Qu'est-ce que le modele de responsabilite partagee ?

Le modele de responsabilite partagee definit quels controles de securite sont geres par le fournisseur cloud et lesquels doivent etre mis en oeuvre par le client. En IaaS (ex. AWS EC2), le fournisseur securise l'infrastructure physique et la virtualisation tandis que le client gere le systeme d'exploitation, les applications et les donnees. En PaaS, le fournisseur gere en plus le runtime et le systeme d'exploitation. En SaaS, le fournisseur gere presque tout tandis que le client gere l'acces, les donnees et la configuration. Comprendre cette repartition est essentiel pour la conformite.

Qu'est-ce que le CSPM (Cloud Security Posture Management) ?

Le Cloud Security Posture Management (CSPM) surveille en continu les environnements cloud pour detecter les erreurs de configuration, les violations de conformite et les risques de securite. Les outils CSPM analysent les comptes cloud par rapport aux references de securite (CIS, NIST), detectent les ressources exposees publiquement, identifient les politiques IAM trop permissives et generent des rapports de conformite. Exemples : Wiz, Orca, Prisma Cloud et AWS Security Hub.

Quels sont les principaux risques de securite cloud ?

Les principaux risques de securite cloud incluent : les erreurs de configuration (buckets de stockage exposes publiquement, groupes de securite trop permissifs), les defaillances de gestion des identites et des acces (permissions excessives, absence de MFA), les API non securisees (endpoints non authentifies, vulnerabilites d'injection), l'exposition des donnees (donnees non chiffrees, transferts inter-regions violant la residence des donnees), et la journalisation insuffisante (incapacite a detecter ou investiguer les incidents). Les erreurs de configuration seules representent la majorite des violations cloud.

En quoi la securite cloud differe-t-elle de la securite sur site ?

La securite cloud differe de plusieurs facons cles : le perimetre est base sur l'identite plutot que sur le reseau, l'infrastructure est definie en tant que code et change rapidement, les ressources sont pilotees par API et peuvent etre provisionnees ou mal configurees instantanement, la multi-location introduit des risques d'infrastructure partagee, et le modele de responsabilite partagee signifie que certains controles relevent du fournisseur. La securite cloud necessite une surveillance automatisee et continue plutot que des evaluations periodiques.

Qu'est-ce que la protection des charges de travail cloud (CWPP) ?

Les plateformes Cloud Workload Protection (CWPP) securisent les charges de travail executees dans les environnements cloud — machines virtuelles, conteneurs, fonctions serverless et clusters Kubernetes. Le CWPP fournit l'analyse de vulnerabilites, la protection en execution, la segmentation reseau, la surveillance d'integrite et l'evaluation de conformite pour les charges de travail cloud-natives. Exemples : CrowdStrike Falcon Cloud, Wiz, Aqua Security et Sysdig.

Quels referentiels de conformite s'appliquent a la securite cloud ?

ISO 27001 (Annexe A.5.23 — Services cloud), SOC 2 (CC6.1 — Acces logique), NIS2 (article 21(2)(d) — Securite de la chaine d'approvisionnement incluant le cloud), et DORA (articles 28-30 — Risque tiers TIC pour les fournisseurs cloud) exigent tous des controles de securite cloud. De plus, les normes specifiques au cloud comme ISO 27017 (controles de securite cloud) et ISO 27018 (confidentialite cloud) fournissent des orientations supplementaires.

Comment securiser un environnement multi-cloud ?

Securiser les environnements multi-cloud necessite : une gestion centralisee des identites chez tous les fournisseurs (identite federee avec un IdP unique), des politiques de securite coherentes appliquees via l'infrastructure as code, une journalisation et une surveillance unifiees via un SIEM centralise, un CSPM multi-cloud pour la conformite de configuration, un chiffrement et une gestion des cles coherents, et une vue unifiee pour les operations de securite. Evitez les outils specifiques a un fournisseur qui creent des silos.

Securite cloud : le guide complet pour les equipes securite et conformite

Published 8 mars 2026

By Emre Salmanoglu

Securite cloud : le guide complet pour les equipes securite et conformite

Q: Qu'est-ce que la securite cloud ?

La securite cloud englobe les technologies, politiques, controles et processus utilises pour proteger les systemes, les donnees et l'infrastructure bases dans le cloud. Elle couvre tous les modeles de deploiement cloud (IaaS, PaaS, SaaS) et traite les risques specifiques au cloud incluant les erreurs de configuration, l'exposition des donnees, la compromission d'identite et les lacunes de responsabilite partagee. La securite cloud etend les controles de securite traditionnels dans des environnements dynamiques, multi-locataires et pilotes par API.

Apprenez a mettre en oeuvre des controles de securite cloud conformes aux exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre la responsabilite partagee, la securite cloud-native, le CSPM, la protection des charges de travail et les preuves de conformite.

securite cloud

conformite cloud

responsabilite partagee

CSPM

conformite

Qu'est-ce que la securite cloud ?

La securite cloud est la discipline de protection des environnements de cloud computing — incluant l'infrastructure, les plateformes, les applications et les donnees — contre les menaces, les erreurs de configuration et les violations de conformite. Elle adapte les principes de securite traditionnels a la nature dynamique, pilotee par API et en responsabilite partagee du cloud computing.

Pour les organisations axees sur la conformite, la securite cloud est essentielle car les regulateurs examinent de plus en plus la maniere dont les organisations protegent les donnees et les systemes heberges dans des environnements cloud selon ISO 27001, SOC 2, NIS2 et DORA.

Modele de responsabilite partagee

Couche	IaaS (ex. AWS EC2)	PaaS (ex. Azure App Service)	SaaS (ex. Salesforce)
Securite physique	Fournisseur	Fournisseur	Fournisseur
Infrastructure reseau	Fournisseur	Fournisseur	Fournisseur
Virtualisation	Fournisseur	Fournisseur	Fournisseur
Systeme d'exploitation	Client	Fournisseur	Fournisseur
Runtime/middleware	Client	Fournisseur	Fournisseur
Application	Client	Client	Fournisseur
Donnees	Client	Client	Client
Identite et acces	Client	Client	Client
Configuration	Client	Client	Client

Domaines de securite cloud

Domaine	Description	Controles cles
Identite et acces	Authentification, autorisation, gestion des privileges	SSO, MFA, moindre privilege, acces JIT
Protection des donnees	Chiffrement, classification, prevention de la perte de donnees	Chiffrement au repos/en transit, DLP, gestion des cles
Securite reseau	Segmentation, filtrage du trafic, protection DDoS	Groupes de securite, WAF, endpoints prives, VPN
Protection des charges de travail	Securisation des VM, conteneurs, serverless	CWPP, analyse de vulnerabilites, protection en execution
Gestion de la configuration	Prevention et detection des erreurs de configuration	CSPM, infrastructure as code, policy as code
Journalisation et surveillance	Visibilite sur l'activite cloud et les menaces	Journalisation cloud-native, integration SIEM, alertes
Reponse aux incidents	Detection et reponse aux incidents cloud	Playbooks IR cloud, preparation forensique

Architecture de securite cloud

Composant	Fonction	Exemples
CSPM	Conformite de configuration et evaluation des risques	Wiz, Orca, Prisma Cloud, AWS Security Hub
CWPP	Protection des charges de travail sur tous les types de calcul	CrowdStrike, Aqua, Sysdig
CNAPP	Protection unifiee des applications cloud-natives	Wiz, Palo Alto Prisma Cloud
CASB	Decouverte du shadow IT et securite SaaS	Netskope, Zscaler, Microsoft Defender for Cloud Apps
CIEM	Gestion des identites et des droits cloud	Ermetic (Tenable), CrowdStrike, Wiz
KMS	Gestion des cles de chiffrement	AWS KMS, Azure Key Vault, HashiCorp Vault

Controles de securite cloud

Controle	Description	Mise en oeuvre
Chiffrement au repos	Chiffrer toutes les donnees stockees	Cles gerees par le fournisseur ou par le client
Chiffrement en transit	Chiffrer toutes les donnees en mouvement	TLS 1.2+, mutual TLS pour le service a service
IAM au moindre privilege	Permissions minimales requises	Politiques basees sur les roles, revues d'acces regulieres
Segmentation reseau	Isoler les charges de travail et les environnements	VPC, groupes de securite, sous-reseaux prives
Journalisation	Enregistrer tous les appels API et changements	CloudTrail, Azure Activity Log, GCP Audit Logs
Enforcement MFA	Multi-facteur pour tous les acces cloud	FIDO2 pour les administrateurs, politiques d'acces conditionnel
Infrastructure as code	Definir l'infrastructure dans des modeles versionnes	Terraform, CloudFormation, Pulumi

Exigences de conformite

Correspondance des referentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Securite des services cloud	A.5.23	CC6.1	Art. 21(2)(d)	Art. 28-30
Protection des donnees	A.8.24	CC6.1	Art. 21(2)(d)	Art. 9(2)
Controle d'acces	A.8.2	CC6.3	Art. 21(2)(i)	Art. 9(4)
Journalisation et surveillance	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Gestion des fournisseurs	A.5.21	CC9.2	Art. 21(2)(d)	Art. 28
Reponse aux incidents	A.5.26	CC7.4	Art. 23	Art. 17

Preuves d'audit

Type de preuve	Description	Referentiel
Politique de securite cloud	Politique documentee couvrant tous les environnements cloud	Tous les referentiels
Matrice de responsabilite partagee	Responsabilites documentees par fournisseur/service cloud	Tous les referentiels
Rapports d'analyse CSPM	Resultats d'analyse de conformite de configuration	Tous les referentiels
Revues d'acces IAM	Preuves de revue des droits d'acces cloud	Tous les referentiels
Configuration du chiffrement	Documentation du chiffrement au repos et en transit	Tous les referentiels
Contrats fournisseurs cloud	Accords couvrant les obligations de securite	NIS2, DORA
Playbooks de reponse aux incidents	Procedures de reponse aux incidents specifiques au cloud	Tous les referentiels

Erreurs courantes

Erreur	Risque	Correction
Ne pas comprendre la responsabilite partagee	Lacunes de securite ou aucune partie ne gere les controles	Documenter les responsabilites par service cloud
Politiques IAM trop permissives	La compromission d'identifiants entraine la prise de controle du compte	Mettre en oeuvre le moindre privilege, utiliser IAM Access Analyzer
Buckets de stockage publics	Exposition des donnees et sanctions reglementaires	Activer les politiques de bucket, bloquer l'acces public par defaut
Pas de journalisation centralisee	Incapacite a detecter ou investiguer les incidents	Agreger tous les journaux cloud dans un SIEM
Architecture a compte unique	Le rayon d'explosion d'une compromission affecte tout	Utiliser une strategie multi-comptes avec des frontieres d'isolation
Ignorer les changements du fournisseur cloud	Les nouvelles fonctionnalites introduisent des risques non geres	Surveiller les journaux de changement du fournisseur, mettre a jour les controles trimestriellement

Comment Orbiq accompagne la conformite de securite cloud

Orbiq vous aide a demontrer vos controles de securite cloud :

Collecte de preuves — Centralisez les politiques de securite cloud, les rapports CSPM et les revues d'acces
Surveillance continue — Suivez la posture de securite cloud chez tous les fournisseurs
Trust Center — Partagez vos controles de securite cloud via votre Trust Center
Correspondance de conformite — Reliez les controles cloud a ISO 27001, SOC 2, NIS2 et DORA
Preparation d'audit — Packages de preuves pre-construits pour la revue des auditeurs

Pour aller plus loin

Cloud Security Posture Management — Conformite automatisee de la configuration cloud
Architecture Zero Trust — Securite centree sur l'identite pour les environnements cloud
Chiffrement — Protection des donnees dans les environnements cloud
Gestion des identites et des acces — Bonnes pratiques IAM cloud
Souverainete des donnees — Gestion des exigences de localisation des donnees dans le cloud