Infrastructures critiques (KRITIS) – BSI
OVHcloud est officiellement enregistré auprès de l’Office fédéral allemand de la sécurité des technologies de l’information (BSI) en tant qu’opérateur d’infrastructures critiques (KRITIS) en Allemagne. OVHcloud répond ainsi aux exigences du BSI à l’égard des entreprises dont les services sont d’importance stratégique pour le bien commun et la sécurité de l’approvisionnement.
La législation allemande sur la sécurité informatique impose aux opérateurs d’infrastructures critiques (ex. datacenters) de s’enregistrer auprès du BSI et de respecter des obligations légales spécifiques. Ces obligations comprennent la démonstration de la conformité aux exigences de sécurité et la mise en œuvre de mesures techniques et organisationnelles adaptées. Cela inclut notamment l’instauration et le maintien d’un système de gestion de la sécurité de l’information (ISMS) efficace, ou encore la mise en place de contrôles d’accès physiques et logiques aux datacenters et aux systèmes. Les éléments de preuve et la documentation afférente doivent être transmis au BSI tous les deux ans dans le cadre d’un audit.
La filiale allemande d’OVHcloud, DCD Data Center Deutschland GmbH, est enregistrée en tant qu’opérateur d’infrastructure critique auprès du BSI et respecte l’ensemble des normes exigées par l’organisme. Le datacenter d’OVHcloud situé en Allemagne fait l’objet d’audits réguliers par des organismes indépendants, afin de vérifier sa conformité avec la réglementation KRITIS et la loi allemande sur la sécurité informatique.
Demandez qu’un conseiller OVHcloud vous rappelle gratuitement
C5 – Catalogue de critères de conformité pour le cloud computing
Le BSI a établi le C5 (Cloud Computing Compliance Criteria Catalogue) en tant que standard d’audit. Cette norme a été mise à jour pour la dernière fois en 2020. Pour les clients et partenaires d’OVHcloud, la certification C5 atteste de la conformité de la plateforme aux contrôles de sécurité requis. Le C5 complète les standards de sécurité informatique définis dans les textes réglementaires (équivalents à la protection de base), en y ajoutant des exigences spécifiques au cloud.
Paramètres et certifications
Dans son catalogue d’exigences, le BSI définit des critères tels que la localisation du tribunal compétent, les certifications détenues par le fournisseur de cloud, ou encore les modalités de traitement des demandes d’accès ou de divulgation émanant des autorités. Le fournisseur doit également être en mesure de préciser la localisation exacte des traitements de données et des services fournis. Grâce à cette transparence, les clients potentiels peuvent évaluer si la combinaison des réglementations en vigueur (ex. RGPD), des directives internes et des risques potentiels (ex. espionnage industriel) justifie l’usage du service cloud concerné.