Sécurité en infonuagique : 7 mesures essentielles

Dans cet article

  • La sécurité cloud computing repose sur un modèle de responsabilité partagée entre le fournisseur et le client
  • Le chiffrement des données au repos et en transit réduit de 80 % le risque de fuite selon les rapports du secteur
  • L’authentification multifacteur (MFA) bloque 99,9 % des attaques par compromission de compte
  • Les 4 critères de sécurité fondamentaux sont la confidentialité, l’intégrité, la disponibilité et la traçabilité
  • Une politique de sauvegarde 3-2-1 (3 copies, 2 supports, 1 hors site) reste indispensable même en cloud
  • Les audits de conformité réguliers doivent être planifiés au minimum tous les trimestres

Après plus de dix ans à déployer des applications web sur des infrastructures variées, je constate que la sécurité cloud computing reste le sujet qui génère le plus de questions chez mes clients. Et pour cause : migrer ses données et ses services vers le cloud ne signifie pas déléguer entièrement la protection de ses actifs numériques. Au contraire, cela implique de repenser sa stratégie de sécurité dans un environnement où les périmètres traditionnels n’existent plus.

Dans cet article, je partage les 7 mesures que j’applique systématiquement sur les projets que j’accompagne, qu’il s’agisse d’un simple site WordPress hébergé en infonuagique publique ou d’une application métier complète déployée sur une architecture multi-cloud. Ces pratiques s’appuient sur les recommandations de la CNIL en matière de cloud computing et sur mon expérience terrain.

Comprendre la sécurité cloud computing

La sécurité cloud computing désigne l’ensemble des politiques, technologies et contrôles mis en place pour protéger les données, les applications et l’infrastructure hébergées dans le cloud. Elle couvre aussi bien la protection contre les accès non autorisés que la résilience face aux pannes ou aux attaques.

Pour bien cadrer le sujet, il faut d’abord comprendre les 4 types de cloud computing qui existent aujourd’hui :

  • Cloud public : les ressources sont partagées entre plusieurs clients sur l’infrastructure d’un fournisseur (AWS, Google Cloud, Azure)
  • Cloud privé : l’infrastructure est dédiée à une seule organisation, hébergée en interne ou chez un prestataire
  • Cloud hybride : combinaison de cloud public et privé, avec une orchestration entre les deux environnements
  • Multi-cloud : utilisation simultanée de plusieurs fournisseurs de cloud public pour éviter la dépendance à un seul acteur

Chaque modèle présente des niveaux de contrôle différents sur la sécurité. Sur un cloud privé, je maîtrise la quasi-totalité de la pile. Sur un cloud public, je m’appuie sur les garanties du fournisseur pour les couches basses (physique, réseau, hyperviseur) et je me concentre sur ce qui relève de ma responsabilité.

Les 4 types de sécurité qui s’appliquent dans ce contexte sont la sécurité physique (centres de données), la sécurité réseau (pare-feu, segmentation), la sécurité applicative (code, API, authentification) et la sécurité des données (chiffrement, contrôle d’accès). En cloud computing sécurité, ces quatre dimensions se complètent pour former une défense en profondeur.

Analyse des tableaux de bord de sécurité cloud par un ingénieur réseau
Analyse des tableaux de bord de sécurité cloud par un ingénieur réseau

Le modèle de responsabilité partagée

C’est le concept fondamental que je prends toujours le temps d’expliquer à mes clients. Le fournisseur cloud assure la sécurité du cloud (infrastructure physique, réseau, virtualisation). Le client assure la sécurité dans le cloud (données, applications, configuration des accès).

J’ai vu trop de projets où l’on croyait que le prestataire gérait tout. En réalité, si vous stockez des données clients sur un bucket S3 mal configuré, c’est votre responsabilité, pas celle d’Amazon. Ce principe vaut pour tous les fournisseurs, de Google Cloud à OVHcloud.

En pratique, la répartition varie selon le type de service utilisé :

  • IaaS (Infrastructure as a Service) : vous gérez le système d’exploitation, les applications et les données
  • PaaS (Platform as a Service) : le fournisseur gère aussi le système d’exploitation et le middleware
  • SaaS (Software as a Service) : le fournisseur gère presque tout, vous ne gérez que vos données et les accès utilisateurs

Pour chaque projet, je crée un tableau de répartition des responsabilités qui liste chaque composant et indique clairement qui en est responsable. Ce document simple évite beaucoup de malentendus et de failles.

Mesure 1 : chiffrer toutes les données

Le chiffrement est la première ligne de défense pour la sécurisation des données sur le cloud. Je l’applique systématiquement à deux niveaux : au repos (données stockées) et en transit (données échangées entre services ou avec l’utilisateur).

Pour le chiffrement au repos, j’utilise au minimum l’AES-256, qui est le standard recommandé par l’ANSSI. La plupart des fournisseurs cloud proposent cette option nativement, parfois activée par défaut. Ce que je vérifie toujours, c’est la gestion des clés de chiffrement.

Il existe trois approches pour la gestion des clés :

  • Clés gérées par le fournisseur : le plus simple, mais vous n’avez pas le contrôle total
  • Clés gérées par le client (CMK) : vous créez et gérez vos propres clés via un service comme AWS KMS ou Google Cloud KMS
  • Clés détenues par le client (BYOK) : les clés ne quittent jamais votre environnement, le fournisseur ne les voit jamais

Pour mes projets sensibles, je recommande au minimum les clés gérées par le client. Pour le chiffrement en transit, le TLS 1.3 est désormais le standard. Je configure aussi le chiffrement de bout en bout pour les communications entre microservices, notamment avec mTLS (mutual TLS).

Un point souvent oublié : pensez à chiffrer vos sauvegardes et vos journaux. Une sauvegarde non chiffrée annule tout l’effort de protection des données en production.

Mesure 2 : gérer les identités et les accès

La gestion des identités et des accès (IAM) est, selon mon expérience, la mesure qui a le plus grand impact sur la sécurité globale d’une infrastructure cloud. J’applique systématiquement le principe du moindre privilège : chaque utilisateur, chaque service, chaque processus ne dispose que des droits strictement nécessaires à sa mission.

Voici les règles que je mets en place sur chaque projet :

  • Authentification multifacteur (MFA) obligatoire pour tous les comptes ayant accès à la console d’administration
  • Rotation des clés d’accès tous les 90 jours maximum
  • Comptes de service dédiés pour les applications, jamais de clés personnelles dans le code
  • Revue trimestrielle des droits pour supprimer les accès obsolètes
  • Politique de mots de passe robuste : 12 caractères minimum, complexité imposée
Réunion d'équipe autour de la stratégie de gestion des identités et des accès cloud
Réunion d’équipe autour de la stratégie de gestion des identités et des accès cloud

L’authentification multifacteur seule bloque 99,9 % des attaques automatisées sur les comptes, selon les données publiées par Microsoft. C’est la mesure la plus simple à déployer et la plus efficace. Je la rends non négociable sur tous les projets, y compris pour les sites hébergés sur des solutions classiques.

Pour les projets qui utilisent des bases de données clients, j’insiste particulièrement sur la segmentation des rôles. Un développeur n’a pas besoin d’accéder aux données de production. Un administrateur système n’a pas besoin de lire les données métier. Les 4 critères de sécurité (confidentialité, intégrité, disponibilité, traçabilité) doivent guider chaque décision de droits d’accès.

Mesure 3 : surveiller et détecter les menaces

Le cloud offre une visibilité exceptionnelle sur ce qui se passe dans votre infrastructure, à condition de l’exploiter. Je mets en place un dispositif de surveillance articulé autour de trois piliers :

Le premier pilier est la centralisation des journaux. Tous les logs (accès, modifications, erreurs, authentifications) sont collectés dans un outil centralisé. J’utilise généralement une pile ELK (Elasticsearch, Logstash, Kibana) ou les solutions natives des fournisseurs cloud. L’important est que rien n’échappe à la collecte.

Le deuxième pilier est la détection automatisée. Des règles d’alerte se déclenchent sur les comportements anormaux : connexion depuis un pays inhabituel, tentatives répétées d’accès, modification massive de fichiers, élévation de privilèges suspecte. Les outils de type SIEM (Security Information and Event Management) sont indispensables dès que l’infrastructure dépasse quelques serveurs.

Le troisième pilier est la réponse aux incidents. Chaque alerte déclenche un processus documenté : qui est notifié, quelles actions immédiates sont prises, comment l’incident est analysé après coup. J’ai constaté que les entreprises qui disposent d’un plan de réponse formalisé réduisent le coût moyen d’une violation de données de 50 %.

Sur les projets déployés avec Docker, j’ajoute une couche de surveillance spécifique aux conteneurs. Les images sont scannées à chaque build pour détecter les vulnérabilités connues, et les comportements réseau entre conteneurs sont monitorés en continu.

Mesure 4 : sauvegarder et planifier la reprise d’activité

Même avec toutes les protections du monde, un incident peut survenir. La question n’est pas si cela arrivera, mais quand. C’est pourquoi je déploie systématiquement une stratégie de sauvegarde 3-2-1 :

  • 3 copies de chaque donnée critique
  • 2 supports différents (par exemple, stockage objet et disque bloc)
  • 1 copie hors site, idéalement chez un fournisseur différent ou dans une autre région géographique

Au-delà des sauvegardes, je rédige un Plan de Reprise d’Activité (PRA) qui définit deux métriques essentielles :

  • RPO (Recovery Point Objective) : quelle quantité de données pouvez-vous vous permettre de perdre ? 1 heure ? 24 heures ?
  • RTO (Recovery Time Objective) : en combien de temps devez-vous être opérationnel après un incident ?

Ces métriques déterminent la fréquence des sauvegardes et la complexité de l’infrastructure de secours. Pour un site e-commerce, je vise généralement un RPO de 1 heure et un RTO de 4 heures. Pour un blog simple, des sauvegardes quotidiennes suffisent souvent.

Point crucial que je ne néglige jamais : tester les restaurations. Une sauvegarde qui n’a jamais été testée n’est pas une sauvegarde. Je planifie des tests de restauration au minimum une fois par trimestre, avec un scénario réaliste de panne.

Mesure 5 : sécuriser l’architecture réseau

La sécurisation du réseau dans le cloud diffère fondamentalement de l’approche traditionnelle. Il n’y a plus de périmètre physique à défendre. Je m’appuie sur une approche Zero Trust : ne jamais faire confiance, toujours vérifier.

Les éléments que je configure systématiquement :

  • VPC (Virtual Private Cloud) dédié pour chaque environnement (production, staging, développement)
  • Groupes de sécurité restrictifs : seuls les ports strictement nécessaires sont ouverts
  • Sous-réseaux privés pour les bases de données et les services internes, jamais exposés directement à internet
  • WAF (Web Application Firewall) devant toutes les applications web publiques
  • Protection DDoS activée, surtout pour les services critiques
Architecture réseau sécurisée avec pare-feu et segmentation dans un environnement cloud
Architecture réseau sécurisée avec pare-feu et segmentation dans un environnement cloud

Je segmente le réseau en zones de confiance. Les serveurs web frontaux ne communiquent avec les bases de données qu’à travers des règles explicites. Les services internes ne sont accessibles que depuis des plages d’adresses IP spécifiques. Cette microsegmentation limite considérablement l’impact d’une compromission : même si un attaquant pénètre un service, il ne peut pas se déplacer latéralement vers les autres.

Pour les applications développées en PHP 8 que je déploie en cloud, je m’assure aussi que les communications entre le serveur web et le moteur PHP passent par un socket Unix sécurisé plutôt que par TCP, ce qui élimine un vecteur d’attaque réseau supplémentaire.

L’ANSSI recommande dans ses bonnes pratiques d’adopter cette approche de défense en profondeur, en combinant plusieurs couches de protection indépendantes.

Mesure 6 : assurer la conformité réglementaire

La conformité n’est pas qu’une contrainte administrative : c’est un cadre qui structure votre approche de la sécurité cloud computing. En France et en Europe, plusieurs réglementations encadrent l’utilisation du cloud.

Le RGPD est évidemment le texte principal. Il impose des obligations précises sur le traitement des données personnelles, y compris leur hébergement. Concrètement, cela signifie :

  • Savoir où sont physiquement stockées vos données (pays, région)
  • Vérifier que les transferts hors UE sont encadrés par des garanties appropriées
  • Documenter les mesures techniques et organisationnelles mises en place
  • Être capable de notifier une violation dans les 72 heures

Au-delà du RGPD, je vérifie toujours que le fournisseur cloud dispose des certifications pertinentes : ISO 27001 pour la gestion de la sécurité de l’information, SOC 2 pour les contrôles de service, et HDS (Hébergeur de Données de Santé) pour les projets dans le secteur médical.

Pour les projets qui manipulent des données sensibles, je privilégie les fournisseurs qualifiés SecNumCloud par l’ANSSI. Cette qualification garantit un niveau de sécurité élevé et une souveraineté des données sur le territoire français. C’est un critère déterminant lorsque je conseille mes clients sur le choix entre un cloud sécurisé gratuit et une offre professionnelle certifiée.

Je tiens un registre de conformité pour chaque projet, mis à jour à chaque modification de l’infrastructure. Ce document recense les mesures en place, les contrôles effectués et les actions correctives planifiées. La page dédiée au RGPD sur le site de la CNIL reste la référence que je consulte régulièrement pour rester à jour.

Mesure 7 : former et sensibiliser les équipes

La technologie ne suffit pas. J’ai vu des infrastructures parfaitement sécurisées être compromises à cause d’un simple clic sur un lien de phishing. Le facteur humain reste le maillon le plus vulnérable de la chaîne de sécurité.

Mon programme de sensibilisation couvre plusieurs axes :

  • Formation initiale de chaque nouvel utilisateur aux bonnes pratiques de sécurité cloud
  • Exercices de phishing simulé trimestriels pour tester la vigilance des équipes
  • Revues de sécurité intégrées au processus de développement (code review orienté sécurité)
  • Documentation accessible des procédures de sécurité, pas un document PDF de 200 pages que personne ne lit

Pour les équipes de développement, j’insiste sur les pratiques de sécurité applicative : ne jamais stocker de secrets dans le code source, utiliser des variables d’environnement ou un coffre-fort numérique (Vault, AWS Secrets Manager), valider toutes les entrées utilisateur, maintenir les dépendances à jour.

Sur les projets web que je supervise, notamment ceux utilisant des formulaires React ou des API comme celle de Shopify, la formation inclut les spécificités de sécurité frontend : protection contre le XSS, gestion sécurisée des tokens d’authentification côté client, validation côté serveur systématique.

Je recommande aussi de suivre une formation complémentaire sur les aspects techniques du web, car la sécurité se comprend mieux quand on maîtrise l’ensemble de l’écosystème. De même, les équipes qui travaillent sur des projets no-code doivent être sensibilisées aux risques spécifiques de ces plateformes, souvent moins transparentes sur leur gestion de la sécurité.

Tableau comparatif des solutions de sécurité cloud

Pour vous aider à choisir les bons outils, voici un comparatif des principales solutions de sécurité cloud que j’utilise ou que je recommande régulièrement :

Solution Type Points forts Tarif indicatif Idéal pour
AWS Security Hub CSPM / SIEM Intégration native AWS, alertes centralisées À partir de 0,001 € par contrôle Infrastructures AWS
Google Cloud Security Command Center CSPM Détection de vulnérabilités, inventaire des actifs Inclus (version standard) Écosystème Google Cloud
Azure Defender CWPP Protection des charges de travail, analyse comportementale À partir de 13 € par serveur/mois Environnements Microsoft
Wiz CNAPP Vue unifiée multi-cloud, scan sans agent Sur devis Architectures multi-cloud
CrowdStrike Falcon CWPP / EDR Détection avancée, réponse automatisée À partir de 8 € par poste/mois Entreprises avec SOC
Trivy (open source) Scanner de vulnérabilités Gratuit, scan de conteneurs et d’IaC Gratuit DevSecOps, CI/CD

Pour un meilleur cloud sécurisé adapté à votre contexte, je vous conseille de combiner au minimum un outil de gestion de la posture (CSPM) avec un scanner de vulnérabilités intégré à votre pipeline de déploiement. Cette combinaison couvre à la fois la configuration de l’infrastructure et la sécurité du code déployé.

Si vous souhaitez approfondir les aspects tarifaires des différentes offres cloud, je vous invite à consulter mon comparatif sur l’infonuagique publique qui détaille les coûts des principaux fournisseurs.

À retenir

  • Activez l’authentification multifacteur sur tous les comptes d’administration cloud sans exception
  • Appliquez le chiffrement AES-256 au repos et TLS 1.3 en transit sur toutes vos données
  • Documentez précisément le partage de responsabilités entre votre équipe et le fournisseur cloud
  • Testez vos restaurations de sauvegardes au moins une fois par trimestre avec un scénario réaliste
  • Formez vos équipes au phishing et aux bonnes pratiques de sécurité au minimum deux fois par an

Questions fréquentes


Quelle est la sécurité du cloud computing ?

La sécurité du cloud computing englobe l’ensemble des mesures techniques et organisationnelles déployées pour protéger les données, les applications et les infrastructures hébergées dans le cloud. Elle repose sur un modèle de responsabilité partagée entre le fournisseur (sécurité physique, réseau, hyperviseur) et le client (données, accès, configuration). Les principaux piliers incluent le chiffrement, la gestion des identités, la surveillance, la sauvegarde, la sécurisation réseau, la conformité réglementaire et la formation des équipes.


Quels sont les 4 types de sécurité ?

Les 4 types de sécurité applicables au cloud computing sont la sécurité physique (protection des centres de données et du matériel), la sécurité réseau (pare-feu, segmentation, protection DDoS), la sécurité applicative (authentification, validation des entrées, protection contre les injections) et la sécurité des données (chiffrement au repos et en transit, contrôle d’accès, sauvegarde). Ces quatre couches se complètent pour former une stratégie de défense en profondeur efficace.


Quels sont les 4 types de cloud computing ?

Les 4 types de cloud computing sont le cloud public (ressources mutualisées chez un fournisseur comme AWS ou Google Cloud), le cloud privé (infrastructure dédiée à une seule organisation), le cloud hybride (combinaison de cloud public et privé avec orchestration) et le multi-cloud (utilisation simultanée de plusieurs fournisseurs). Chaque modèle offre un niveau de contrôle différent sur la sécurité et le choix dépend des exigences de conformité, de performance et de budget de l’organisation.


Quels sont les 4 critères de sécurité ?

Les 4 critères de sécurité fondamentaux, souvent désignés sous l’acronyme DICT, sont la disponibilité (garantir l’accès aux services en continu), l’intégrité (s’assurer que les données ne sont pas altérées), la confidentialité (restreindre l’accès aux seules personnes autorisées) et la traçabilité (pouvoir retracer toutes les actions effectuées). Ces critères constituent le socle de toute politique de sécurité informatique et guident les décisions en matière de protection des systèmes cloud.


Le cloud est-il plus sécurisé qu’un hébergement classique ?

Le cloud n’est ni plus ni moins sécurisé par défaut qu’un hébergement classique. Tout dépend de la configuration et des mesures mises en place. Les grands fournisseurs cloud investissent des milliards dans la sécurité de leurs infrastructures, avec des certifications et des équipes dédiées que la plupart des entreprises ne peuvent pas se permettre en interne. Cependant, une mauvaise configuration des accès ou du réseau peut annuler ces avantages. La clé réside dans une bonne compréhension du modèle de responsabilité partagée.


Comment sécuriser gratuitement ses données dans le cloud ?

Plusieurs mesures de sécurité cloud sont gratuites et immédiatement applicables : activer l’authentification multifacteur (proposée sans surcoût par tous les fournisseurs), appliquer le principe du moindre privilège dans la gestion des accès, chiffrer les données avec les clés gérées par le fournisseur, utiliser des outils open source comme Trivy pour scanner les vulnérabilités, et activer les journaux d’audit natifs. Ces mesures couvrent une base solide de protection sans aucun investissement financier supplémentaire.


Damien Roux
Damien Roux

Ingénieur système et expert hébergement web. Fondateur de web-city.fr, il partage guides pratiques, comparatifs objectifs et outils gratuits pour choisir le bon hébergeur et créer son site WordPress.

Retour en haut