Points clés
- La sécurité cloud doit être une dimension constitutive de la stratégie cloud dès la conception — pas une couche ajoutée a posteriori
- Le Cloud Security Alliance Cloud Controls Matrix (CCM) est le référentiel le plus adopté pour structurer la sécurité dans une stratégie cloud
- Les six piliers AWS Well-Architected Framework Security sont applicables à tout environnement cloud, quel que soit le fournisseur
- La gouvernance cloud doit articuler trois niveaux : stratégique (direction), tactique (RSSI/équipes sécurité) et opérationnel (équipes cloud)
Intégrer la sécurité dans une stratégie cloud globale, c'est adopter une posture radicalement différente de celle qui consiste à sécuriser a posteriori une infrastructure cloud déjà déployée. La sécurité ajoutée après coup est toujours plus coûteuse, moins efficace et génératrice de dette technique : les architectures conçues sans contrainte sécurité doivent être refondées, les configurations ouvertes doivent être fermées avec le risque de casser des usages existants, et les équipes doivent changer des pratiques déjà installées.
Une stratégie cloud sécurisée définit, avant tout déploiement, les principes de sécurité non négociables (chiffrement systématique, moindre privilège, journalisation complète), les standards de configuration applicables à tous les déploiements, et les processus de validation sécurité qui conditionnent l'autorisation de mise en production.
Les référentiels pour structurer la sécurité cloud
Le Cloud Security Alliance Cloud Controls Matrix (CCM) — dans sa version 4.0 — est le référentiel le plus complet pour structurer la sécurité dans les environnements cloud. Il couvre 197 contrôles organisés en 17 domaines, de la gouvernance des identités à la gestion de la conformité, en passant par la sécurité des applications et la cryptographie. Il est conçu pour être compatible avec les principaux référentiels de sécurité (ISO 27001, NIST CSF, PCI-DSS).
Les grands fournisseurs cloud ont publié leurs propres frameworks de sécurité : AWS Well-Architected Framework (pilier Security), Azure Security Benchmark, Google Cloud Security Foundations. Ces frameworks sont spécifiques à chaque fournisseur mais partagent des principes communs — ils peuvent être utilisés comme base de structuration de la sécurité cloud, complétés par le CCM pour une vision multi-cloud.
Les niveaux de gouvernance de la sécurité cloud
La gouvernance de la sécurité cloud s'organise sur trois niveaux : stratégique (définition de l'appétit au risque cloud, validation des politiques de sécurité cloud, reporting à la direction), tactique (supervision du RSSI : CSPM, IAM, audit des configurations, gestion des incidents), et opérationnel (équipes cloud : déploiement sécurisé, réponse aux alertes, maintenance des configurations conformes).
La clarté de ces niveaux et de leurs interactions est une condition de l'efficacité : sans délimitation claire des responsabilités à chaque niveau, les décisions de sécurité cloud se prennent par défaut au niveau opérationnel, sans vision stratégique — produisant des choix cohérents localement mais incohérents globalement.
L'intégration dans les processus existants
La sécurité cloud ne doit pas créer de processus parallèles mais s'intégrer dans les processus existants : les Security Gates cloud s'intègrent dans les processus de déploiement CI/CD, les revues de sécurité cloud s'intègrent dans les comités de pilotage des projets, et les indicateurs de sécurité cloud s'intègrent dans les tableaux de bord de gouvernance. Cette intégration est la condition de son adoption opérationnelle durable.
Après la compromission de 2019, Capital One a engagé un programme de refonte de sa gouvernance cloud. Le programme a intégré des contrôles automatisés de configuration (CSPM), une politique IAM basée sur le moindre privilège appliquée à tous les nouveaux déploiements, et des Security Gates obligatoires dans tous les pipelines CI/CD cloud. Capital One publie régulièrement ses pratiques de sécurité cloud comme contribution à l'industrie, transformant un incident majeur en programme de référence.
T-Systems, la filiale cloud de Deutsche Telekom, a développé un cadre de gouvernance cloud qui s'applique à l'ensemble de ses déploiements multi-cloud (AWS, Azure, Open Telekom Cloud). Ce cadre définit des politiques de sécurité uniformes applicables indépendamment du fournisseur, avec des outils d'audit automatisés qui vérifient la conformité sur chaque environnement. Le cadre a été certifié BSI C5 (Cloud Computing Compliance Controls Catalogue allemand) et est présenté comme référence de gouvernance cloud pour les entreprises opérant dans des environnements réglementés européens.
OCBC Bank a développé un Cloud Security Framework intégré dans sa stratégie de transformation numérique. Le framework définit quatre niveaux de classification des workloads cloud selon leur criticité, avec des exigences de sécurité différenciées pour chaque niveau. Tous les déploiements cloud passent par un processus de validation sécurité automatisé intégré dans les pipelines DevSecOps. OCBC cite ce framework dans ses rapports annuels comme composante de sa stratégie de gestion du risque opérationnel.