Quelle est la différence entre le Type 1 et le Type 2 ?

Le Type 1 évalue l'adéquation de la conception des mesures à une date donnée. Le Type 2 évalue en outre leur efficacité sur une période.

Ai-je nécessairement besoin d'une attestation C5 ?

Cela dépend du secteur. Dans la santé (données de patients dans le cloud), une attestation Type 2 est obligatoire depuis juillet 2025 ; dans les marchés publics, elle est de fait requise. Dans d'autres domaines, c'est un avantage concurrentiel.

Quand le C5:2026 s'applique-t-il ?

Le C5:2026 est définitif depuis avril 2026. Pour les nouvelles périodes d'évaluation Type 2, il devrait devenir contraignant à partir de juin 2027 ; les attestations C5:2020 existantes bénéficient d'une période de transition.

Une certification ISO 27001 aide-t-elle ?

Oui. Le C5:2026 suit de près ISO/IEC 27001:2022. Les preuves existantes de l'ISMS peuvent être mises en correspondance avec les critères C5 dans Sightadel et réutilisées.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

BSI C5:2026 · Sécurité du cloud

BSI C5:2026 : rendre la sécurité du cloud démontrable

Le Cloud Computing Compliance Criteria Catalogue (C5) du BSI est la norme de sécurité de référence en Allemagne pour les services cloud depuis 2016. En avril 2026, le BSI a publié la troisième génération, C5:2026 — elle remplace le C5:2020 et comprend désormais 168 critères répartis sur 17 domaines thématiques. Cette page explique ce qu'est le C5, qui a besoin d'une attestation C5 (et qui non), ce qui a changé avec le C5:2026, et comment se préparer aux critères avec Sightadel — sans monter un projet de conseil à chaque cycle d'audit.

Qu'est-ce que le BSI C5 ?

Le C5 est un catalogue de critères publié par l'Office fédéral allemand de la sécurité des technologies de l'information (BSI). Il définit les exigences minimales de sécurité de l'information pour les services cloud et rend comparable le niveau de sécurité des différents fournisseurs.

Point important, le C5 n'est pas un certificat BSI classique. Le respect des critères est attesté par des auditeurs indépendants selon la norme d'assurance internationale ISAE 3000. Le résultat est un rapport d'attestation C5 que les clients cloud demandent et évaluent.

Il existe deux types d'assurance :

Type 1 (évaluation de la conception) : l'auditeur confirme que les mesures de sécurité sont conçues de façon appropriée à une date donnée.
Type 2 (efficacité opérationnelle) : l'auditeur confirme en outre que les mesures ont fonctionné efficacement sur une période. Le Type 2 est la variante la plus probante et est de plus en plus exigé dans les secteurs réglementés.

À qui une attestation C5 s'adresse-t-elle — et à qui non ?

Le C5 vous concerne si…

… vous fournissez des services cloud et devez démontrer la confiance et la comparabilité sur le marché allemand ou européen. Dans plusieurs secteurs, une attestation C5 constitue de fait une condition d'accès au marché :

Santé : depuis juillet 2025, une attestation C5 Type 2 est obligatoire pour les services cloud qui traitent des données de patients (article 393 SGB V / DigiG).
Administration publique : pour les achats de cloud par les autorités fédérales allemandes, le C5 est de fait obligatoire.
Secteur financier : l'attestation C5 est reconnue comme preuve complémentaire pour les exigences de gestion des risques liés aux TIC au titre de DORA.

… ou si vous consommez des services cloud et devez évaluer de manière structurée le niveau de sécurité de vos fournisseurs dans le cadre de votre propre gestion des risques.

Le C5 n'est probablement pas directement pertinent pour vous si…

… votre organisation ne propose pas de services cloud et ne recourt pas au cloud pour des données réglementées ou particulièrement sensibles. Pour une informatique exploitée purement en local et sans cloud, le C5 ne joue aucun rôle immédiat.

La même nuance s'applique ici : si vous faites partie d'une chaîne d'approvisionnement cloud en tant que fournisseur ou sous-traitant, vos clients peuvent malgré tout exiger de vous des preuves C5.

Qu'est-ce qui a changé avec le C5:2026 ?

Le C5:2026 s'appuie sur le C5:2020 mais répond à six années d'évolutions technologiques et réglementaires. Les principales mises à jour :

Plus de critères, nouvelle structure. 168 critères au lieu de 121, désormais assortis de sous-critères clairement délimités, plus faciles à mettre en correspondance avec les contrôles internes.
Nouveaux domaines thématiques. Traités spécifiquement pour la première fois : la gestion des conteneurs, le confidential computing et la cryptographie post-quantique.
Exigences renforcées. Entre autres, la séparation des locataires, la gestion de la chaîne d'approvisionnement et la gestion des identités et des accès ont été rendues plus strictes (avec une référence explicite aux modèles zero-trust).
Compatibilité européenne. Le C5:2026 est aligné sur le schéma de certification européen EUCS (niveau Substantial) et prend en compte ISO/IEC 27001:2022, la CSA Cloud Controls Matrix v4 et NIS2.
Critères additionnels différenciés. Les critères additionnels sont désormais distingués entre « renforçants » et « complémentaires ».

Une période de transition s'applique aux attestations C5:2020 existantes : le C5:2026 devrait devenir contraignant pour les nouvelles périodes d'évaluation Type 2 à partir de juin 2027.

Le défi typique de la préparation au C5

Un audit C5 est étendu et coûteux. Lors de la préparation, nous observons trois problèmes récurrents :

Preuves dispersées entre équipes et outils. Les preuves des 168 critères vivent dans des tickets, des wikis, des e-mails et des tableurs. L'auditeur les demande — et la recherche recommence à chaque fois.
Effort annuel au lieu d'une préparation continue. Pour les attestations Type 2, l'efficacité doit être démontrée sur toute la période. Les organisations qui ne commencent à collecter que peu avant l'audit se retrouvent avec des lacunes.
Le changement de version comme risque de projet. Passer du C5:2020 au C5:2026 implique un travail de delta. Sans une mise en correspondance propre des mesures existantes, cela se transforme en repartir de zéro.

Comment Sightadel simplifie la préparation au C5

Sightadel est le portail de conformité de la Pervigon Security Suite. Il représente le C5:2026 sous la forme d'un catalogue de critères structuré auquel vous associez des mesures, des responsables et des preuves — avec un statut d'avancement consultable à tout moment.

Prêt pour l'audit plus vite. Le catalogue C5:2026 est intégré au portail. Au lieu de partir d'une liste Excel, vous mettez en correspondance vos mesures existantes avec les critères et voyez immédiatement où des preuves manquent.

En permanence prêt pour l'audit, pas à la dernière minute. Les preuves et les responsabilités sont maintenues en continu. Pour une attestation Type 2, cela vous permet de démontrer une efficacité continue plutôt que de la reconstituer après coup.

Changement de version sans repartir de zéro. Lors du passage du C5:2020 au C5:2026, Sightadel indique lesquelles de vos mesures existantes couvrent quels critères nouveaux ou renforcés — et où subsistent de réelles lacunes.

Réutilisation des preuves. Parce que le C5:2026 suit de près ISO/IEC 27001:2022 et NIS2, une preuve saisie une seule fois est automatiquement mise en correspondance avec les exigences correspondantes de ces normes. Vous la maintenez une seule fois, et non par référentiel.

Plus de consultants externes comme béquille permanente. La logique de correspondance métier est intégrée au portail et soutenue par le cœur neoAI. L'auditeur reste responsable de l'attestation — la préparation continue est assurée par votre propre équipe.

Le C5 avec Sightadel en pratique

1
Mettre en correspondance.Associez les mesures existantes aux 168 critères du C5:2026. Résultat : un premier statut d'avancement par domaine thématique.
2
Combler les lacunes.Analyse des écarts, plan d'action priorisé avec responsables et échéances — centré sur les nouveaux sujets (conteneurs, confidential computing, post-quantique).
3
Maintenir les preuves.Joignez les preuves en continu, documentez l'efficacité sur toute la période du Type 2.
4
Accompagner l'attestation.Fournissez à l'auditeur l'état requis de manière structurée.

Questions fréquentes sur le BSI C5

Non. Le C5 est un catalogue de critères. Le respect des critères est attesté par un auditeur selon ISAE 3000 ; le résultat est un rapport d'attestation, et non un certificat BSI.

La conformité C5 comme un état, pas un projet annuel

Une attestation C5 n'est pas un événement ponctuel mais une preuve récurrente. Sightadel maintient votre statut d'avancement en permanence à jour — au fil des changements de version, auditable, et sans que chaque audit déclenche un nouveau projet.

Visualisez votre statut C5:2026 dans Sightadel.

Réserver une démo