Points clés
- Chaque modèle cloud — public, privé, hybride — présente un profil de risque distinct qui détermine son adéquation aux différents types de workloads
- Le cloud public offre l'échelle et la résilience mais exige une maîtrise du modèle de responsabilité partagée
- Le cloud privé offre le contrôle mais reporte sur le client l'ensemble de la responsabilité de sécurité
- Le cloud hybride cumule les risques des deux modèles si les interfaces entre eux ne sont pas correctement sécurisées
Le choix entre cloud public, privé et hybride est l'une des premières décisions architecturales d'une stratégie cloud. Ce choix a des implications directes sur la posture de sécurité : il détermine qui est responsable de quoi, quels contrôles de sécurité sont disponibles, et quels risques sont transférés au fournisseur versus assumés par l'organisation.
En pratique, la majorité des organisations de taille significative opèrent en mode hybride : une combinaison de cloud public pour les workloads adaptés à ce modèle, d'infrastructure on-premise pour les systèmes qui ne peuvent pas migrer, et parfois de cloud privé pour les données les plus sensibles. Cette réalité hybride cumule les défis de chaque modèle et ajoute les risques spécifiques des interfaces entre eux.
Le cloud public : risques et avantages
Le cloud public offre des avantages significatifs en matière de sécurité : des investissements massifs des fournisseurs en infrastructures sécurisées, des mises à jour de sécurité automatiques sur les couches gérées, et des certifications régulièrement renouvelées (ISO 27001, SOC 2, FedRAMP). Ses risques spécifiques : le modèle de responsabilité partagée (la sécurité de la couche client reste entièrement à la charge de l'organisation), la multi-tenancy (les ressources cloud sont partagées entre clients — avec des mécanismes d'isolation que les clients ne contrôlent pas directement), et la visibilité limitée sur l'infrastructure sous-jacente.
Le cloud public est adapté aux workloads non réglementés ou dont les exigences de sécurité sont satisfaites par les certifications du fournisseur, aux applications modernes conçues pour le cloud (cloud-native), et aux environnements de développement et de test.
Le cloud privé : contrôle et responsabilité totale
Le cloud privé — une infrastructure cloud dédiée à une seule organisation, opérée soit en interne soit par un fournisseur externe — offre le niveau de contrôle le plus élevé sur la sécurité. La multi-tenancy est éliminée, les configurations sont entièrement sous le contrôle de l'organisation, et les données ne quittent pas un périmètre défini. En contrepartie, l'organisation assume l'entière responsabilité de la sécurité de l'infrastructure — y compris les aspects que le cloud public délègue au fournisseur.
Le cloud privé est adapté aux workloads très sensibles (données de santé, données classifiées, propriété intellectuelle critique), aux organisations soumises à des exigences réglementaires imposant la maîtrise totale de l'infrastructure (secteurs bancaire dans certains pays, défense), et aux environnements pour lesquels la connectivité Internet directe n'est pas acceptable.
Le cloud hybride : les risques aux interfaces
Dans un environnement cloud hybride, les risques les plus importants se concentrent aux interfaces entre les différents environnements : les connexions entre le cloud public et l'infrastructure on-premise, les synchronisations de données entre cloud privé et cloud public, et les identités utilisées de manière cohérente sur l'ensemble des environnements. Ces interfaces sont souvent moins bien sécurisées que les environnements qu'elles relient, parce qu'elles ne sont dans le périmètre naturel d'aucune équipe.
L'ANSSI recommande que les environnements hybrides fassent l'objet d'une cartographie explicite des flux entre les différents périmètres, avec une évaluation de la sécurité de chaque interface — particulièrement pour les organisations soumises à des obligations de sécurité sectorielles.
La compromission de Capital One illustre précisément le risque du cloud public : non dans l'infrastructure AWS (qui fonctionnait correctement) mais dans la configuration du client. Le WAF (Web Application Firewall) mal configuré par Capital One créait une interface vulnérable entre Internet et le cloud AWS, permettant l'exploitation d'une SSRF. Le choix du cloud public n'a pas causé l'incident ; la maîtrise insuffisante du modèle de responsabilité partagée l'a rendu possible.
Les grandes banques françaises opèrent en cloud hybride : cloud public pour les applications non réglementées, cloud privé certifié SecNumCloud pour les données les plus sensibles, infrastructure on-premise pour les systèmes legacy non migrables. Cette architecture est le résultat des exigences conjointes de l'ACPR (régulateur bancaire) et de l'ANSSI. La complexité des interfaces entre ces trois environnements est gérée via des politiques IAM unifiées et des réseaux privés virtuels dédiés — une architecture qui fait l'objet de contrôles réguliers par l'ACPR.
Grab opère un environnement cloud hybride complexe combinant AWS pour la majorité de ses services, des clouds privés dans certains pays pour respecter les réglementations locales de localisation des données (Indonésie, Vietnam), et des connexions avec des partenaires bancaires via des interfaces dédiées. La sécurisation des interfaces entre ces environnements est une priorité explicite du programme de sécurité cloud de Grab, qui publie régulièrement des retours d'expérience sur les défis de la gouvernance multi-cloud dans un contexte réglementaire asiatique fragmenté.