Points clés
- Le cloud amplifie les risques lorsqu'il est mal maîtrisé : erreurs de configuration, visibilité réduite, dépendances non cartographiées
- Gartner : jusqu'en 2025, 99 % des incidents de sécurité cloud seront la faute du client, pas du fournisseur
- La migration vers le cloud ne transfère pas les responsabilités de sécurité — elle les redistribue selon le modèle de responsabilité partagée
- Capital One (2019) : 106 millions de dossiers exposés via une erreur de configuration AWS — cas d'école de la sécurité cloud mal maîtrisée
La migration vers le cloud est souvent présentée comme une réponse aux risques de sécurité des infrastructures on-premise : des fournisseurs disposant de ressources considérables pour sécuriser leurs datacenters, des certifications et des audits réguliers, des équipes de sécurité dédiées. Cette présentation est partiellement exacte — mais elle omet la dimension la plus critique : la sécurité du cloud n'est jamais entièrement du ressort du fournisseur.
Le modèle de responsabilité partagée (Shared Responsibility Model), publié par les grands fournisseurs cloud depuis les premières années de l'industrie, définit clairement les périmètres : le fournisseur est responsable de la sécurité "du" cloud (infrastructure, hyperviseurs, réseau physique) ; le client est responsable de la sécurité "dans" le cloud (configurations, données, identités, applications). La grande majorité des incidents cloud résultent d'une méconnaissance ou d'une mauvaise application de cette frontière.
Les risques spécifiques au cloud mal maîtrisé
Trois catégories de risques caractérisent le cloud mal maîtrisé : les risques de configuration (buckets S3 publics, security groups trop permissifs, APIs exposées sans authentification), les risques de visibilité (données dans le cloud dont l'organisation n'a plus le contrôle ni la visibilité complète), et les risques de dépendance (lock-in technologique, disponibilité du service conditionnée par des décisions unilatérales du fournisseur).
Ces risques ne sont pas inhérents au cloud — ils résultent d'une utilisation du cloud sans la gouvernance et les compétences appropriées. Le cloud bien maîtrisé peut offrir un niveau de sécurité supérieur à l'infrastructure on-premise, grâce aux investissements massifs des fournisseurs et à leur capacité à déployer des mises à jour de sécurité rapidement. Mais cette supériorité ne se réalise que si le client remplit correctement sa partie du modèle de responsabilité partagée.
La gouvernance cloud comme prérequis
La gouvernance cloud comprend trois dimensions : la gouvernance des usages (qui peut utiliser quels services cloud, selon quelles procédures d'approbation), la gouvernance des configurations (standards de configuration définis et vérifiés automatiquement via Cloud Security Posture Management - CSPM), et la gouvernance des données (classification, localisation, contrôles d'accès selon la sensibilité).
Sans cette gouvernance, le cloud devient un amplificateur de risque : la facilité d'accès et la vitesse de déploiement, qui font la valeur du cloud, permettent aussi aux erreurs de se propager rapidement et à grande échelle. Une erreur de configuration on-premise touche un serveur ; une erreur de configuration cloud peut toucher des milliers de ressources déployées en quelques minutes.
L'exigence de compétences cloud-native
La maîtrise de la sécurité cloud requiert des compétences spécifiques qui ne se réduisent pas aux compétences de sécurité on-premise. Les architectures cloud-native (microservices, serverless, conteneurs, Infrastructure as Code) créent des surfaces d'attaque et des vecteurs de risque que les approches traditionnelles de sécurité réseau ne couvrent pas. Les organisations qui migrent vers le cloud sans développer ces compétences en parallèle créent une inadéquation structurelle entre leur infrastructure et leur capacité à la sécuriser.
Le Cloud Security Alliance publie régulièrement ses "Top Threats to Cloud Computing", qui identifient les menaces les plus fréquentes dans les environnements cloud. Ces menaces sont dominées par des défaillances dans des domaines relevant du client : gestion des identités, configurations insuffisantes, interfaces non sécurisées.
Capital One utilisait AWS depuis plusieurs années et disposait d'une équipe cloud significative. La compromission de 2019, qui a exposé les données de 106 millions de clients, résultait d'une erreur de configuration d'un Web Application Firewall (WAF) hébergé sur AWS. Cette mauvaise configuration permettait une attaque SSRF (Server-Side Request Forgery) qui a donné accès aux métadonnées des instances EC2, incluant les credentials IAM. L'attaquante, une ancienne employée d'AWS, a exploité une faille dans la configuration du client — pas dans l'infrastructure AWS. La configuration incorrecte avait persisté pendant plusieurs mois sans être détectée.
La plateforme de streaming Twitch (propriété d'Amazon) a subi une exfiltration massive de 125 Go de données internes, incluant le code source de la plateforme et les rémunérations de milliers de streamers. L'investigation a révélé des configurations insuffisantes dans la gestion des accès aux référentiels de code. Bien que Twitch utilise l'infrastructure AWS de sa maison mère, la compromission résultait de configurations de droits d'accès insuffisantes côté client. L'incident illustre que le fait d'utiliser l'infrastructure d'un fournisseur de sécurité reconnu n'immunise pas contre les erreurs de configuration du client.
Une base de données hébergée sur Alibaba Cloud contenant les données personnelles d'environ un milliard de citoyens chinois a été exposée pendant plus d'un an via une interface d'administration accessible sans authentification. La base contenait des informations sur des délits, des affaires judiciaires et des données d'identité. L'exposition résultait d'une configuration erronée de l'interface Elasticsearch — une erreur relevant entièrement de l'administrateur de la base de données, pas du fournisseur cloud. L'incident est l'un des plus importants en termes de volume de données exposées de l'histoire du cloud computing.