Sécurité de l'information

Guide pratique de l'attestation C5 pour les fournisseurs cloud

Ce qu'est l'attestation C5, comment se déroule le processus et comment l'obtenir sans travail manuel fastidieux.

Auteur
Andy Mura
Date
8.7.2026
Mis à jour le
8.7.2026
Guide pratique de l'attestation C5 pour les fournisseurs cloud

L'attestation C5 est devenue le ticket d'entrée pour les fournisseurs cloud qui veulent vendre au secteur public allemand, aux services financiers et à d'autres secteurs réglementés. Si vous exploitez un service cloud et que vous visez de grands clients allemands, l'attestation selon le Cloud Computing Compliance Criteria Catalogue est difficile à contourner. Dans ce guide, nous vous expliquons concrètement ce qu'est l'attestation C5, comment se déroule l'audit et comment réduire fortement l'effort nécessaire.

Le catalogue de critères provient de l'Office fédéral allemand de la sécurité des technologies de l'information et s'est imposé comme la norme de fait pour la sécurité du cloud dans l'espace germanophone depuis son introduction en 2016. Loin d'une simple promesse marketing, l'attestation offre à vos clients un rapport examiné de façon indépendante, prouvant que vos mesures de sécurité fonctionnent réellement.

Qu'est-ce que l'attestation C5 ?

L'attestation C5 est un rapport délivré par un auditeur indépendant qui confirme qu'un fournisseur cloud satisfait aux exigences de sécurité du catalogue de critères du BSI. « C5 » signifie Cloud Computing Compliance Criteria Catalogue, et l'attestation est l'opinion formelle rendue par le cabinet d'audit.

La formulation a son importance. Il ne s'agit pas d'une certification classique comme la certification ISO 27001, où un organisme de certification délivre un certificat. Le C5 est une attestation réalisée selon les normes d'assurance ISAE 3000 ou IDW PS 951. L'auditeur émet une opinion professionnelle sur la conception adéquate de vos contrôles et sur leur efficacité opérationnelle.

Le catalogue actuel, publié sous le nom de C5:2020, couvre 17 domaines thématiques totalisant environ 121 critères. Ceux-ci vont de l'organisation de la sécurité de l'information à la sécurité physique, en passant par l'exploitation, la gestion des identités et le traitement des incidents. La structure complète est présentée dans la documentation officielle du BSI sur le catalogue de critères.

Une caractéristique déterminante de l'attestation C5 est la description du système. Le fournisseur décrit lui-même en détail la construction de son service cloud et les mesures mises en place. L'auditeur évalue ensuite si cette description est exacte et si les contrôles sont efficaces. Cette transparence est précisément ce dont les clients réglementés ont besoin pour leur propre évaluation des risques.

Pourquoi l'attestation C5 est importante pour les fournisseurs cloud

La principale raison est l'accès au marché. Sans attestation C5, de nombreux appels d'offres du secteur public et contrats dans les secteurs réglementés vous sont de fait fermés. Les administrations et les grandes entreprises considèrent de plus en plus ce rapport comme une exigence minimale.

L'attestation vous procure aussi un avantage de confiance mesurable. Plutôt que de répondre un par un aux questionnaires de sécurité de chaque prospect, vous présentez un rapport examiné de façon indépendante. Cela raccourcit les cycles de vente et réduit la lassitude liée aux audits des deux côtés. Notre plateforme d'automatisation de la conformité est conçue pour vous décharger de ce travail récurrent.

Vient ensuite le recoupement réglementaire. Une attestation C5 se combine bien avec d'autres obligations d'assurance, comme les exigences issues de NIS2, de DORA ou de règles de supervision sectorielles. De nombreuses organisations exécutent donc un programme intégré couvrant plusieurs référentiels de conformité plutôt que de traiter chaque norme isolément.

Enfin, le C5 est un signal lisible à l'international. Le catalogue s'appuie sur des normes établies telles que l'ISO/IEC 27001, la Cloud Controls Matrix de la Cloud Security Alliance et les Trust Services Criteria qui sous-tendent le SOC 2. Satisfaire au C5 signifie que vous avez déjà accompli l'essentiel du travail pour des rapports voisins.

C5 Type 1 et Type 2 : la différence qui compte

L'attestation C5 existe sous deux formes. Le Type 1 confirme l'adéquation de vos contrôles à un moment donné, tandis que le Type 2 confirme en plus leur efficacité opérationnelle sur une période définie. La distinction compte énormément pour les clients, car seul le Type 2 prouve que vos contrôles fonctionnent réellement au quotidien.

Un rapport de Type 1 sert de point d'entrée. Il montre qu'à une date donnée vous disposiez d'un système de contrôle correctement conçu. L'auditeur examine la conception, et non les preuves dans la durée. Il est plus rapide à obtenir et constitue souvent la première étape pour les fournisseurs qui entrent sur le marché.

Un rapport de Type 2 est la référence absolue. Ici, l'auditeur examine une période généralement comprise entre six et douze mois afin de confirmer que les contrôles ont été continuellement efficaces. C'est exactement l'assurance qu'attendent les clients exigeants. Le tableau ci-dessous résume les différences.

Aspect C5 Type 1 C5 Type 2
Objet de l'audit Adéquation des contrôles (conception) Adéquation et efficacité opérationnelle dans la durée
Point de référence Une date unique Période de 6 à 12 mois
Valeur pour les clients Fondamentale Élevée
Cas d'usage typique Entrée sur le marché, première preuve Fournisseurs établis, clients réglementés
Effort Moindre Plus élevé, mais nettement plus précieux

Notre conseil : visez le Type 2 dès le départ. Un rapport de Type 1 comme étape intermédiaire a du sens, mais il ne doit pas être la ligne d'arrivée si vous prenez au sérieux les marchés réglementés.

Comment se déroule le processus d'attestation C5

Le chemin vers l'attestation C5 suit une séquence claire, de l'évaluation initiale à l'examen par l'auditeur. Connaître les étapes aide à éviter les retards les plus courants.

  1. Cadrage et analyse des écarts. Vous définissez d'abord quel service cloud entre dans le périmètre, puis vous comparez votre état actuel aux critères C5. C'est là que les écarts apparaissent.
  2. Mise en œuvre des contrôles. Vous comblez les écarts identifiés, documentez les processus et mettez en place les contrôles techniques et organisationnels nécessaires.
  3. Rédaction de la description du système. Vous décrivez votre système et vos contrôles de manière qu'un auditeur externe puisse les suivre.
  4. Examen par l'auditeur. L'auditeur indépendant évalue la conception et, pour le Type 2, l'efficacité opérationnelle sur la période d'audit.
  5. Attestation et rapport. À la fin, vous recevez le rapport contenant l'opinion professionnelle, prêt à être partagé avec vos clients.

La partie la plus chronophage est rarement l'audit lui-même. C'est la collecte continue de preuves : rassembler les justificatifs, documenter les contrôles et maintenir votre posture cohérente pendant des mois. C'est précisément là que de nombreux projets s'enlisent dans l'effort manuel. Une approche structurée de la collecte automatisée de preuves, comme le logiciel GRC de Kertos, fait toute la différence entre un projet pénible et un projet prévisible. Nos experts en conformité certifiés vous accompagnent à chaque étape pour que rien ne soit laissé au hasard.

Ayez aussi des attentes réalistes sur les délais. Pour un rapport de Type 2, vous devez prévoir plusieurs mois, ne serait-ce qu'en raison de la période d'observation requise. Intégrer cet horizon tôt dans votre feuille de route vous permet de rythmer vos ventes en conséquence.

Attestation C5 face à l'ISO 27001 et au SOC 2

Le C5, l'ISO 27001 et le SOC 2 poursuivent un objectif similaire, mais diffèrent par leur origine, leur logique d'audit et leur reconnaissance sur le marché. En bref : l'ISO 27001 est la norme de management mondiale, le SOC 2 est le rapport d'attestation de tradition américaine, et le C5 est le catalogue de critères allemand spécifique au cloud.

La bonne nouvelle pour vous : ces normes se recoupent fortement. Le catalogue C5 a été délibérément conçu pour s'appuyer sur des référentiels existants. Si vous exploitez déjà un système de management de la sécurité de l'information selon l'ISO 27001, de nombreux critères C5 sont déjà couverts sur le fond. Nous expliquons les fondamentaux dans notre guide sur les exigences de l'ISO 27001.

Cette parenté explique pourquoi un programme multinorme est plus efficace que des projets isolés. Un contrôle que vous mettez en œuvre et documentez proprement une seule fois satisfait souvent en même temps le C5, l'ISO 27001, le SOC 2 et d'autres rapports.

Quelle norme choisir et quand

Tout dépend de l'emplacement de vos clients. Pour le secteur public allemand et les entreprises allemandes réglementées, l'attestation C5 est souvent l'attente la plus claire. Si vous vendez à l'international, l'ISO 27001 est le langage universel. Si vous servez surtout des clients américains, le SOC 2 est rarement facultatif. En pratique, les fournisseurs cloud en croissance ont généralement besoin d'une combinaison, et c'est précisément là qu'une approche intégrée est payante.

Questions fréquentes sur l'attestation C5

L'attestation C5 est-elle obligatoire par la loi ?
Non, il n'existe pas d'obligation légale générale. En pratique, les appels d'offres, les contrats et les attentes de supervision l'exigent souvent de fait, en particulier dans le secteur public et les secteurs réglementés.

Quelle est la durée de validité d'une attestation C5 ?
Une attestation C5 porte sur une période ou une date précise et se renouvelle généralement chaque année. Les clients attendent en général un rapport à jour couvrant la période d'audit la plus récente.

Qui peut délivrer une attestation C5 ?
Le rapport est délivré par des auditeurs indépendants ou des cabinets d'audit selon les normes ISAE 3000 ou IDW PS 951, et non par le BSI lui-même. Le BSI fournit le catalogue de critères mais ne réalise pas d'audits.

L'ISO 27001 remplace-t-elle le C5 ?
Pas entièrement. L'ISO 27001 couvre de nombreux critères C5, mais le C5 ajoute des exigences propres au cloud ainsi que la description caractéristique du système. Une certification ISO existante raccourcit toutefois considérablement le chemin.

Obtenir l'attestation C5 de la manière intelligente

L'attestation C5 n'est pas un projet ponctuel. C'est une preuve continue que votre sécurité cloud tient ses promesses. L'effort provient rarement des critères eux-mêmes ; il vient de la collecte de preuves soutenue et cohérente sur plusieurs mois. Automatisez cette partie, et une obligation laborieuse se transforme en un processus prévisible et reproductible.

Kertos réunit ce travail sur une seule plateforme : mettre en œuvre les contrôles une fois, collecter les preuves automatiquement et servir plusieurs normes en parallèle, avec des experts certifiés à vos côtés. Si vous souhaitez voir comment accélérer concrètement votre parcours vers l'attestation C5, réservez une démo Kertos et parcourez votre cas d'usage avec notre équipe.

Le guide du fondateur à propos de NIS2 : Préparez votre entreprise maintenant

Protégez votre start-up : découvrez comment NIS2 peut avoir un impact sur votre activité et ce que vous devez prendre en compte dès maintenant. Lisez le livre blanc gratuit dès maintenant !

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Guide pratique de l'attestation C5 pour les fournisseurs cloud
Bereit, deine Compliance auf Autopilot zu setzen?
Dr Kilian Schmidt

Dr Kilian Schmidt

PDG et cofondateur de Kertos GmbH

Le Dr Kilian Schmidt a développé très tôt un vif intérêt pour les processus juridiques. Après des études de droit, il a commencé sa carrière en tant que conseiller juridique principal et responsable de la protection des données au sein du groupe Home24. Après avoir travaillé chez Freshfields Bruckhaus Deringer, il a rejoint TIER Mobility, où, en tant que directeur juridique, il a participé de manière significative à l'expansion du département juridique et des politiques publiques. L'entreprise est passée d'une à 65 villes et de 50 à 800 employés. Motivé par les avancées technologiques limitées dans le secteur juridique et inspiré par son travail de consultant chez Gorillas Technologies, il a cofondé Kertos pour développer la prochaine génération de technologies européennes de protection des données.

À propos de Kertos

Kertos est l'épine dorsale moderne des activités de protection des données et de conformité des entreprises en pleine expansion. Nous permettons à nos clients de mettre en œuvre des processus intégrés de protection des données et de sécurité des informations conformément au RGPD, à la norme ISO 27001, à la TISAX®, à la SOC2 et à de nombreuses autres normes rapidement et à moindre coût grâce à l'automatisation.

Prêts pour un allègement concernant le DSGVO ?

Image CTA

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check