Sécurité du cloud
La sécurité du cloud (également désignée sécurité de l'informatique en nuage) est l'ensemble des politiques, technologies, contrôles et procédures mis en œuvre pour protéger les données, les applications et les infrastructures hébergées sur des plateformes d'informatique en nuage. Elle se distingue de la Cybersécurité générale par des enjeux spécifiques liés à la mutualisation des ressources, à la délocalisation des traitements et à la répartition des responsabilités entre fournisseur et client. Selon le rapport IBM Cost of a Data Breach 2023, le coût moyen d'une violation de données impliquant le cloud s'élevait à 4,75 millions de dollars américains, soit 16 % de plus que la moyenne globale toutes origines confondues. En 2023, 39 % des violations de données analysées par Verizon impliquaient des actifs hébergés dans le cloud.
Définition et périmètre
L'informatique en nuage fournit des ressources informatiques — calcul, stockage, bases de données, réseaux, logiciels — à la demande via Internet, selon trois modèles de service principaux :
- IaaS (Infrastructure as a Service) : l'utilisateur loue une infrastructure virtualisée — serveurs, stockage, réseau — et gère lui-même le système d'exploitation et les applications ;
- PaaS (Platform as a Service) : le fournisseur met à disposition une plateforme de développement et d'exécution ; l'utilisateur déploie ses propres applications ;
- SaaS (Software as a Service) : l'utilisateur accède à des logiciels hébergés chez le fournisseur (exemples : Google Workspace, Microsoft 365, Salesforce).
À ces modèles s'ajoutent les variantes de déploiement : cloud public (ressources partagées entre plusieurs organisations), cloud privé (infrastructure dédiée à une seule organisation), cloud hybride (combinaison des deux) et multicloud (usage simultané de plusieurs fournisseurs distincts). Chaque configuration présente une surface d'attaque et des exigences de sécurité distinctes.
Modèle de responsabilité partagée
Le Modèle de responsabilité partagée structure la répartition des obligations de sécurité entre le fournisseur cloud et son client. Le fournisseur est responsable de la sécurité de l'infrastructure cloud : data centers physiques, hyperviseurs, réseau sous-jacent et alimentation électrique. Le client est responsable de la sécurité dans le cloud : données, configurations, identités, applications et gestion des accès.
Cette frontière se déplace selon le modèle de service retenu : en SaaS, le fournisseur gère la quasi-totalité de la pile technique et le client ne contrôle que ses données et ses droits d'accès utilisateurs ; en IaaS, le client assume la responsabilité du système d'exploitation, des middlewares, des applications et des données. Selon une analyse Gartner publiée en 2022, 99 % des défaillances de sécurité cloud jusqu'en 2025 seraient imputables à des erreurs côté client plutôt qu'à des failles dans l'infrastructure du fournisseur.
Principales menaces et vecteurs d'attaque
Mauvaises configurations
La mauvaise configuration des ressources cloud constitue la première cause identifiée de violation de données selon le rapport CSA Top Threats to Cloud Computing 2022. Des buckets de stockage Amazon S3 rendus publics par erreur ont exposé plusieurs centaines de millions d'enregistrements entre 2017 et 2022. En 2019, la brèche Capital One a compromis les données de 106 millions de clients via la mauvaise configuration d'un pare-feu applicatif déployé sur AWS. Les erreurs récurrentes comprennent les droits d'accès excessivement permissifs, l'absence de chiffrement au repos, des ports réseau ouverts sans nécessité et l'absence de journalisation des événements.
Compromission d'identifiants
Le vol ou la compromission de données d'authentification est le vecteur d'attaque le plus fréquent pour accéder illégitimement à des environnements cloud. Les techniques employées comprennent le hameçonnage (phishing), les attaques par force brute et la réutilisation de mots de passe issus d'autres violations de données préalables. Microsoft a établi que l'authentification multifacteur (MFA) réduit de 99,9 % le risque d'accès non autorisé via un compte dont les identifiants ont été compromis.
Menaces internes
Les incidents imputables à des acteurs internes disposant d'accès légitimes — employés, sous-traitants, prestataires — représentent 20 % des incidents de sécurité cloud selon IBM (2023). Ces incidents peuvent être intentionnels (exfiltration de données à des fins de revente ou d'espionnage) ou accidentels (mauvaise manipulation d'une configuration de service ou suppression involontaire).
Attaques sur les API
Les interfaces de programmation (API) exposées par les services cloud constituent une surface d'attaque en forte croissance. L'OWASP (Open Web Application Security Project) publie depuis 2019 une liste dédiée aux dix principales vulnérabilités API (OWASP API Security Top 10), couvrant notamment les défauts d'autorisation au niveau des objets (BOLA/IDOR), les injections et les mauvaises configurations de sécurité. Salt Security a rapporté en 2022 une augmentation de 681 % des attaques ciblant des API cloud sur douze mois.
Ransomwares et attaques sur la chaîne d'approvisionnement
Les rançongiciels (ransomwares) ciblent les sauvegardes et les données hébergées dans le cloud, cherchant à chiffrer ou exfiltrer des actifs critiques. L'attaque SolarWinds (décembre 2020) a compromis les environnements cloud de 18 000 organisations via l'insertion d'un code malveillant dans une mise à jour du logiciel Orion, diffusée par les canaux officiels du fournisseur. Cet incident a illustré la menace des attaques sur la chaîne d'approvisionnement logicielle (supply chain attacks), affectant notamment des agences gouvernementales américaines et des entreprises du Fortune 500.
Domaines techniques de la sécurité cloud
Gestion des identités et des accès
La Gestion des identités et des accès (Identity and Access Management, IAM) détermine quelles entités — utilisateurs humains, applications, services — peuvent accéder à quelles ressources cloud, sous quelles conditions et avec quels droits. Les principes fondateurs sont le moindre privilège (chaque entité dispose uniquement des droits strictement nécessaires à sa fonction), la séparation des tâches et l'authentification forte. Les principaux fournisseurs cloud proposent des services IAM natifs : AWS Identity and Access Management, Microsoft Entra ID (anciennement Azure Active Directory, renommé en 2023) et Google Cloud Identity.
Chiffrement des données
Le Chiffrement des données protège les informations contre toute lecture non autorisée à trois niveaux distincts :
- au repos : les données stockées sont chiffrées à l'aide de l'algorithme AES-256, standard retenu par la quasi-totalité des fournisseurs cloud ;
- en transit : les communications sont sécurisées par les protocoles TLS 1.2 ou 1.3 ;
- en cours de traitement : des techniques émergentes comme le chiffrement homomorphe ou les environnements d'exécution de confiance (TEE, Trusted Execution Environments) permettent de traiter des données sans les exposer en clair à l'infrastructure sous-jacente.
La gestion des clés cryptographiques via des services dédiés (Key Management Service, KMS) constitue un enjeu critique : une clé compromise rend caduque toute protection cryptographique des données qu'elle couvre.
Architecture réseau et modèle Zero Trust
La sécurisation des communications dans le cloud repose sur plusieurs mécanismes : la virtualisation réseau (VPC, Virtual Private Cloud) pour l'isolation logique des ressources, les pare-feux applicatifs (WAF, Web Application Firewall), la microsegmentation (division du réseau en zones étanches limitant la propagation latérale d'une attaque) et le modèle Zero Trust (littéralement « ne jamais faire confiance, toujours vérifier »). Ce dernier part du principe qu'aucune connexion n'est présumée sûre, même depuis l'intérieur du périmètre réseau de l'organisation. Selon Okta (2023), 97 % des organisations interrogées avaient une initiative Zero Trust en cours ou planifiée.
Surveillance, détection et réponse
La surveillance continue des environnements cloud mobilise plusieurs catégories d'outils spécialisés :
| Acronyme | Désignation complète | Fonction principale |
|---|---|---|
| CSPM | Cloud Security Posture Management | Détection automatique des mauvaises configurations |
| CWPP | Cloud Workload Protection Platform | Protection des charges de travail (VM, conteneurs, fonctions serverless) |
| CASB | Cloud Access Security Broker | Contrôle et visibilité des accès aux services cloud SaaS |
| SIEM | Security Information and Event Management | Agrégation et corrélation des journaux d'événements |
| SOAR | Security Orchestration, Automation and Response | Automatisation de la réponse aux incidents |
L'Intelligence artificielle en cybersécurité est intégrée dans ces plateformes pour la détection d'anomalies comportementales (User and Entity Behavior Analytics, UEBA), la corrélation d'alertes à grande échelle et la priorisation automatique des incidents, réduisant les délais moyens de détection (MTTD) et de réponse (MTTR).
Sécurité des conteneurs et DevSecOps
Le déploiement d'applications par conteneurs (Docker, Kubernetes) introduit des vecteurs de risque spécifiques : images de conteneurs contenant des vulnérabilités non corrigées, mauvaise configuration de l'orchestrateur Kubernetes (RBAC mal paramétré, API server exposé), accès non sécurisé aux registres d'images. L'approche DevSecOps intègre les contrôles de sécurité dès la phase de développement (principe dit du shift left security), via l'analyse statique du code (SAST), l'analyse de la composition logicielle (SCA) et les scans d'images de conteneurs intégrés aux pipelines CI/CD.
Normes et référentiels
Plusieurs référentiels structurent la sécurité cloud à l'échelle internationale et nationale :
| Norme / Référentiel | Périmètre | Organisme émetteur |
|---|---|---|
| ISO/IEC 27001 | Management de la sécurité de l'information | ISO/IEC |
| ISO/IEC 27017 | Contrôles de sécurité spécifiques aux services cloud | ISO/IEC |
| ISO/IEC 27018 | Protection des données personnelles dans le cloud public | ISO/IEC |
| SOC 2 Type II | Sécurité, disponibilité et confidentialité (audit annuel par tiers) | AICPA (États-Unis) |
| CSA STAR Level 2 | Maturité de sécurité cloud (audit tiers indépendant) | Cloud Security Alliance |
| SecNumCloud v3.2 | Qualification cloud souverain (OIV et administrations françaises) | ANSSI (France) |
| HDS | Hébergement de données de santé | ANS / Cofrac (France) |
Le référentiel SecNumCloud (version 3.2, publiée par l'ANSSI en 2022) qualifie les prestataires cloud destinés aux opérateurs d'importance vitale (OIV) et aux administrations françaises. Trois fournisseurs avaient obtenu cette qualification en 2024. La Conformité RGPD impose aux organisations traitant des données personnelles de ressortissants de l'Union européenne de s'assurer que leurs fournisseurs cloud respectent les exigences du règlement, notamment les clauses contractuelles types (CCT) encadrant les transferts de données hors de l'Espace économique européen, dont la validité a été confirmée par la décision d'adéquation UE-États-Unis (Data Privacy Framework) de juillet 2023.
Continuité d'activité et reprise après sinistre
La sécurité du cloud intègre la résilience opérationnelle face aux interruptions, qu'elles résultent d'une attaque, d'une défaillance technique ou d'une catastrophe naturelle. Le Plan de continuité d'activité (PCA) définit les procédures pour maintenir les services essentiels en cas d'incident grave, tandis que le Plan de reprise d'activité informatique (PRA) fixe les objectifs de rétablissement : le RTO (Recovery Time Objective — délai maximal acceptable entre l'interruption et la reprise du service) et le RPO (Recovery Point Objective — perte de données maximale acceptable, exprimée en unité de temps).
Les architectures multicloud et multi-régions permettent d'éliminer les points uniques de défaillance (SPOF, Single Point of Failure). AWS, Microsoft Azure et Google Cloud Platform proposent des zones de disponibilité géographiquement séparées au sein de chaque région, permettant des basculements automatiques en quelques secondes en cas de défaillance d'une zone.
Audits et évaluation de la posture de sécurité
L'Audit de cybersécurité d'un environnement cloud comprend généralement une revue de la configuration (hardening review) des services déployés, des tests de pénétration (pentest) des interfaces exposées, une analyse des droits et des politiques IAM, et une vérification de la conformité aux référentiels applicables. Les trois principaux fournisseurs cloud publient leurs rapports d'audit tiers (SOC 2 Type II, ISO/IEC 27001) dans des portails dédiés accessibles aux clients : AWS Artifact, Microsoft Service Trust Portal et Google Cloud Compliance Reports Manager.
Enjeux pour les PME
Les petites et moyennes entreprises affrontent des défis spécifiques en matière de sécurité cloud : ressources techniques et financières limitées, absence fréquente d'un RSSI (Responsable de la Sécurité des Systèmes d'Information) dédié et méconnaissance des risques liés aux configurations par défaut des services cloud. La Cybersécurité des PME est un enjeu reconnu au niveau national : l'ANSSI a publié en 2021 un guide spécifique aux TPE/PME, et le dispositif MonAideCyber propose un diagnostic gratuit de maturité cybersécurité. La Cyberassurance offre une couverture financière complémentaire aux mesures techniques, couvrant notamment les coûts de notification des victimes, de restauration des systèmes et les pertes d'exploitation consécutives à un incident.
La blockchain constitue une piste explorée pour la gestion décentralisée des identités cloud et la traçabilité immuable des journaux d'accès aux données, bien que les déploiements en production à grande échelle restent limités en 2024.
Métiers et formations
La sécurité du cloud est exercée principalement par l'Ingénieur en cybersécurité, dont les missions couvrent la conception d'architectures cloud sécurisées, l'exploitation des outils de surveillance, la réponse aux incidents et la gestion de la conformité réglementaire. Les certifications professionnelles les plus reconnues dans ce domaine comprennent l'AWS Certified Security — Specialty, le Microsoft Certified: Security Operations Analyst Associate, le Google Professional Cloud Security Engineer et le Certified Cloud Security Professional (CCSP) délivré par (ISC)².
L'accès à ces métiers emprunte plusieurs voies de Formation professionnelle : formations diplômantes de niveau bac+5 (mastères spécialisés accrédités CTI, titres RNCP de niveau 7), formations courtes professionnelles de quelques semaines destinées aux praticiens en activité ou en reconversion, et formations certifiantes en ligne. Le Compte personnel de formation (CPF) peut financer certaines de ces certifications inscrites au Répertoire Spécifique (RS) de France Compétences. Les professionnels justifiant d'une expérience terrain suffisante peuvent valoriser leur parcours sans reprendre une formation complète via la Validation des acquis de l'expérience (VAE). La pénurie de compétences en sécurité cloud est estimée à 15 000 professionnels en France en 2024, faisant de ce secteur l'un des métiers d'avenir les plus porteurs identifiés par France Travail.