi-fournisseur ?

5. Surveillance : Quels mécanismes C5:2026 prévoit-il pour empêcher les fournisseurs de ne respecter les exigences de conformité que sur le papier ?

6. Limites de la lisibilité par machine : Le format lisible par machine réduit-il réellement la charge d'examen, ou déplace-t-il simplement la complexité vers l'interprétation de la sortie machine ?

Références

Source primaire : Le BSI met à jour la norme de sécurité cloud C5:2026 – https://www.heise.de/news/BSI-Kriterienkatalog-fuer-Cloud-Computing-C5-verlangt-mehr-11247015.html

Statut de vérification : ✓ 2025

Ce texte a été créé avec l'aide d'un modèle d'IA. Responsabilité éditoriale : clarus.news | Vérification des faits : 2025