Le cloud : vous ne pouvez ni le toucher ni le voir. Pourtant, presque tout le monde l’utilise, souvent sans même s’en rendre compte. Vos employés se servent probablement d’applications software as a service (SaaS) pour la paie ou la gestion financière, et vos clients, sans aucun doute, dépendent de services hébergés dans le cloud. Il est omniprésent. Mais quand il s’agit de sécurité cloud, vous ne pouvez pas vous permettre d’avoir « la tête dans les nuages ».
La vérité, c’est que les attaquants y sont aussi. Ils vont là où se trouvent les données — et aujourd’hui, c’est dans le cloud. Ils sont intelligents, sophistiqués, et leurs attaques évoluent souvent plus vite que les défenses traditionnelles. À l’inverse, de nombreuses organisations continuent de s’appuyer sur des processus et technologies de sécurité sur site, laissant de grandes failles ouvertes.
Il n’est donc pas surprenant que la sécurité du cloud soit désormais au centre des priorités de tous les CISO — et qu’elle le reste pour les années à venir.
Qui est responsable de la sécurité quand tout le monde peut lancer un service ?
Le cloud a tout changé. Avant son arrivée, déployer un nouveau service pouvait prendre des mois de travail impliquant plusieurs équipes — achats, installation, configuration, sécurité. Le processus était lent et lourd, mais chaque étape était contrôlée et validée.
Avec le cloud, de nouvelles ressources peuvent être créées en quelques secondes. Excellent pour la rapidité, moins pour la sécurité. En contournant les processus structurés de l’informatique traditionnelle, on crée des zones d’ombre pour les équipes de sécurité. Et si elles ignorent qu’une nouvelle ressource existe, elles ne peuvent pas la protéger.
C’est pourquoi la visibilité est la base de la sécurité à l’ère du cloud. En éliminant les angles morts, vous reprenez le contrôle et maintenez votre environnement cloud sûr, conforme et résilient.
Faire de la visibilité une priorité
La première étape consiste à obtenir une vue unifiée et en temps réel de toutes vos ressources cloud — tous fournisseurs, charges de travail et services confondus — afin que rien ne passe inaperçu. La découverte automatisée et la surveillance continue sont essentielles pour permettre à votre équipe de sécurité d’identifier le shadow IT, les actifs non gérés et les erreurs de configuration avant les attaquants.
Les outils de Cloud Security Posture Management (CSPM) jouent un rôle crucial. Des plateformes comme Palo Alto Networks Prisma Cloud, Wiz, Cisco Cloud Protection, FortiCNAPP et d’autres offrent une visibilité centralisée sur des environnements multicloud complexes, signalant les risques tels que les compartiments de stockage exposés ou les politiques d’accès trop permissives. Ils garantissent également la conformité avec les normes du secteur et les politiques internes, et beaucoup proposent une correction automatisée des problèmes à grande échelle.
Avec les bons outils, la visibilité devient une défense proactive qui renforce la gouvernance, réduit les risques opérationnels et vous permet d’innover en toute sécurité dans le cloud — surtout lorsqu’elle s’accompagne de contrôles automatisés capables de détecter les erreurs avant qu’elles ne causent des dommages durables. Les CISO doivent donc considérer la visibilité, la détection et la correction automatisées comme non négociables.
Les perturbations liées aux événements géopolitiques posent des défis complexes
Même les meilleures configurations ne peuvent pas se prémunir contre les perturbations mondiales. Et malheureusement, il n’existe pas de solution simple pour gérer le risque géopolitique.
La meilleure approche consiste à le traiter comme ce qu’il est — un risque à gérer. Il faut disposer de plans de continuité, suivre de près l’évolution du contexte mondial et veiller à ce que vos données et charges de travail soient portables. La portabilité vous permet de transférer vos workloads d’un fournisseur à un autre — d’un hyperscaler à un fournisseur local — ou de les ramener sur site si nécessaire, vous offrant ainsi la flexibilité requise face à l’évolution des coûts, des risques ou des réglementations. Ce n’est pas une solution parfaite, mais elle renforce votre résilience.
Souveraineté numériqueC’est aussi pourquoi la souveraineté numérique est essentielle. Elle repose sur deux piliers : assurer la continuité des activités en cas d’interruption de service et conserver le contrôle sur vos données. Beaucoup supposent que les données dans le cloud sont automatiquement sauvegardées, mais ce n’est pas le cas — la disponibilité reste de votre responsabilité. De plus, lorsque les données sont stockées en dehors de votre juridiction, les obligations de conformité suivent. Le plus sûr est de tester régulièrement vos sauvegardes et d’adopter le chiffrement Bring Your Own Key (BYOK), afin de contrôler l’accès et de rester le véritable propriétaire de vos données.
Clarifier la confusion autour de la « responsabilité partagée »
Il existe souvent une confusion sur la répartition des responsabilités une fois les charges de travail déplacées dans le cloud. Le nom le dit bien : la responsabilité est partagée. C’est un peu comme sur la route : le fournisseur cloud entretient la chaussée et la garde sûre, mais vous restez responsable de votre véhicule et de votre conduite. Dans ce cas, votre responsabilité couvre les applications, les identités des utilisateurs, les autorisations d’accès et, surtout, vos données.
Comprendre cette répartition est essentiel. Trop souvent, les organisations ignorent leurs obligations, laissant leurs workloads vulnérables sans le savoir, jusqu’à ce qu’il soit trop tard.
Les CISO doivent rendre cette distinction parfaitement claire à leurs pairs au sein du comité exécutif. Mal comprendre où se situe la responsabilité peut créer de fausses certitudes dangereuses. Et dans le domaine du cloud, ces erreurs mènent souvent à des violations.
Comprendre la valeur cachée de la sécurité cloud
La sécurité, c’est d’abord une question de survie. La généralisation du cloud fait qu’une seule violation majeure peut paralyser une entreprise et ruiner sa réputation, entraînant des pertes de plusieurs millions d’euros.
Mais la sécurité est aussi un levier de performance. Avec des contrôles solides, vous pouvez lancer de nouvelles applications plus rapidement, adopter les technologies émergentes en toute sécurité et conquérir de nouveaux marchés sans compromettre vos données ni la confiance de vos clients. Elle protège vos revenus et votre image, tout en libérant l’agilité que le cloud est censé offrir.
Bien gérée, elle permet à votre entreprise d’innover, de croître et de transformer la résilience en avantage concurrentiel. Ce n’est pas une charge, mais un investissement. Le défi des CISO est de la présenter ainsi — non pas comme un coût inévitable, mais comme un moteur de croissance. Lorsque le conseil d’administration perçoit la sécurité comme un facteur d’innovation et de résilience, elle devient un pilier de la stratégie d’entreprise.
Sécurisez vos données avec NTT DATA
L’adoption du cloud ne ralentira pas — et les risques non plus. En comblant les lacunes de visibilité, en adoptant l’automatisation, en appliquant une approche zero trust et en planifiant la souveraineté numérique, les CISO peuvent protéger leurs organisations tout en poursuivant l’innovation et la croissance.
Chez NTT DATA, nous simplifions cette complexité grâce à notre approche intégrée Cloud Native Application Protection Platform (CNAPP), qui réunit visibilité, protection des workloads, gestion des identités et des accès, sécurité SaaS et surveillance continue. L’automatisation devient ici un multiplicateur de force, réduisant la charge des équipes et le délai entre la détection et la correction des incidents.
Nous donnons également la priorité à la sécurité zero trust, fondée sur une philosophie simple : Ne faites confiance à personne, à rien, vérifiez tout. Ce modèle part du principe que les violations sont inévitables, mais l’essentiel est que lorsqu’un attaquant entre, il ne puisse pas progresser. Le zero trust rend les mouvements latéraux beaucoup plus difficiles, confinant les menaces et protégeant les données sensibles même si une couche est compromise.
Pour les CISO, « ne faites confiance à personne, à rien, vérifiez tout » doit devenir un mantra quotidien. Les contrôles d’identité doivent être intégrés, le principe du moindre privilège appliqué, et le zero trust doit faire partie de la culture d’entreprise, pas seulement de la technologie.
Cette approche permet aux CISO de gérer moins d’outils, de renforcer la protection sur les environnements hybrides et multicloud et de consacrer plus de temps à la stratégie qu’à la réaction.
Prêt à transformer la sécurité en avantage de croissance ? Faisons-le ensemble.
Cet article a été coécrit par Renjith Philip, Capability Lead : Cloud Security and Endpoint chez NTT DATA.