L’informatique en nuage promettait un avenir plus simple pour les services informatiques des entreprises. Au lieu de construire et de maintenir leurs propres centres de données, les organisations pouvaient louer une puissance de calcul pratiquement illimitée avec une carte de crédit et quelques clics. Mais à mesure que des données et des systèmes critiques migrent vers le cloud, une nouvelle réalité s’impose. Les plus grands risques ne sont plus les serveurs visibles, mais les configurations, les identités et les angles morts invisibles. « Le cloud a éliminé nos maux de tête matériels », explique la conseillère en cybersécurité Karen Liu, « mais il a aussi éliminé l’illusion que nous pouvions tout sécuriser avec un périmètre unique. »
Les fournisseurs mettent en avant des centres de données dignes de forteresses et des couches de sécurité intégrées, et ils tiennent cette promesse. L’infrastructure physique et les plateformes de base des grands fournisseurs cloud sont, de l’avis général, bien plus robustes que ce que la plupart des entreprises pourraient construire elles-mêmes. Pourtant, ces mêmes entreprises continuent d’être victimes de violations. La raison tient à une idée simple mais souvent négligée : la sécurité dans le cloud est une responsabilité partagée. Le fournisseur protège la fondation ; ce que les clients construisent au-dessus relève en grande partie de leur propre responsabilité. Comme le résume Philippe Heilman, PDG d’une société de conseil en TI : « Le fournisseur verrouille les portes du bâtiment ; c’est vous qui laissez la fenêtre de votre bureau grande ouverte. »
Cette distinction n’est pas toujours évidente au quotidien. Une équipe de projet crée un nouvel espace de stockage pour une campagne marketing, ou un développeur déploie une base de données de test pour respecter un délai serré. La rapidité et la commodité qui rendent le cloud si attractif rendent aussi dangereusement facile le contournement des contrôles de sécurité. Un seul mauvais réglage, une base de données exposée à Internet, un stockage rendu public « juste pour maintenant » peut exposer des millions d’enregistrements. Beaucoup des incidents cloud les plus médiatisés de ces dernières années n’ont pas impliqué d’exploits sophistiqués, mais de simples erreurs de configuration passées inaperçues jusqu’à ce qu’un tiers les découvre.
Les modèles de sécurité traditionnels peinent à suivre ce nouveau monde. Pendant des décennies, les entreprises ont construit leurs défenses autour d’un périmètre clair : un réseau d’entreprise avec des pare-feu en bordure et des outils de surveillance inspectant le trafic entrant et sortant. Le cloud a pulvérisé ce périmètre. Les charges de travail sont dispersées entre régions et fournisseurs, apparaissant et disparaissant d’une minute à l’autre. Les employés se connectent de partout. Les partenaires et services tiers se branchent directement sur les systèmes centraux. Dans cet environnement, la visibilité n’est plus un luxe ; c’est la seule manière de savoir ce que l’on défend réellement. Comme le décrit Aisha Reynolds, responsable SOC expérimentée : « Dans l’ancien monde, nous surveillions quelques portes très fréquentées. Dans le cloud, chaque charge de travail est une porte, et elles ne cessent de bouger. »
Pourtant, obtenir cette visibilité est loin d’être simple. Chaque plateforme cloud possède ses propres outils de journalisation, de surveillance et de sécurité, souvent avec des paramètres et des tableaux de bord différents. Les assembler pour obtenir une vision cohérente exige à la fois une expertise technique et une volonté organisationnelle. Sans cet effort, les équipes de sécurité peuvent se retrouver dans la pire situation possible : responsables de la protection de données qu’elles ne peuvent pas entièrement voir.
S’il existe une expression qui résume le risque cloud moderne, c’est celle-ci : l’identité est le nouveau périmètre. En pratique, presque tout dans le cloud – utilisateurs, applications, services, voire machines, est représenté par une identité dotée d’autorisations. Celui qui contrôle ces identités contrôle l’accès aux données et aux systèmes. Cela a fait des mots de passe, des clés d’accès et des jetons des cibles de choix. Les campagnes de phishing, les malwares et les fuites de code source peuvent tous fournir des identifiants précieux, parfois avec des privilèges d’administrateur.
Dans de nombreuses organisations, la situation est préoccupante. Les comptes sont sur-privilégiés parce que les restreindre prend du temps. L’authentification multifacteur n’est pas appliquée de manière cohérente, en particulier pour les outils hérités et les comptes de service. Des secrets qui devraient être conservés dans des coffres dédiés se retrouvent codés en dur dans des scripts ou des fichiers de configuration. Dans un environnement cloud, une seule identité compromise avec des privilèges étendus peut faire la différence entre un incident mineur et une crise à l’échelle de l’entreprise.
La protection des données ajoute une couche supplémentaire de complexité. Les informations sensibles circulent désormais dans des infrastructures mondiales pouvant s’étendre sur plusieurs continents. Les régulateurs et les clients posent de plus en plus de questions difficiles : Où ces données sont-elles stockées ? Qui peut y accéder ? Combien de temps sont-elles conservées, et sous quel régime juridique ? Le chiffrement, autrefois un avantage distinctif, est devenu une attente minimale. Le travail le plus difficile consiste à classifier correctement les données, appliquer des politiques à travers des dizaines de services et démontrer la conformité lors des audits.
Parallèlement, la progression vers le multi-cloud et le SaaS a créé une prolifération que peu d’organisations contrôlent réellement. Pour éviter la dépendance à un seul fournisseur, de nombreuses entreprises répartissent délibérément leurs charges de travail sur deux ou plusieurs clouds majeurs. Les unités métier adoptent des plateformes SaaS spécialisées pour répondre à des besoins immédiats. Avec le temps, le résultat ressemble moins à une stratégie qu’à une accumulation d’exceptions. Les équipes de sécurité doivent démêler ce nœud, en appliquant des normes cohérentes à des systèmes qui n’ont jamais été conçus pour être gérés ensemble.
Pendant ce temps, les attaquants s’adaptent discrètement. Ils scannent Internet à la recherche de ressources cloud exposées, sondent les API et examinent les pipelines de déploiement pour y trouver des failles. Ils savent que les environnements complexes abritent souvent des recoins oubliés, un ancien environnement de test, un compte abandonné, un stockage négligé. Dans ces recoins, ils cherchent les points d’appui qui peuvent mener à quelque chose de plus grave.
Ce qui se dégage de tout cela n’est pas une histoire de vulnérabilité inévitable, mais une course entre complexité et contrôle. Le cloud a offert aux organisations un pouvoir sans précédent pour construire et évoluer. Il a aussi déplacé les problèmes de sécurité les plus difficiles, des murs et du matériel vers les configurations, les autorisations et les processus. Les outils pour gérer ces risques existent, mais la technologie seule ne suffira pas. Comme l’observe la stratège cloud Priya Nandakumar : « Les organisations qui réussissent dans le cloud ne sont pas seulement les plus rapides à déployer ; ce sont celles qui comprennent le plus vite que la sécurité est un problème de conception, pas un ajout tardif. »
Les organisations qui s’en sortent le mieux dans ce nouvel environnement partagent quelques traits. Elles considèrent l’adoption du cloud comme une transformation stratégique, et non comme une collection de projets isolés. Elles investissent dans le travail peu glamour de la gouvernance, des politiques claires sur la manière dont les services cloud sont choisis, configurés et surveillés. Elles intègrent la sécurité en amont du développement, de sorte que la vérification des paramètres dangereux devienne aussi automatique que l’exécution des tests. Et elles reconnaissent que sécuriser le cloud n’est pas la mission d’une seule équipe en fin de chaîne, mais une responsabilité partagée, du conseil d’administration jusqu’aux scripts de build.
Le cloud n’a jamais été seulement un changement d’infrastructure ; c’est un changement dans la manière dont les organisations pensent le contrôle. La question qui se pose désormais aux dirigeants est de savoir s’ils peuvent égaler l’agilité du cloud par une agilité équivalente en matière de sécurité. S’ils n’y parviennent pas, la prochaine violation médiatisée ne reposera peut-être pas sur un exploit sophistiqué, mais simplement sur une case oubliée dans une console que quelqu’un comptait corriger demain.
