Phylapp
Maîtrise et sécurisation du cloud

L’illusion de sécurité liée aux grands fournisseurs

L'illusion de sécurité liée aux grands fournisseurs cloud masque la réalité du modèle de responsabilité partagée : leurs certifications couvrent leur infrastructure, pas les configurations et usages de leurs clients, sources de 99 % des incidents cloud.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Utiliser un grand fournisseur cloud (AWS, Azure, GCP) ne garantit pas la sécurité des données — la responsabilité partagée reste entière côté client
  • La réputation sécurité du fournisseur ne protège pas contre les erreurs de configuration du client : 99 % des incidents cloud sont dus au client (Gartner)
  • Les certifications cloud (ISO 27001, SOC 2) couvrent l'infrastructure du fournisseur, pas les configurations et usages du client
  • L'illusion de sécurité liée aux grands fournisseurs est amplifiée par leur marketing sécurité — qui communique sur leurs propres investissements, pas sur les responsabilités du client

L'une des idées reçues les plus répandues sur la sécurité cloud est que choisir un grand fournisseur reconnu — AWS, Microsoft Azure, Google Cloud — garantit un niveau élevé de sécurité pour les données et les applications qui y sont hébergées. Cette conviction, alimentée par les communications marketing des fournisseurs qui mettent en avant leurs certifications et leurs investissements en sécurité, crée une illusion dangereuse : celle que déléguer l'infrastructure au fournisseur délègue aussi la responsabilité de sécurité.

La réalité du modèle de responsabilité partagée est exactement inverse sur les dimensions les plus critiques. Les fournisseurs cloud sont responsables de la sécurité de leur infrastructure — et ils investissent massivement pour en maintenir le niveau. Mais les configurations des services, la gestion des accès, la protection des données et la conformité réglementaire restent entièrement sous la responsabilité du client. Ce sont précisément ces dimensions qui sont à l'origine de la grande majorité des incidents cloud.

Ce que les certifications couvrent réellement

Les certifications cloud (ISO 27001, SOC 2 Type II, CSA STAR) attestent que le fournisseur a mis en place et maintient un système de management de la sécurité efficace pour son infrastructure. Elles ne couvrent pas les configurations déployées par les clients, les droits d'accès que les clients accordent à leurs utilisateurs, ni les données que les clients stockent dans le cloud. Un client peut héberger des données mal protégées sur une infrastructure certifiée ISO 27001 : la certification du fournisseur ne compense pas les défaillances du client.

Cette distinction est explicitement mentionnée dans les rapports SOC 2 des fournisseurs cloud — mais elle est rarement lue par les clients qui se contentent de la conclusion "le fournisseur est certifié, nous sommes protégés".

Les failles dans les services des grands fournisseurs

Les grands fournisseurs cloud eux-mêmes ne sont pas immunisés contre les vulnérabilités dans leurs propres services. Des chercheurs en sécurité ont régulièrement découvert des vulnérabilités dans AWS, Azure et GCP qui, si exploitées, auraient pu permettre des accès non autorisés aux données des clients. Ces vulnérabilités sont généralement corrigées rapidement — mais leur existence rappelle que même la meilleure infrastructure n'est pas parfaite.

Les incidents de sécurité affectant les fournisseurs cloud eux-mêmes — Microsoft Exchange Online compromis par des attaquants en 2023, accès aux emails de responsables gouvernementaux américains via une faille dans les services Microsoft — ont révélé que la confiance dans les grands fournisseurs ne peut pas être absolue. La défense en profondeur, qui ne repose pas uniquement sur les contrôles du fournisseur, reste la bonne pratique.

La due diligence continue comme antidote

L'antidote à l'illusion de sécurité des grands fournisseurs est la due diligence continue : des évaluations régulières de la posture de sécurité propre à l'organisation dans ses environnements cloud, des tests de pénétration ciblant les configurations cloud, et une veille sur les vulnérabilités et incidents affectant les services cloud utilisés. Cette due diligence est dans le périmètre de responsabilité du client — elle ne peut pas être déléguée au fournisseur.

Illusion de sécurité des grands fournisseurs : incidents révélateurs
Microsoft Exchange Online — accès par des attaquants, 2023
Des attaquants (groupe Storm-0558, attribué à la Chine) ont accédé aux boîtes email de 25 organisations dont plusieurs agences gouvernementales américaines via une vulnérabilité dans les services Microsoft Exchange Online. La clé de signature utilisée pour forger des tokens d'authentification avait été compromise depuis un environnement de développement Microsoft. L'incident a révélé une vulnérabilité dans l'infrastructure d'un des plus grands fournisseurs cloud mondiaux, et conduit à des remises en question du niveau d'accès que les agences gouvernementales accordaient à Microsoft sans contrôles compensatoires.
Autorité Bancaire Européenne (EBA) — incident Microsoft Exchange, 2021
L'EBA a été parmi les nombreuses organisations affectées par la vulnérabilité Microsoft Exchange Server (Hafnium) en mars 2021. L'EBA avait indiqué que ses données pourraient avoir été compromises via l'accès non autorisé à son serveur Exchange. L'incident a conduit l'EBA à prendre des mesures d'urgence et à notifier les autorités compétentes. Il illustre que même les organisations qui utilisent les outils des grands fournisseurs technologiques ne sont pas immunisées contre les incidents affectant ces fournisseurs eux-mêmes.
Alibaba Cloud — bug exposant des données inter-clients, 2022
Des chercheurs en sécurité ont identifié une vulnérabilité dans le service Alibaba Cloud Container Service (ACK) qui aurait pu permettre à un client d'accéder aux données d'un autre client sur la même infrastructure. Alibaba Cloud a corrigé la vulnérabilité rapidement après la divulgation responsable. L'incident illustre que les mécanismes d'isolation entre clients (multi-tenancy) des fournisseurs cloud, bien qu'investis massivement, ne sont pas infaillibles — et qu'une défense en profondeur ne peut pas reposer uniquement sur la confiance dans le fournisseur.

Articles similaires

Le cloud mal maîtrisé crée plus de risques qu’il n’en résout

Le cloud mal maîtrisé crée plus de risques qu'il n'en résout. La responsabilité partagée exige que le client sécurise ses configurations, données et accès — des défaillances qui représentent la quasi-totalité des incidents cloud documentés.

24 mai 2026 7 min

Pourquoi les organisations sous-estiment leur dépendance au cloud

Les organisations sous-estiment leur dépendance au cloud, constituée progressivement sans décision de gouvernance explicite. La concentration fournisseur et le shadow IT cloud créent des risques structurels que seule une cartographie active peut révéler et gérer.

24 mai 2026 7 min

Les erreurs les plus fréquentes lors des migrations vers le cloud

Les migrations cloud exposent à des risques spécifiques de transition : configurations héritées inadaptées, credentials exposés, droits excessifs. Traitée comme un projet de transformation sécurisée, la migration devient une opportunité d'améliorer la posture de sécurité.

24 mai 2026 7 min
WhatsApp