En 2025, 94 % des entreprises utilisent au moins un service cloud (Flexera State of the Cloud Report). Pourtant, 73 % des incidents de sécurité cloud sont imputables à une mauvaise configuration côté client, non à une faille du fournisseur (Palo Alto Unit 42). La cause principale : une incompréhension du modèle de responsabilité partagée, ce contrat implicite qui définit ce que le fournisseur cloud sécurise et ce qui relève de votre responsabilité.
Le modèle de responsabilité partagée expliqué
Tous les grands fournisseurs cloud (AWS, Azure, Google Cloud, OVHcloud) appliquent le même principe fondamental : le fournisseur sécurise l'infrastructure, le client sécurise ce qu'il y met. Cependant, le partage des responsabilités varie selon le type de service utilisé.
IaaS : vous gérez presque tout
Avec l'Infrastructure as a Service (machines virtuelles, stockage bloc, réseau virtuel), le fournisseur garantit la sécurité physique des datacenters, la disponibilité du réseau et l'intégrité de l'hyperviseur. Tout le reste vous incombe : système d'exploitation, correctifs, pare-feu, chiffrement des données, gestion des accès, antimalware et sauvegardes. Utiliser une VM dans le cloud sans la patcher revient exactement au même que de ne pas patcher un serveur physique dans vos locaux.
PaaS : responsabilité intermédiaire
Le Platform as a Service (bases de données managées, App Service, fonctions serverless) décharge le client de la gestion du système d'exploitation et du runtime. Le fournisseur applique les correctifs de sécurité de l'infrastructure et de la plateforme. Vous restez responsable de la sécurité applicative (code, authentification, autorisation), de la configuration des accès et du chiffrement des données.
SaaS : une fausse sensation de sécurité totale
Le Software as a Service (Microsoft 365, Salesforce, Google Workspace) est souvent perçu comme totalement sécurisé par le fournisseur. C'est inexact. Le fournisseur protège la plateforme, mais vous restez responsable de la configuration des accès, de la gestion des identités, des politiques de partage et de la sauvegarde de vos données. Microsoft précise explicitement dans ses conditions : « Nous vous recommandons de sauvegarder régulièrement votre contenu et vos données. »
Les erreurs de configuration les plus dangereuses
Les incidents cloud les plus médiatisés sont rarement des prouesses techniques : ce sont des erreurs de configuration évitables.
Buckets S3 et stockage public
- Buckets S3 ouverts au public : en 2024, plus de 12 000 buckets AWS S3 contenant des données sensibles étaient accessibles sans authentification (rapport Laminar).
- Bases de données exposées : des instances MongoDB, Elasticsearch et Redis accessibles depuis Internet sans mot de passe sont découvertes quotidiennement par des scanners automatiques.
- Groupes de sécurité trop permissifs : autoriser l'accès SSH (port 22) ou RDP (port 3389) depuis 0.0.0.0/0 (n'importe où sur Internet) est l'équivalent de laisser la porte d'entrée grande ouverte.
L'application des principes d'une architecture Zero Trust au cloud est essentielle : chaque accès doit être explicitement autorisé et vérifié, même au sein de l'infrastructure cloud elle-même.
Sécuriser votre environnement cloud : les fondamentaux
Voici les mesures prioritaires que toute PME utilisant des services cloud doit mettre en place.
Gestion des identités et des accès (IAM)
Le service IAM est la pierre angulaire de la sécurité cloud. Appliquez le principe de moindre privilège : chaque utilisateur et chaque service ne reçoivent que les permissions strictement nécessaires. Évitez d'utiliser le compte root/administrateur principal pour les opérations courantes. Activez le MFA sur tous les comptes, en particulier les comptes à privilèges.
Chiffrement et conformité
Activez le chiffrement au repos (AES-256) et en transit (TLS 1.3) pour l'ensemble de vos données cloud. Pour les données soumises au RGPD, privilégiez un hébergement dans l'Union européenne et vérifiez que les clés de chiffrement restent sous votre contrôle (BYOK — Bring Your Own Key) plutôt que gérées exclusivement par le fournisseur.
- Audit continu : activez les journaux d'audit (CloudTrail, Azure Activity Log) et analysez-les régulièrement.
- Détection des dérives : des outils comme AWS Config, Azure Policy ou des solutions tierces (Prowler, ScoutSuite) vérifient automatiquement la conformité de vos configurations.
- Tests de restauration : validez trimestriellement que vos sauvegardes cloud sont restaurables dans les délais prévus par votre PRA.
ACME accompagne les PME dans la sécurisation de leurs environnements cloud : audit de configuration, mise en conformité RGPD, déploiement des bonnes pratiques IAM et supervision continue. Nos experts certifiés AWS et Azure garantissent que le modèle de responsabilité partagée est correctement implémenté dans votre organisation.Maîtriser la responsabilité partagée
Le modèle de responsabilité partagée dans le cloud est souvent mal compris. En IaaS (AWS EC2, Azure VM), le fournisseur sécurise l'infrastructure physique et l'hyperviseur, mais le client reste responsable du système d'exploitation, des correctifs, du pare-feu applicatif et du chiffrement des données. En SaaS (Microsoft 365, Salesforce), le périmètre client se réduit mais inclut toujours la gestion des identités, des accès et des données.
Pour éviter les angles morts, réalisez un mapping des responsabilités pour chaque service cloud utilisé. Utilisez les frameworks de référence comme la matrice CSA Cloud Controls (CCM) ou le référentiel SecNumCloud de l'ANSSI pour structurer votre analyse. Documentez clairement ce que couvre votre fournisseur et ce qui reste à votre charge.
- Chiffrement côté client : pour les données sensibles, chiffrez avant l'envoi vers le cloud avec des clés que vous contrôlez (BYOK — Bring Your Own Key) afin de garantir la confidentialité même en cas de compromission du fournisseur.
- Audit de configuration : utilisez des outils comme Prowler (AWS) ou ScoutSuite pour détecter les erreurs de configuration (buckets S3 publics, groupes de sécurité trop permissifs).
- Clause de réversibilité : négociez contractuellement la possibilité de récupérer vos données dans un format standard en cas de changement de prestataire.
FAQ
Mon fournisseur cloud sauvegarde-t-il automatiquement mes données ?
Cela dépend du service. En IaaS, les sauvegardes sont entièrement votre responsabilité. En PaaS, certains services proposent des sauvegardes automatiques à court terme (7 à 35 jours pour Azure SQL Database), mais elles ne couvrent pas tous les scénarios (suppression volontaire, compromission prolongée). En SaaS, Microsoft 365 conserve les éléments supprimés pendant 93 jours maximum dans la corbeille, mais ne propose pas de restauration granulaire à long terme. Une solution de sauvegarde tierce est indispensable.
Le cloud souverain est-il plus sécurisé que les hyperscalers américains ?
Le cloud souverain (OVHcloud, Scaleway, Outscale, NumSpot) offre la garantie que les données restent en France et sous juridiction européenne, à l'abri du Cloud Act américain. En termes de sécurité technique pure, les hyperscalers (AWS, Azure, GCP) disposent de moyens supérieurs. Le choix dépend de vos exigences réglementaires et de la sensibilité de vos données. Une approche hybride — cloud souverain pour les données sensibles, hyperscaler pour le reste — est souvent le meilleur compromis.
Comment vérifier que ma configuration cloud est sécurisée ?
Utilisez les outils d'évaluation gratuits proposés par les fournisseurs : AWS Trusted Advisor, Azure Secure Score, Google Security Command Center. Complétez avec des audits open source comme Prowler (AWS), ScoutSuite (multi-cloud) ou Steampipe. Planifiez un audit externe annuel pour bénéficier d'un regard indépendant et identifier les angles morts.