Qu'est-ce que le modèle de responsabilite partagee ?

Le modèle de responsabilite partagee definit quels contrôles de sécurité sont geres par le fournisseur cloud et lesquels doivent etre mis en oeuvre par le client. En IaaS (ex. AWS EC2), le fournisseur securise l'infrastructure physique et la virtualisation tandis que le client gere le systeme d'exploitation, les applications et les données. En PaaS, le fournisseur gere en plus le runtime et le systeme d'exploitation. En SaaS, le fournisseur gere presque tout tandis que le client gere l'accès, les données et la configuration. Comprendre cette repartition est essentiel pour la conformité.

Qu'est-ce que le CSPM (Cloud Security Posture Management) ?

Le Cloud Security Posture Management (CSPM) surveille en continu les environnements cloud pour detecter les erreurs de configuration, les violations de conformité et les risques de sécurité. Les outils CSPM analysent les comptes cloud par rapport aux références de sécurité (CIS, NIST), detectent les ressources exposees publiquement, identifient les politiques IAM trop permissives et generent des rapports de conformité. Exemples : Wiz, Orca, Prisma Cloud et AWS Security Hub.

Quels sont les principaux risques de sécurité cloud ?

Les principaux risques de sécurité cloud incluent : les erreurs de configuration (buckets de stockage exposes publiquement, groupes de sécurité trop permissifs), les defaillances de gestion des identites et des accès (permissions excessives, absence de MFA), les API non securisees (endpoints non authentifies, vulnerabilites d'injection), l'exposition des données (données non chiffrees, transferts inter-regions violant la residence des données), et la journalisation insuffisante (incapacite a detecter ou investiguer les incidents). Les erreurs de configuration seules representent la majorite des violations cloud.

En quoi la sécurité cloud differe-t-elle de la sécurité sur site ?

La sécurité cloud differe de plusieurs facons cles : le perimetre est base sur l'identite plutot que sur le réseau, l'infrastructure est definie en tant que code et change rapidement, les ressources sont pilotees par API et peuvent etre provisionnees ou mal configurees instantanement, la multi-location introduit des risques d'infrastructure partagee, et le modèle de responsabilite partagee signifie que certains contrôles relevent du fournisseur. La sécurité cloud nécessite une surveillance automatisee et continue plutot que des évaluations periodiques.

Qu'est-ce que la protection des charges de travail cloud (CWPP) ?

Les plateformes Cloud Workload Protection (CWPP) securisent les charges de travail executees dans les environnements cloud — machines virtuelles, conteneurs, fonctions serverless et clusters Kubernetes. Le CWPP fournit l'analyse de vulnerabilites, la protection en execution, la segmentation réseau, la surveillance d'integrite et l'évaluation de conformité pour les charges de travail cloud-natives. Exemples : CrowdStrike Falcon Cloud, Wiz, Aqua Security et Sysdig.

Quels référentiels de conformité s'appliquent à la sécurité cloud ?

ISO 27001 (Annexe A.5.23 — Services cloud), SOC 2 (CC6.1 — Accès logique), NIS2 (article 21(2)(d) — Sécurité de la chaîne d'approvisionnement incluant le cloud), et DORA (articles 28-30 — Risque tiers TIC pour les fournisseurs cloud) exigent tous des contrôles de sécurité cloud. De plus, les normes specifiques au cloud comme ISO 27017 (contrôles de sécurité cloud) et ISO 27018 (confidentialité cloud) fournissent des orientations supplementaires.

Comment securiser un environnement multi-cloud ?

Securiser les environnements multi-cloud nécessite : une gestion centralisee des identites chez tous les fournisseurs (identite federee avec un IdP unique), des politiques de sécurité coherentes appliquees via l'infrastructure as code, une journalisation et une surveillance unifiees via un SIEM centralise, un CSPM multi-cloud pour la conformité de configuration, un chiffrement et une gestion des cles coherents, et une vue unifiee pour les operations de sécurité. Evitez les outils specifiques a un fournisseur qui creent des silos.

Sécurité cloud : le guide complet pour les équipes sécurité et conformité

Published 8 mars 2026

By Emre Salmanoglu

Sécurité cloud : le guide complet pour les équipes sécurité et conformité

Q: Qu'est-ce que la sécurité cloud ?

La sécurité cloud englobe les technologies, politiques, contrôles et processus utilises pour protéger les systemes, les données et l'infrastructure bases dans le cloud. Elle couvre tous les modèles de deploiement cloud (IaaS, PaaS, SaaS) et traite les risques specifiques au cloud incluant les erreurs de configuration, l'exposition des données, la compromission d'identite et les lacunes de responsabilite partagee. La sécurité cloud etend les contrôles de sécurité traditionnels dans des environnements dynamiques, multi-locataires et pilotes par API.

Apprenez a mettre en oeuvre des contrôles de sécurité cloud conformes aux exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre la responsabilite partagee, la sécurité cloud-native, le CSPM, la protection des charges de travail et les preuves de conformité.

sécurité cloud

conformité cloud

responsabilite partagee

CSPM

conformité

Qu'est-ce que la sécurité cloud ?

La sécurité cloud est la discipline de protection des environnements de cloud computing — incluant l'infrastructure, les plateformes, les applications et les données — contre les menaces, les erreurs de configuration et les violations de conformité. Elle adapte les principes de sécurité traditionnels a la nature dynamique, pilotee par API et en responsabilite partagee du cloud computing.

Pour les organisations axees sur la conformité, la sécurité cloud est essentielle car les regulateurs examinent de plus en plus la manière dont les organisations protegent les données et les systemes heberges dans des environnements cloud selon ISO 27001, SOC 2, NIS2 et DORA.

Modèle de responsabilite partagee

Couche	IaaS (ex. AWS EC2)	PaaS (ex. Azure App Service)	SaaS (ex. Salesforce)
Sécurité physique	Fournisseur	Fournisseur	Fournisseur
Infrastructure réseau	Fournisseur	Fournisseur	Fournisseur
Virtualisation	Fournisseur	Fournisseur	Fournisseur
Systeme d'exploitation	Client	Fournisseur	Fournisseur
Runtime/middleware	Client	Fournisseur	Fournisseur
Application	Client	Client	Fournisseur
Données	Client	Client	Client
Identite et accès	Client	Client	Client
Configuration	Client	Client	Client

Domaines de sécurité cloud

Domaine	Description	Contrôles cles
Identite et accès	Authentification, autorisation, gestion des privileges	SSO, MFA, moindre privilege, accès JIT
Protection des données	Chiffrement, classification, prevention de la perte de données	Chiffrement au repos/en transit, DLP, gestion des cles
Sécurité réseau	Segmentation, filtrage du trafic, protection DDoS	Groupes de sécurité, WAF, endpoints prives, VPN
Protection des charges de travail	Securisation des VM, conteneurs, serverless	CWPP, analyse de vulnerabilites, protection en execution
Gestion de la configuration	Prevention et detection des erreurs de configuration	CSPM, infrastructure as code, policy as code
Journalisation et surveillance	Visibilite sur l'activité cloud et les menaces	Journalisation cloud-native, integration SIEM, alertes
Réponse aux incidents	Detection et réponse aux incidents cloud	Playbooks IR cloud, préparation forensique

Architecture de sécurité cloud

Composant	Fonction	Exemples
CSPM	Conformité de configuration et évaluation des risques	Wiz, Orca, Prisma Cloud, AWS Security Hub
CWPP	Protection des charges de travail sur tous les types de calcul	CrowdStrike, Aqua, Sysdig
CNAPP	Protection unifiee des applications cloud-natives	Wiz, Palo Alto Prisma Cloud
CASB	Decouverte du shadow IT et sécurité SaaS	Netskope, Zscaler, Microsoft Defender for Cloud Apps
CIEM	Gestion des identites et des droits cloud	Ermetic (Tenable), CrowdStrike, Wiz
KMS	Gestion des cles de chiffrement	AWS KMS, Azure Key Vault, HashiCorp Vault

Contrôles de sécurité cloud

Contrôle	Description	Mise en oeuvre
Chiffrement au repos	Chiffrer toutes les données stockees	Cles gerees par le fournisseur ou par le client
Chiffrement en transit	Chiffrer toutes les données en mouvement	TLS 1.2+, mutual TLS pour le service a service
IAM au moindre privilege	Permissions minimales requises	Politiques basees sur les roles, revues d'accès regulieres
Segmentation réseau	Isoler les charges de travail et les environnements	VPC, groupes de sécurité, sous-réseaux prives
Journalisation	Enregistrer tous les appels API et changements	CloudTrail, Azure Activity Log, GCP Audit Logs
Enforcement MFA	Multi-facteur pour tous les accès cloud	FIDO2 pour les administrateurs, politiques d'accès conditionnel
Infrastructure as code	Definir l'infrastructure dans des modèles versionnes	Terraform, CloudFormation, Pulumi

Exigences de conformité

Correspondance des référentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Sécurité des services cloud	A.5.23	CC6.1	Art. 21(2)(d)	Art. 28-30
Protection des données	A.8.24	CC6.1	Art. 21(2)(d)	Art. 9(2)
Contrôle d'accès	A.8.2	CC6.3	Art. 21(2)(i)	Art. 9(4)
Journalisation et surveillance	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Gestion des fournisseurs	A.5.21	CC9.2	Art. 21(2)(d)	Art. 28
Réponse aux incidents	A.5.26	CC7.4	Art. 23	Art. 17

Preuves d'audit

Type de preuve	Description	Referentiel
Politique de sécurité cloud	Politique documentee couvrant tous les environnements cloud	Tous les référentiels
Matrice de responsabilite partagee	Responsabilites documentees par fournisseur/service cloud	Tous les référentiels
Rapports d'analyse CSPM	Resultats d'analyse de conformité de configuration	Tous les référentiels
Revues d'accès IAM	Preuves de revue des droits d'accès cloud	Tous les référentiels
Configuration du chiffrement	Documentation du chiffrement au repos et en transit	Tous les référentiels
Contrats fournisseurs cloud	Accords couvrant les obligations de sécurité	NIS2, DORA
Playbooks de réponse aux incidents	Procedures de réponse aux incidents specifiques au cloud	Tous les référentiels

Erreurs courantes

Erreur	Risque	Correction
Ne pas comprendre la responsabilite partagee	Lacunes de sécurité ou aucune partie ne gere les contrôles	Documenter les responsabilites par service cloud
Politiques IAM trop permissives	La compromission d'identifiants entraine la prise de contrôle du compte	Mettre en oeuvre le moindre privilege, utiliser IAM Access Analyzer
Buckets de stockage publics	Exposition des données et sanctions réglementaires	Activer les politiques de bucket, bloquer l'accès public par défaut
Pas de journalisation centralisee	Incapacite a detecter ou investiguer les incidents	Agreger tous les journaux cloud dans un SIEM
Architecture a compte unique	Le rayon d'explosion d'une compromission affecte tout	Utiliser une strategie multi-comptes avec des frontieres d'isolation
Ignorer les changements du fournisseur cloud	Les nouvelles fonctionnalites introduisent des risques non geres	Surveiller les journaux de changement du fournisseur, mettre à jour les contrôles trimestriellement

Comment Orbiq accompagne la conformité de sécurité cloud

Orbiq vous aide a demontrer vos contrôles de sécurité cloud :

Collecte de preuves — Centralisez les politiques de sécurité cloud, les rapports CSPM et les revues d'accès
Surveillance continue — Suivez la posture de sécurité cloud chez tous les fournisseurs
Trust Center — Partagez vos contrôles de sécurité cloud via votre Trust Center
Correspondance de conformité — Reliez les contrôles cloud a ISO 27001, SOC 2, NIS2 et DORA
Preparation d'audit — Packages de preuves pre-construits pour la revue des auditeurs

Pour aller plus loin

Cloud Security Posture Management — Conformité automatisee de la configuration cloud
Architecture Zero Trust — Sécurité centree sur l'identite pour les environnements cloud
Chiffrement — Protection des données dans les environnements cloud
Gestion des identites et des accès — Bonnes pratiques IAM cloud
Souverainete des données — Gestion des exigences de localisation des données dans le cloud