Sécurité cloud et modèle de responsabilité partagée
Définition
La sécurité cloud couvre l'ensemble des mesures de protection des données, des applications et de l'infrastructure hébergées dans le cloud. Elle repose sur le modèle de responsabilité partagée (Shared Responsibility Model), qui définit clairement ce que le fournisseur cloud sécurise et ce qui reste à la charge du client, en fonction du modèle de service (IaaS, PaaS, SaaS).
Contexte
Une erreur fréquente est de supposer que « le cloud est sécurisé par défaut ». En réalité, le fournisseur sécurise l'infrastructure sous-jacente, mais le client reste responsable de la sécurité de ses données, de ses configurations et de ses accès. Cette distinction est fondamentale pour la certification CCST et pour toute migration cloud.
Détails techniques
Modèle de responsabilité partagée
| Composant |
On-Premises |
IaaS |
PaaS |
SaaS |
| Données |
Client |
Client |
Client |
Client |
| Identités / Accès |
Client |
Client |
Client |
Client |
| Applications |
Client |
Client |
Client |
Fournisseur |
| OS |
Client |
Client |
Fournisseur |
Fournisseur |
| Réseau virtuel |
Client |
Client |
Fournisseur |
Fournisseur |
| Hyperviseur |
Client |
Fournisseur |
Fournisseur |
Fournisseur |
| Stockage physique |
Client |
Fournisseur |
Fournisseur |
Fournisseur |
| Réseau physique |
Client |
Fournisseur |
Fournisseur |
Fournisseur |
| Bâtiment / alimentation |
Client |
Fournisseur |
Fournisseur |
Fournisseur |
Règle clé : le client est toujours responsable de ses données et de ses identités, quel que soit le modèle de service.
Menaces spécifiques au cloud
| Menace |
Description |
| Mauvaise configuration |
Bucket S3 public, ports ouverts, groupe de sécurité trop permissif |
| Accès excessif |
Comptes avec des permissions IAM trop larges (violation du moindre privilège) |
| Données exposées |
Données non chiffrées au repos ou en transit |
| Shadow IT |
Services cloud utilisés sans approbation de l'IT (SaaS non autorisé) |
| Insider threat |
Employé ou sous-traitant avec un accès cloud malveillant ou négligent |
| API non sécurisée |
Clés API codées en dur, endpoints sans authentification |
Contrôles de sécurité cloud
| Contrôle |
Description |
Exemples |
| IAM (Identity and Access Management) |
Gestion des identités et des permissions |
AWS IAM, Azure AD, policies de moindre privilège |
| MFA |
Authentification multifacteur |
Obligatoire pour les comptes admin et les accès sensibles |
| Chiffrement au repos |
Chiffrer les données stockées |
AES-256, AWS KMS, Azure Key Vault |
| Chiffrement en transit |
Chiffrer les données en mouvement |
TLS 1.2+, VPN IPsec |
| Security Groups / NSG |
Pare-feu virtuel au niveau instance/VM |
Règles inbound/outbound par port et IP |
| WAF (Web Application Firewall) |
Protection des applications web |
AWS WAF, Azure WAF, Cloudflare |
| CASB (Cloud Access Security Broker) |
Visibilité et contrôle des services cloud utilisés |
Netskope, Microsoft Defender for Cloud Apps |
| CSPM (Cloud Security Posture Management) |
Détection automatique des mauvaises configurations |
Prisma Cloud, AWS Security Hub |
Bonnes pratiques de sécurité cloud
| Pratique |
Détail |
| Principe de moindre privilège (IAM) |
Pas de *:* — permissions granulaires par service et action |
| MFA partout |
Sur la console, les APIs, les accès SSH/RDP |
| Chiffrement par défaut |
Activer le chiffrement au repos par défaut sur tous les services de stockage |
| Logging activé |
CloudTrail (AWS), Activity Log (Azure), Audit Log (GCP) |
| Rotation des clés |
Rotation automatique des clés de chiffrement et des secrets |
| Network segmentation |
VPC, subnets privés, security groups restrictifs |
| Infrastructure as Code |
Configurations versionnées et auditables (Terraform, CloudFormation) |
Certifications de sécurité des fournisseurs cloud
| Certification |
Description |
| SOC 2 Type II |
Audit des contrôles de sécurité, disponibilité et confidentialité |
| ISO 27001 |
Système de management de la sécurité de l'information |
| PCI DSS |
Conformité pour le traitement des cartes bancaires |
| FedRAMP |
Standard de sécurité cloud du gouvernement américain |
| CSA STAR |
Cloud Security Alliance — évaluation de la posture sécurité |
Exemple concret
Scénario : une startup SaaS héberge sa plateforme sur AWS. Un audit révèle 3 problèmes critiques :
- Bucket S3 public : les rapports clients étaient accessibles sans authentification. → Correction : ACL restrictive, activation du Block Public Access, chiffrement SSE-S3.
- Root account sans MFA : le compte root AWS n'avait pas de MFA. → Correction : activation de MFA matériel (YubiKey), création de comptes IAM individuels pour l'équipe.
- Security Group trop permissif : une instance EC2 avait le port 22 (SSH) ouvert à
0.0.0.0/0. → Correction : restriction à l'IP du bastion uniquement, mise en place d'un bastion host avec jump SSH.
- Posture management : déploiement d'AWS Security Hub + Config Rules pour détecter automatiquement les futures dérives de configuration.
