Aller au contenu principal
Rooting/studio

Cloud et cybersécurité : responsabilités du fournisseur vs client

4 décembre 2025
16 min de lecture

Comprendre le modèle de responsabilité partagée dans le cloud : qui est responsable de quoi entre le fournisseur cloud et le client, avec des exemples concrets pour AWS, Azure et GCP.

Cloud et cybersécurité : responsabilités du fournisseur vs client

> "Le cloud est sécurisé, mais votre configuration ne l'est peut-être pas." Comprendre le modèle de responsabilité partagée est essentiel pour sécuriser efficacement vos déploiements cloud.

Le modèle de responsabilité partagée (Shared Responsibility Model) est un concept fondamental de la sécurité cloud. Il définit clairement qui est responsable de quoi entre le fournisseur de services cloud (CSP) et le client.

Le modèle de responsabilité partagée

Concept fondamental

Principe :

> Le fournisseur cloud est responsable de la sécurité du cloud, tandis que le client est responsable de la sécurité dans le cloud.

Implication :

  • Le fournisseur protège l'infrastructure sous-jacente
  • Le client protège ses données, applications et configurations
  • La frontière varie selon le type de service (IaaS, PaaS, SaaS)

Types de services cloud

IaaS (Infrastructure as a Service)

  • Le client gère : OS, applications, données, runtime
  • Le fournisseur gère : Virtualisation, serveurs, stockage, réseau physique

PaaS (Platform as a Service)

  • Le client gère : Applications, données
  • Le fournisseur gère : OS, runtime, middleware, infrastructure

SaaS (Software as a Service)

  • Le client gère : Données, identités, accès
  • Le fournisseur gère : Applications, infrastructure, plateforme

Responsabilités du fournisseur cloud

Infrastructure physique

Sécurité des datacenters :

  • Contrôles d'accès physiques
  • Surveillance vidéo
  • Protection contre les incendies
  • Redondance électrique
  • Climatisation et environnement

Réseau physique :

  • Infrastructure réseau
  • Protection DDoS au niveau réseau
  • Isolation réseau
  • Conformité des câbles

Matériel :

  • Serveurs physiques
  • Stockage physique
  • Maintenance matérielle
  • Remplacement de matériel défaillant

Virtualisation et hyperviseur

Sécurité de l'hyperviseur :

  • Isolation des machines virtuelles
  • Gestion de la mémoire
  • Gestion du CPU
  • Gestion du réseau virtuel
  • Patchs de sécurité de l'hyperviseur

Isolation des clients :

  • Séparation des données
  • Isolation réseau
  • Isolation du stockage
  • Multi-tenancy sécurisé

Services managés

Services PaaS et SaaS :

  • Sécurité de la plateforme
  • Patchs de sécurité de la plateforme
  • Disponibilité du service
  • Conformité de la plateforme

Exemples :

  • Base de données managée (RDS, Azure SQL)
  • Conteneurs managés (EKS, AKS, GKE)
  • Serverless (Lambda, Functions, Cloud Functions)

Responsabilités du client

Données

Classification et protection :

  • Classification des données
  • Chiffrement des données au repos
  • Chiffrement des données en transit
  • Gestion des clés de chiffrement
  • Sauvegarde et restauration

Conformité :

  • Conformité RGPD
  • Conformité sectorielle
  • Gestion du cycle de vie des données
  • Droit à l'oubli

Identités et accès

Gestion des identités :

  • Comptes utilisateurs
  • Authentification
  • Autorisation
  • Gestion des rôles
  • Rotation des credentials

IAM (Identity and Access Management) :

  • Politiques IAM
  • Principe du moindre privilège
  • Audit des accès
  • MFA (Multi-Factor Authentication)
  • Gestion des clés d'accès

Applications

Sécurité applicative :

  • Code sécurisé
  • Gestion des dépendances
  • Patchs applicatifs
  • Configuration sécurisée
  • Tests de sécurité

Configuration :

  • Configuration des services
  • Paramètres de sécurité
  • Secrets management
  • Variables d'environnement
  • Configuration réseau

Système d'exploitation (IaaS)

Gestion de l'OS :

  • Patchs de sécurité
  • Configuration sécurisée
  • Hardening
  • Monitoring
  • Logs système

Exemples :

  • EC2 (AWS), VM (Azure), Compute Engine (GCP)
  • Le client est responsable de l'OS et de ses patchs

Réseau et firewall

Configuration réseau :

  • Security Groups / Network Security Groups
  • NACLs (Network Access Control Lists)
  • Routage
  • VPN
  • Peering

Firewall :

  • Règles de firewall
  • Filtrage du trafic
  • Segmentation réseau
  • Isolation des environnements

Monitoring et logs

Journalisation :

  • Activation des logs
  • Configuration des logs
  • Stockage des logs
  • Analyse des logs
  • Alertes

Monitoring :

  • Métriques de sécurité
  • Détection d'anomalies
  • Alertes de sécurité
  • Dashboards
  • Incident response

Exemples par fournisseur

AWS (Amazon Web Services)

Responsabilités AWS :

  • Infrastructure physique
  • Hyperviseur
  • Services managés (RDS, S3, Lambda)
  • Conformité de la plateforme

Responsabilités client :

  • Configuration des services (S3 buckets, Security Groups)
  • Données et leur chiffrement
  • IAM et gestion des accès
  • Applications et code
  • OS des instances EC2
  • Logs et monitoring (CloudWatch)

Exemples de responsabilités client :

# ❌ Mauvais : S3 bucket public
s3_client.put_bucket_acl(
    Bucket='my-bucket',
    ACL='public-read'  # Client responsable de cette configuration
)

# ✅ Bon : S3 bucket privé avec chiffrement
s3_client.put_bucket_encryption(
    Bucket='my-bucket',
    ServerSideEncryptionConfiguration={
        'Rules': [{
            'ApplyServerSideEncryptionByDefault': {
                'SSEAlgorithm': 'AES256'
            }
        }]
    }
)

Microsoft Azure

Responsabilités Azure :

  • Infrastructure physique
  • Hyperviseur
  • Services managés (Azure SQL, App Service)
  • Conformité de la plateforme

Responsabilités client :

  • Configuration des services
  • Données et leur chiffrement
  • Azure AD et gestion des identités
  • Applications et code
  • OS des machines virtuelles
  • Logs et monitoring (Azure Monitor)

Exemples de responsabilités client :

// ❌ Mauvais : Storage Account public
{
  "properties": {
    "allowBlobPublicAccess": true  // Client responsable
  }
}

// ✅ Bon : Storage Account privé avec chiffrement
{
  "properties": {
    "allowBlobPublicAccess": false,
    "encryption": {
      "services": {
        "blob": {
          "enabled": true
        }
      }
    }
  }
}

Google Cloud Platform (GCP)

Responsabilités GCP :

  • Infrastructure physique
  • Hyperviseur
  • Services managés (Cloud SQL, Cloud Functions)
  • Conformité de la plateforme

Responsabilités client :

  • Configuration des services
  • Données et leur chiffrement
  • IAM et gestion des identités
  • Applications et code
  • OS des instances Compute Engine
  • Logs et monitoring (Cloud Logging)

Erreurs courantes

1. Assumption erronée de responsabilité

Erreur :

> "Le cloud est sécurisé, donc mes données sont protégées."

Réalité :

  • Le fournisseur protège l'infrastructure
  • Le client doit protéger ses données et configurations
  • La configuration par défaut n'est pas toujours sécurisée

2. Configuration par défaut non sécurisée

Exemples :

  • S3 buckets publics
  • Security Groups trop permissives
  • Clés d'accès exposées
  • Logs non activés
  • Chiffrement non activé

Solution :

  • Auditer toutes les configurations
  • Utiliser des outils de sécurité cloud (CSPM)
  • Implémenter des politiques de sécurité
  • Automatiser les vérifications

3. Gestion des identités négligée

Problèmes :

  • Comptes avec privilèges excessifs
  • Clés d'accès non rotées
  • MFA non activé
  • Comptes inactifs non supprimés
  • Partage de credentials

Solution :

  • Principe du moindre privilège
  • Rotation régulière des clés
  • MFA obligatoire
  • Audit régulier des accès
  • Gestion centralisée des identités

4. Données non chiffrées

Problèmes :

  • Données sensibles en clair
  • Chiffrement non activé par défaut
  • Clés de chiffrement mal gérées
  • Transmission non chiffrée

Solution :

  • Chiffrement au repos activé
  • Chiffrement en transit (TLS)
  • Gestion sécurisée des clés (HSM, KMS)
  • Politique de chiffrement claire

5. Monitoring insuffisant

Problèmes :

  • Logs non activés
  • Alertes non configurées
  • Pas de détection d'anomalies
  • Pas d'audit des accès

Solution :

  • Activer tous les logs pertinents
  • Configurer des alertes de sécurité
  • Implémenter la détection d'anomalies
  • Auditer régulièrement les accès

Bonnes pratiques

Checklist de sécurité cloud

Configuration :

  • [ ] Tous les services configurés de manière sécurisée
  • [ ] Pas de ressources publiques non nécessaires
  • [ ] Security Groups/NSGs restrictives
  • [ ] Chiffrement activé partout
  • [ ] Backups configurés et testés

Identités et accès :

  • [ ] IAM configuré avec moindre privilège
  • [ ] MFA activé pour tous les comptes
  • [ ] Rotation régulière des clés
  • [ ] Audit régulier des accès
  • [ ] Comptes inactifs supprimés

Données :

  • [ ] Classification des données
  • [ ] Chiffrement au repos
  • [ ] Chiffrement en transit
  • [ ] Gestion sécurisée des clés
  • [ ] Conformité RGPD

Monitoring :

  • [ ] Logs activés et centralisés
  • [ ] Alertes de sécurité configurées
  • [ ] Détection d'anomalies
  • [ ] Dashboards de sécurité
  • [ ] Incident response plan

Conformité :

  • [ ] Politiques de sécurité documentées
  • [ ] Conformité réglementaire vérifiée
  • [ ] Audits réguliers
  • [ ] Documentation à jour
  • [ ] Formation des équipes

Outils de sécurité cloud

CSPM (Cloud Security Posture Management) :

  • AWS Config, Azure Policy, GCP Security Command Center
  • Détection automatique des mauvaises configurations
  • Conformité continue
  • Alertes en temps réel

CWPP (Cloud Workload Protection Platform) :

  • Protection des workloads
  • Détection de menaces
  • Réponse automatisée
  • Compliance

CASB (Cloud Access Security Broker) :

  • Visibilité sur l'utilisation cloud
  • Contrôles de sécurité
  • Conformité
  • Protection des données

Conformité et certifications

Certifications des fournisseurs

AWS :

  • ISO 27001, ISO 27017, ISO 27018
  • SOC 1, SOC 2, SOC 3
  • PCI DSS Level 1
  • HIPAA

Azure :

  • ISO 27001, ISO 27017, ISO 27018
  • SOC 1, SOC 2, SOC 3
  • PCI DSS Level 1
  • HIPAA

GCP :

  • ISO 27001, ISO 27017, ISO 27018
  • SOC 1, SOC 2, SOC 3
  • PCI DSS Level 1
  • HIPAA

Responsabilité du client

Important :

> Les certifications du fournisseur ne garantissent pas la conformité du client.

Le client doit :

  • Comprendre ses responsabilités
  • Implémenter les contrôles nécessaires
  • Documenter la conformité
  • Auditer régulièrement
  • Former les équipes

Conclusion

Le modèle de responsabilité partagée est fondamental pour comprendre la sécurité cloud :

  • Le fournisseur protège l'infrastructure et la plateforme
  • Le client protège ses données, applications et configurations
  • La frontière varie selon le type de service (IaaS, PaaS, SaaS)

Points clés à retenir :

  • ✅ Le cloud n'est pas automatiquement sécurisé
  • ✅ La configuration est la responsabilité du client
  • ✅ Les données sont la responsabilité du client
  • ✅ Le monitoring est la responsabilité du client
  • ✅ La conformité nécessite des efforts des deux parties

Action immédiate :

Auditez vos configurations cloud. Vérifiez les Security Groups, les accès IAM, le chiffrement, les logs et le monitoring. Identifiez les risques et implémentez les corrections.

Besoin d'aide pour sécuriser votre infrastructure cloud ? Découvrez nos services d'**audit de sécurité et de pentest web** pour identifier et corriger les vulnérabilités de vos déploiements cloud.

Votre site est-il sécurisé ?

Faites analyser la sécurité de votre site web par nos experts en cybersécurité.

Articles similaires

CVE-2025-55182 (React2Shell) : Vulnérabilité critique dans React Server Components

Vulnérabilité critique CVE-2025-55182 (React2Shell) permettant l'exécution de code arbitraire à distance dans React Server Components. Mise à jour urgente requise pour Next.js, Expo, React Router et autres frameworks.

Alternance et cybersécurité : réussir son entrée dans le métier

Guide complet pour réussir son alternance en cybersécurité : recherche, candidature, intégration, développement de compétences et conversion en CDI.

Multiples vulnérabilités critiques dans Cisco ASA et FTD - Exploitations actives

Alertes CERT-FR : Vulnérabilités critiques CVE-2025-20333 et CVE-2025-20362 dans Cisco ASA et FTD activement exploitées. Contournement d'authentification et exécution de code arbitraire à distance. Mise à jour urgente requise.