La sécurité du cloud est aujourd’hui un enjeu majeur pour toutes les organisations. Elle n’est plus seulement une question technique : elle est devenue un sujet stratégique de conseil d’administration, influençant la survie, la résilience et la croissance des entreprises.
Dans cet entretien, Patrick Schraut, Senior Vice President, Cybersecurity, et Renjith Philip, Global Cloud Security Lead chez NTT DATA, partagent leur expérience auprès de clients issus de divers secteurs. Ils expliquent pourquoi les erreurs de configuration et le manque de visibilité sont si dangereux, ce que signifie réellement le zero trust dans les environnements hybrides, comment anticiper les risques géopolitiques et pourquoi la sécurité du cloud est autant un catalyseur d’innovation qu’un mécanisme de protection.
Pourquoi la sécurité du cloud est-elle un sujet aussi brûlant aujourd’hui ?
Toutes les organisations utilisent désormais le cloud, d’une manière ou d’une autre. Certaines ont pleinement adopté les plateformes de cloud public, tandis que d’autres consomment des services cloud de façon indirecte via des applications tierces ou des offres software-as-a-service (SaaS). Cette omniprésence fait du cloud une cible privilégiée pour les attaquants, qui y voient la plus forte concentration de données et de services.
Le défi est que, tandis que les méthodes d’attaque se perfectionnent, beaucoup d’entreprises s’appuient encore sur des processus et des technologies de sécurité traditionnels, sur site. Cela crée un décalage entre la manière dont les services sont déployés et la façon dont ils sont défendus. Résultat : un environnement à la fois essentiel pour l’activité et très exposé. C’est pourquoi la sécurité du cloud figure désormais au sommet de l’agenda de tous les CISO — et y restera dans un avenir prévisible.
Dans le modèle de responsabilité partagée, qui détient la responsabilité finale de la sécurité du cloud ?
On pense parfois à tort que migrer vers le cloud signifie que le fournisseur prend en charge tous les aspects de la sécurité. En réalité, le modèle est partagé. Les fournisseurs cloud sécurisent l’infrastructure — centres de données, matériel et plateforme de base — mais les organisations demeurent responsables de la configuration et de l’usage des services.
Cette responsabilité couvre les applications, les identités utilisateurs, les autorisations d’accès et, surtout, les données. Le fournisseur protège les fondations, mais le client est responsable de ce qu’il construit dessus. Comprendre cette répartition est essentiel : ignorer sa part de responsabilité revient à laisser ses workloads critiques sans protection — souvent sans s’en apercevoir avant qu’il ne soit trop tard.
Quels sont les principaux points de douleur rencontrés par les organisations en matière de sécurité cloud ?
Les deux défis les plus fréquents sont les erreurs de configuration et le manque de visibilité.
Le cloud permet de créer de nouvelles ressources en quelques secondes, contournant les processus structurés et lents de l’IT traditionnel. Cette rapidité favorise l’innovation mais crée des zones d’ombre pour les équipes de sécurité. Si un service est lancé sans que la sécurité en soit informée, il ne peut être ni surveillé, ni renforcé, ni corrigé. Les attaquants exploitent agressivement ces services « invisibles ».
Parallèlement, les erreurs de configuration constituent la cause la plus courante des violations dans le cloud. Un simple oubli — comme un compartiment de stockage public ou une liste de contrôle d’accès mal paramétrée — peut exposer massivement des données sensibles.
Qu’est-ce qui provoque les erreurs de configuration dans le cloud ?
La facilité d’utilisation est à la fois le plus grand atout et la plus grande faiblesse du cloud. Un développeur ou un ingénieur peut créer un serveur ou une base de données en quelques clics. Mais sans formation en sécurité, il peut involontairement créer une configuration à risque. Par exemple, relier des interfaces internes et externes sur le même serveur peut ouvrir un pont accidentel vers des systèmes sensibles.
Autrefois, déployer un service impliquait plusieurs équipes — achats, administration système et sécurité — validant chaque étape. Ces garde-fous naturels ont souvent disparu. C’est pourquoi les erreurs de configuration sont si fréquentes. La solution passe par la formation, des politiques claires et surtout des contrôles automatisés pour détecter les erreurs avant leur mise en production.
Comment les équipes peuvent-elles rapidement regagner de la visibilité sur leurs comptes et services ?
C’est ici que les outils de Cloud Security Posture Management (CSPM) sont indispensables. Plutôt que de s’appuyer sur des inventaires manuels, les CSPM se connectent directement à vos comptes cloud, qu’ils soient hébergés chez Amazon Web Services, Microsoft Azure ou Google Cloud. En quelques heures, vous obtenez une vue d’ensemble complète et sans agent de votre environnement.
Cette vue inclut les types de services exécutés, leurs communications, les ports ouverts et les vulnérabilités connues. Certaines plateformes CSPM intègrent également des fonctions d’automatisation ou des recommandations de correction, permettant de combler plus rapidement les failles. Pour tout service de sécurité confronté au shadow IT, le CSPM fournit la base de visibilité nécessaire.
À quoi ressemble la sécurité zero trust dans un modèle de cloud hybride ?
Le zero trust est devenu l’un des concepts les plus évoqués en cybersécurité, mais il est souvent mal compris. Ce n’est pas un produit à acheter, mais un cadre et une philosophie.
La sécurité périmétrique traditionnelle ressemblait à un coffre-fort : une fois à l’intérieur, l’accès était souvent libre. Le zero trust inverse cette logique. Plutôt que de faire confiance à tout utilisateur présent à l’intérieur du périmètre, il exige une vérification continue à chaque étape — que la demande vienne d’un utilisateur, d’un appareil, d’une charge de travail ou d’une application. Dans les environnements hybrides combinant centres de données sur site et clouds publics, le zero trust apporte la cohérence et les principes directeurs nécessaires.
Comment expliquer simplement le zero trust ?
En une phrase : ne faites confiance à rien ni à personne, vérifiez tout. Chaque utilisateur doit s’authentifier, chaque appareil doit être vérifié, chaque connexion inspectée et chaque demande d’accès validée selon le principe du moindre privilège.
Ce modèle reconnaît que les violations sont inévitables. L’essentiel est que lorsqu’un attaquant obtient un premier accès, il ne puisse ni se déplacer librement ni étendre ses privilèges. Le zero trust rend le mouvement latéral beaucoup plus difficile, confinant les menaces et protégeant les données sensibles même en cas de brèche.
Par où les organisations devraient-elles commencer pour réduire rapidement les risques liés au cloud ?
Le premier levier rapide, c’est la visibilité. Vous ne pouvez pas protéger ce que vous ne voyez pas. Cartographier tous les actifs et services est la première étape. Ensuite vient l’automatisation, car les vérifications manuelles sont trop lentes pour suivre le rythme du cloud.
L’application et la correction automatisées des politiques réduisent le délai entre la détection d’un problème et sa résolution. Par exemple, une règle automatique peut fermer un port public ou isoler une ressource mal configurée sans intervention humaine. Cette combinaison — visibilité + automatisation — apporte une réduction immédiate du risque et une résilience accrue.
Quelle est la meilleure façon d’aborder l’automatisation et la posture de sécurité cloud ?
Souvent, les entreprises migrent vers le cloud une seule fois, puis conservent cette architecture pendant des années. Les choix initiaux déterminent donc la sécurité à long terme. Tenter de tout construire en interne peut s’avérer risqué si les équipes manquent d’expérience.
La meilleure approche consiste à associer expertise interne et savoir-faire externe d’acteurs spécialisés. Les fournisseurs de services de sécurité managés (MSSP) peuvent aider à définir des garde-fous, appliquer les meilleures pratiques et assurer une surveillance continue. L’objectif est de réduire le temps moyen de détection (MTTD) et le temps moyen de rétablissement (MTTR). L’automatisation accélère ces deux métriques, permettant à la sécurité de suivre le rythme de l’entreprise.
Comment se préparer aux perturbations cloud causées par des événements géopolitiques ?
C’est l’une des questions les plus complexes que posent les clients aujourd’hui. Si le problème était matériel ou logiciel, la réponse serait simple : utiliser plusieurs fournisseurs cloud. Mais le risque géopolitique peut affecter tous les hyperscalers d’une même région, rendant ce choix moins efficace.
L’approche pragmatique consiste à considérer la géopolitique comme un risque à gérer. Cela implique de prévoir des plans de contingence, de surveiller l’évolution des contextes internationaux et d’envisager le maintien ou la réplication de certaines charges de travail critiques sur site ou chez des fournisseurs locaux plus petits — même s’ils offrent moins de fonctionnalités. L’objectif n’est pas la perfection, mais la résilience et la tolérance au risque.
Que signifie la souveraineté numérique en pratique ?
Beaucoup d’organisations pensent qu’une fois leurs données dans le cloud, elles sont automatiquement sécurisées et sauvegardées. En réalité, la plupart des services n’incluent pas de sauvegarde par défaut. Garantir la disponibilité des données reste la responsabilité du client.
La souveraineté numérique englobe également les aspects juridiques et réglementaires. Si les données sont stockées hors de votre juridiction, des obligations de conformité s’appliquent. Pour y répondre, il est conseillé de chiffrer les données sensibles et d’utiliser des modèles Bring Your Own Key (BYOK), afin que le contrôle des clés d’accès reste entre vos mains, et non celles du fournisseur. Ensemble, sauvegardes et chiffrement BYOK garantissent que vous demeurez le véritable propriétaire de vos données.
- À lire aussi → Réarchitecturer pour l’avenir : pourquoi les clouds privés et souverains s’imposent à l’ère de l’IA
Comment concevoir des applications portables et flexibles ?
L’un des plus grands atouts du cloud est sa flexibilité, mais seulement si vous concevez vos systèmes pour la portabilité. Si vos workloads dépendent d’un seul fournisseur, vous perdez cette capacité d’adaptation.
Les applications doivent être conçues pour pouvoir être redéployées ailleurs — chez un autre fournisseur ou de nouveau sur site — sans réingénierie complète. Les standards ouverts, la containerisation et les architectures modulaires sont des éléments clés pour y parvenir. La portabilité vous laisse la liberté de choix face à l’évolution des coûts, des risques ou des réglementations.
Comment simplifier et consolider la pile de sécurité cloud ?
Les outils de sécurité cloud se sont multipliés. Beaucoup d’entreprises utilisent plusieurs plateformes qui se chevauchent : CSPM pour la visibilité, CNAPP (Cloud Native Application Protection Platform) pour les défenses intégrées et CIEM (Cloud Infrastructure Entitlement Management) pour la gestion des identités et des privilèges. Cette prolifération crée de la complexité et des failles.
Certains fournisseurs proposent des suites intégrées, d’autres excellent dans des domaines précis. La meilleure stratégie est de consolider autant que possible, d’aligner les outils sur les risques réels et de s’appuyer sur des partenaires managés pour combler les lacunes. La simplification réduit les coûts et les frictions opérationnelles, facilitant une action rapide et cohérente des équipes de sécurité.
Quels sont les mythes ou erreurs les plus répandus en matière de sécurité cloud ?
Deux mythes dominent :
- Le cloud serait sécurisé par défaut.
- Les environnements sur site seraient naturellement plus sûrs.
Ces deux affirmations sont fausses. La sécurité ne dépend pas du lieu mais de la manière dont les systèmes sont configurés et exploités.
Les erreurs de configuration restent la faille la plus fréquente — et la plus sous-estimée — car elles résultent souvent d’erreurs humaines simples. Pourtant, leurs conséquences peuvent être catastrophiques, exposant des données sensibles ou ouvrant la voie à des intrusions. Corriger ce mythe est une mission essentielle pour les responsables de la sécurité.
Pourquoi la sécurité du cloud est-elle cruciale pour l’entreprise — et pour l’innovation ?
La sécurité du cloud ne se limite plus à la conformité. Aujourd’hui, tout fonctionne dans le cloud : systèmes, données, même les charges de travail d’intelligence artificielle. Une violation majeure peut paralyser l’entreprise ou détruire la confiance des clients. Dans ce sens, la sécurité est synonyme de survie.
Mais c’est aussi un moteur d’innovation. Des contrôles solides permettent de déployer de nouvelles applications plus vite, d’adopter les technologies émergentes en toute confiance et d’explorer de nouveaux marchés en sécurité. La sécurité protège les revenus et la réputation, tout en libérant l’agilité pour laquelle le cloud a été conçu. Elle n’est pas un frein au progrès, mais la ceinture de sécurité qui le rend possible.
Donnez à votre entreprise une base solide et sécurisée
La sécurité du cloud n’est pas optionnelle : elle constitue la base de la résilience et de la croissance. Pour garder une longueur d’avance sur les attaquants, il faut combiner visibilité, automatisation et mindset zero trust, tout en se préparant aux risques allant des erreurs de configuration à la géopolitique, et en adoptant la souveraineté numérique pour garder le contrôle de ses données.
Surtout, il faut reconnaître la sécurité à la fois comme un impératif de survie et un levier de croissance. Voilà ce que signifie l’entreprise sécurisée et innovante : protéger tout en permettant d’innover.