Le cloud est sûr, votre configuration probablement pas
95% des failles de sécurité cloud sont dues à des erreurs de configuration humaine, pas à des vulnérabilités des fournisseurs (Gartner 2025). AWS, Azure et GCP investissent des milliards dans la sécurité de leur infrastructure. Mais la responsabilité est partagée : le fournisseur sécurise l'infrastructure, vous sécurisez ce que vous y mettez. Pour approfondir, consultez notre article sur Attaques DDoS : comprendre, prévenir et réagir. Pour approfondir, consultez notre article sur Authentification à deux facteurs : pourquoi et comment la mettre en place. Pour approfondir, consultez notre article sur Comparatif des meilleurs antivirus pour entreprise en 2026.
Le modèle de responsabilité partagée
Chaque fournisseur cloud applique ce modèle. Concrètement :
- Le fournisseur gère : sécurité physique des data centers, réseau backbone, hyperviseur, maintenance hardware
- Vous gérez : configuration des accès, chiffrement des données, mise à jour des applications, gestion des identités, monitoring
En SaaS (Google Workspace, Office 365), le fournisseur gère plus. En IaaS (EC2, VMs), vous gérez presque tout sauf le hardware. Plus vous avez de contrôle, plus vous avez de responsabilité en sécurité.
Les 5 risques cloud les plus fréquents
1. Buckets S3 / Blobs publics (fuite de données)
Des milliers d'entreprises ont exposé des données sensibles via des buckets S3 ou Azure Blob Storage configurés en accès public. Bases clients, sauvegardes de bases de données, documents internes : tout accessible à quiconque connaît l'URL. Vérifiez MAINTENANT : aucun de vos buckets de stockage ne doit être public sauf si c'est intentionnel (site statique par exemple).
2. Accès IAM trop permissifs
Le principe du moindre privilège est rarement appliqué dans le cloud. Des comptes de service avec des droits admin, des clés API jamais tournées, des ex-employés dont les accès sont toujours actifs. Chaque compte compromis avec des droits excessifs = accès total à votre infrastructure.
3. Données non chiffrées
Les données au repos (stockées) et en transit (transmises) doivent être chiffrées. AWS et Azure proposent le chiffrement par défaut, mais il faut l'activer. Vérifiez que vos bases de données RDS, vos volumes EBS et vos buckets S3 sont chiffrés.
4. Absence de monitoring et de logs
Sans CloudTrail (AWS), Activity Log (Azure) ou Cloud Audit (GCP), vous ne savez pas qui fait quoi dans votre infrastructure. Un attaquant peut opérer pendant des semaines sans être détecté. Activez la journalisation sur TOUS vos services cloud et configurez des alertes sur les événements suspects.
5. Coûts incontrôlés (shadow IT)
Pas directement un risque de sécurité, mais les ressources cloud oubliées (VMs, bases de données de test, buckets de dev) sont souvent non patchées, non monitorées et constituent des portes d'entrée. Plus vous avez de ressources fantômes, plus votre surface d'attaque est grande.
Checklist sécurité cloud pour PME
Identité et accès (IAM)
- MFA activé sur TOUS les comptes, surtout le compte root/admin
- Pas d'utilisation du compte root pour les opérations quotidiennes
- Principe du moindre privilège : chaque user/service a uniquement les droits nécessaires
- Rotation des clés API et des mots de passe tous les 90 jours
- Revue des accès trimestrielle : supprimer les comptes inactifs
Données
- Chiffrement au repos activé sur tous les stockages et bases de données
- Chiffrement en transit (HTTPS/TLS) pour toutes les communications
- Classification des données (public, interne, confidentiel, sensible)
- Politique de rétention : suppression automatique des données obsolètes
- Sauvegardes cross-region pour la résilience
Réseau
- VPC (Virtual Private Cloud) avec segmentation en sous-réseaux
- Security Groups restrictifs (pas de 0.0.0.0/0 en entrée sauf le port 443)
- Pas de ressources directement exposées à internet sans nécessité
- WAF (Web Application Firewall) devant les applications web
Monitoring
- CloudTrail / Activity Log activé et envoyé dans un SIEM
- Alertes configurées : connexions root, changements IAM, accès depuis des IP inhabituelles
- Dashboard de sécurité (AWS Security Hub, Azure Security Center, GCP Security Command Center)
Solutions SaaS pour la sécurité cloud PME
| Besoin | Solution | Prix |
|---|---|---|
| CSPM (posture management) | Prowler (open source), Wiz | 0-2$/ressource/mois |
| SIEM léger | Elastic Security, Sumo Logic | 0-150$/mois |
| Scanner de vulnérabilités | Qualys, AWS Inspector | 0-100$/mois |
| Gestion des secrets | AWS Secrets Manager, Vault | 0,40$/secret/mois |
Le cloud pour les PME : les gains de sécurité
Paradoxalement, le cloud est souvent PLUS sécurisé que l'infrastructure on-premise d'une PME. AWS/Azure/GCP ont des équipes de sécurité de classe mondiale, des certifications (SOC 2, ISO 27001, HDS), du chiffrement intégré et des mises à jour automatiques. Une PME avec un serveur sous le bureau n'offre rien de tout ça. Le cloud bien configuré est plus sûr que le on-premise mal géré.
Conformité et localisation des données
Le RGPD exige que les données personnelles des Européens soient traitées conformément aux règles européennes. AWS, Azure et GCP proposent des régions européennes (Paris, Francfort, Amsterdam). Configurez vos services pour stocker les données en EU. Pour les secteurs sensibles (santé, finance), vérifiez les certifications spécifiques : HDS (Hébergeur de Données de Santé) en France, SecNumCloud par l'ANSSI.
