Le cloud n'est pas sécurisé par défaut. La protection de vos données repose sur la responsabilité partagée : le fournisseur protège l'infrastructure, vous protégez données, accès et configurations.

La migration vers le cloud est inéluctable : plus de 85 % des PME espagnoles utilisent au moins un service cloud (messagerie, stockage, logiciel de gestion, CRM). Mais le cloud n'est pas sécurisé par défaut. La sécurité de vos données dans le cloud relève d'une responsabilité partagée entre vous et votre fournisseur cloud, et c'est la part qui vous incombe qui fait le plus souvent défaut. Ce guide vous explique ce que vous devez faire pour protéger vos données, votre réputation et votre conformité réglementaire dans les environnements cloud.

En quoi consiste le modèle de responsabilité partagée ?

Le concept le plus important à comprendre en matière de sécurité du cloud est que votre fournisseur protège l'infrastructure (centres de données, serveurs, réseau, virtualisation), mais que c'est vous qui êtes responsable de tout ce que vous posez par-dessus : données, configurations, accès, applications et utilisateurs. Dans un modèle IaaS (Infrastructure as a Service) comme AWS, Azure ou Google Cloud, vous êtes responsable du système d'exploitation, des applications, des données, des accès et de la configuration réseau. Dans un modèle SaaS (Software as a Service) comme Microsoft 365, Google Workspace, Salesforce ou HubSpot, le fournisseur gère l'application et l'infrastructure, mais vous restez responsable des données, des accès, de la configuration de sécurité et de la formation des utilisateurs. L'erreur la plus fréquente est de croire que, dès lors qu'une donnée est dans le cloud, le fournisseur la protège. C'est faux : si un employé partage un lien public vers un document confidentiel, la responsabilité vous revient, pas au fournisseur.

Quelles sont les mesures essentielles de gestion des identités et des accès (IAM) ?

Appliquez le principe du moindre privilège : chaque utilisateur ne doit avoir accès qu'à ce dont il a besoin pour son travail, et rien de plus. Utilisez l'authentification multifacteur (MFA) sur tous les comptes sans exception. Revoyez les autorisations au moins une fois par trimestre et révoquez les accès des employés qui ont changé de fonction ou quitté l'entreprise. Utilisez des comptes nominatifs (jamais partagés) et désactivez les comptes par défaut ou de test.

Comment chiffrer et sécuriser la configuration des données cloud ?

Activez le chiffrement en transit (TLS/SSL pour toutes les communications) et le chiffrement au repos (chiffrement des données stockées dans le cloud). La plupart des services cloud professionnels les offrent par défaut, mais vous devez vérifier qu'ils sont actifs. Pour les données particulièrement sensibles, envisagez le chiffrement côté client, où vous gérez les clés et où le fournisseur ne stocke que des données chiffrées qu'il ne peut pas déchiffrer. Les erreurs de configuration sont la principale cause de failles de sécurité dans le cloud : les plus fréquentes sont les espaces de stockage publics (buckets S3 sur AWS, Blob sur Azure), les ports d'administration exposés à Internet (RDP, SSH), les politiques de mot de passe faibles, l'absence de journaux d'audit et des règles de pare-feu trop permissives. Utilisez les référentiels CIS Benchmarks pour vérifier la configuration sécurisée de vos services.

Pourquoi prévoir une sauvegarde indépendante du fournisseur cloud ?

Ne vous fiez pas exclusivement à la redondance du fournisseur cloud pour vos sauvegardes. Une erreur de configuration, un rançongiciel qui se synchronise ou une action malveillante d'un employé peut effacer vos données, y compris dans le cloud. Conservez une sauvegarde indépendante en suivant la règle 3-2-1. Activez par ailleurs les journaux d'audit dans tous les services cloud pour enregistrer les accès, les modifications de données, les changements de configuration et les actions administratives, et examinez-les régulièrement ou mettez en place des alertes automatisées. Les outils DLP (Data Loss Prevention) intégrés à Microsoft 365 et Google Workspace permettent de détecter et de bloquer l'envoi de données sensibles.

Comment assurer la conformité réglementaire dans le cloud ?

Le RGPD exige que les données personnelles des citoyens européens soient traitées avec des garanties adéquates. Si vous utilisez des services cloud avec des centres de données hors de l'UE, vous devez vérifier l'existence de mécanismes de transfert valides (clauses contractuelles types, décisions d'adéquation). L'option la plus simple pour les PME est de choisir des fournisseurs qui proposent un stockage dans des centres de données situés au sein de l'UE. Si votre organisation est soumise à l'ENS (cadre national de sécurité espagnol), les services cloud que vous utilisez doivent respecter les exigences correspondant à la catégorie de votre système ; le CCN a publié des guides spécifiques et le catalogue CPSTIC inclut des services cloud qualifiés. Avant de migrer des données sensibles, évaluez le fournisseur sur ses certifications de sécurité (ISO 27001, SOC 2, ENS), la localisation de ses centres de données, ses clauses contractuelles, ses capacités de chiffrement et ses mécanismes de réponse aux incidents.

Sources officielles

Le marketing du cerveau est plus prévisible que le marketing de l'opinion. — Ángel Ortega Castro