Le BSI met à jour la norme de sécurité cloud C5:2026 : Nouvelles exigences en matière de chiffrement et de gestion des conteneurs

Auteur : heise.de Source : heise.de

Mode éditorial : CLARUS_ANALYSIS Recommandation d'indexation : INDEX Langue/Rôle : FULL_ANALYSIS Date de vérification des faits : 2024

Résumé exécutif

L'Office fédéral allemand pour la sécurité de l'information (BSI) a publié son catalogue de critères C5 pour le cloud computing sécurisé dans sa version mise à jour C5:2026. La norme remplace la version 2020 et définit les exigences minimales pour les services cloud en Allemagne. C5 est obligatoire par la loi dans le secteur de la santé, le secteur financier et auprès des autorités publiques. La nouvelle version durcit les dispositions concernant la gestion des conteneurs et la cryptographie post-quantique. Le BSI fournira le catalogue pour la première fois également dans un format lisible par machine.

Personnes

• Claudia Plattner (Présidente du BSI)
• Thomas Caspers (Vice-président du BSI)

Thèmes

• Sécurité cloud et protection des données
• Cryptographie post-quantique
• Régulation informatique et conformité
• Automatisation des audits de sécurité

Analyse Clarus

C5:2026 répond aux scénarios de menaces modifiés dans le cloud computing, notamment en raison de l'importance croissante de la cryptographie post-quantique. Pour les entreprises et les organismes publics, la charge de conformité s'alourdit : les nouvelles dispositions détaillées concernant la gestion des conteneurs et le chiffrement exigent des ajustements techniques considérables. L'introduction de formats lisibles par machine signale un changement vers des processus de conformité automatisés – mais reste coûteuse pour les petits fournisseurs.

Résumé détaillé

Le catalogue mis à jour concrétise les concepts centraux tels que « zone », « partition » et « localisation » dans le fonctionnement du cloud et crée ainsi une base de définition fiable pour tous les acteurs. La présidente du BSI, Claudia Plattner, qualifie C5:2026 de « norme contemporaine et applicable dans la pratique » – une évaluation soutenue par le fait que nombre des nouvelles dispositions ont déjà été testées dans des coopérations cloud bilatérales du BSI avec des fournisseurs européens et américains.

Le chapitre 5.8 est consacré explicitement à la cryptographie post-quantique et définit des procédures hybrides pour renforcer les normes de chiffrement prévisiblement faibles. Parallèlement aux exigences organisationnelles et juridiques (droit applicable, localité des données, obligations de divulgation), la nouvelle version contient des critères de sécurité complets, de la protection des données clients à la gestion des incidents. Les dispositions concernant la gestion des conteneurs ont été particulièrement durcies.

Le vice-président du BSI, Thomas Caspers, souligne que la structure révisée avec sous-critères et critères supplémentaires « crée plus de clarté dans les tests, l'attribution et l'évaluation ». La fourniture dans un format lisible par machine est une première et devrait simplifier les processus d'automatisation. Le BSI annonce en outre qu'il publiera des critères de souveraineté généraux supplémentaires pour les solutions de cloud computing.

Un problème structurel persiste : la certification officielle selon C5 est coûteuse et complexe – un obstacle particulièrement pour les petits fournisseurs.

Points clés

• C5:2026 remplace la version 2020 et devient la norme pour la régulation de la sécurité cloud allemande
• La cryptographie post-quantique et le chiffrement hybride sont désormais explicitement intégrés au catalogue
• La gestion des conteneurs subit un durcissement significatif ; les formats lisibles par machine permettent l'automatisation
• Les coûts de certification restent un obstacle à l'entrée sur le marché pour les petits fournisseurs

Questions critiques

1. Preuve/Qualité des données : Sur quelle base le BSI a-t-il défini les seuils techniques concrets pour les procédures hybrides post-quantiques ? Quels rapports ou normes ont été pris en compte ?

2. Conflits d'intérêts : Dans quelle mesure les coopérations bilatérales déjà menées avec des fournisseurs cloud individuels influencent-elles la neutralité des critères C5 ?

3. Causalité/Alternatives : Pourquoi la version lisible par machine n'a-t-elle pas été introduite dès C5:2020 ? Quels obstacles techniques ou organisationnels existaient à l'époque ?

4. Faisabilité/Risques : Quel délai de transition les titulaires de certifications existantes reçoivent-ils pour migrer de C5:2020 à C5:2026 ? Existe-t-il un risque d'interruption d'exploitation ?

5. Conflits d'intérêts : Les auditeurs de certification et les sociétés de conseil en bénéficient-ils de manière disproportionnée à partir de la complexité accrue du nouveau standard ?

6. Preuve : Disposez-vous de métriques montrant combien de fournisseurs cloud n'ont pas respecté la version 2020 ? Comment le succès de C5:2026 sera-t-il mesuré ?

Bibliographie

Source primaire : Catalogue de critères du BSI pour le cloud computing : C5 en demande davantage – heise online

Statut de vérification : ✓ 2024

Ce texte a été créé avec l'aide d'un modèle d'IA. Responsabilité éditoriale : clarus.news | Vérification des faits : 2024