Les idées reçues sur la sécurité du cloud dominent le secteur informatique depuis que le cloud est devenu une option pratique pour l'hébergement d'infrastructures, il y a quinze ans. Il existe de nombreux mythes sur la sécurité du cloud quant à la viabilité de l'hébergement de services dans le cloud tout en garantissant la sécurité et la conformité réglementaire.
Depuis ces débuts, le secteur informatique et le cloud ont changé du tout au tout, et l'utilité et la puissance du modèle de cloud computing sont désormais largement reconnues.
Malgré le fait que le cloud ait évolué, les mythes sur la sécurité du cloud continuent de circuler, notamment ceux concernant la sécurité du cloud. Les versions précédentes des mythes sur la sécurité du cloud étaient trop pessimistes. Aujourd'hui, elles ont tendance à être trop optimistes en matière de conformité et de sécurité du cloud.
Qu'est-ce que la sécurité du cloud ?
La sécurité du cloud est un ensemble de procédures et d'outils visant à protéger les organisations contre les menaces externes et internes. À mesure que les entreprises adoptent la transformation numérique et intègrent des outils et des services basés sur le cloud dans leur infrastructure, il est essentiel de disposer d'une sécurité cloud solide. Afin de garantir un environnement de cloud computing sûr et sécurisé pour les opérations et la gestion des données de l'organisation, cela permet de protéger les données, les applications et les ressources sensibles contre les dangers potentiels.
Les risques liés à la sécurité sont devenus plus complexes en raison de l'évolution rapide du monde numérique, en particulier pour les entreprises de cloud computing. Les organisations ont souvent peu de contrôle sur la manière dont leurs données sont consultées et transférées sur le cloud. Sans chercher activement à renforcer la sécurité du cloud, les entreprises courent de nombreux risques en matière de gouvernance et de conformité lorsqu'elles traitent les informations de leurs clients.
Quels sont les mythes et les réalités en matière de sécurité du cloud ?
Voici quelques mythes sur la sécurité du cloud :
Mythe n° 1 : plus d'outils de sécurité implique une meilleure sécurité
Les gens ont généralement tendance à croire au mythe de la sécurité du cloud selon lequel disposer de plus d'outils renforce la sécurité du cloud.
Au contraire, disposer de plus d'outils de sécurité ne renforce pas automatiquement la sécurité. Le rapport Oracle et KPMG Cloud Threat Report 2020 indique que 70 % des personnes interrogées estiment qu'il faut trop de technologies pour protéger les environnements de cloud public. Chacune d'entre elles utilise en moyenne plus de 100 contrôles de sécurité distincts. La multiplicité des fournisseurs de sécurité, la diversité des solutions et le blocage de divers canaux d'attaque créent des failles. Et ces failles offrent aux attaquants des opportunités d'accès.
Un trop grand nombre d'options de sécurité, combiné à une infrastructure cloud complexe et à des solutions non coopératives, entraîne un manque de partage des informations et une conception risquée.
La mise en œuvre d'outils et de ressources visant à simplifier la gestion de la sécurité du cloud et à faciliter le contrôle de la sécurité est essentielle pour combler ces lacunes.
Mythe n° 2 : le CSP est seul responsable de la sécurité
L'un des plus grands mythes en matière de sécurité du cloud est que le fournisseur de cloud est entièrement responsable de la sécurité.
En tant que client du cloud, l'organisation utilisatrice finale continue de protéger les données qu'elle télécharge vers le service, conformément au célèbre " modèle de responsabilité partagée " “modèle de responsabilité partagée.” Étant donné que vos obligations varient en fonction des services que vous utilisez, il est essentiel de savoir exactement où se situent vos responsabilités en matière de protection de l'infrastructure cloud native.
Les organisations ne mettent pas en œuvre la plupart des différentes approches visant à protéger les données dans le cloud.
Mythe n° 3 : les violations réussies sont le résultat d'attaques complexes
Le mythe de la sécurité du cloud selon lequel les violations sont dues à des attaques complexes est faux. Bien qu'il existe des attaquants très sophistiqués, la plupart des attaques réussies ne résultent pas nécessairement de leur sophistication croissante. Les erreurs des utilisateurs finaux et les paramètres incorrects sont à l'origine de la grande majorité des attaques.
Mythe n° 4 : la visibilité du cloud est simple et facile
Un autre mythe concernant la sécurité du cloud est que la visibilité dans le cloud est simple et facile. Vous devez être pleinement conscient de tous les détails pertinents, car vous payez pour utiliser les ressources du cloud, comme le nombre de comptes dont vous disposez, si vos concepteurs ont publié de nouvelles fonctionnalités, si celles-ci ont été correctement configurées, si elles présentent des faiblesses, etc.
Malheureusement, il est beaucoup plus difficile que la plupart des gens ne le pensent de garder une trace de toutes ces informations. Vous ne pouvez pas détecter les écarts dans le comportement des ressources si vous ne savez pas comment elles sont censées se comporter. Sans tableaux de bord centralisés, il est extrêmement difficile de reconnaître les menaces et d'y répondre en temps utile.
Mythe n° 5 : la conformité est garantie lorsque vous utilisez des services de sécurité cloud
Un autre mythe sur la sécurité cloud dont nous allons parler aujourd'hui est que la conformité est garantie lorsque vous utilisez un service de sécurité cloud. De nombreux fournisseurs de services cloud vantent la conformité de leurs offres avec les lois sur la sécurité de l'information.
Par exemple, le service de stockage S3 d'Amazon a reçu la certification de conformité avec les normes SOC, PCI DSS, HIPAA et d'autres exigences légales. Mais qu'est-ce que cela signifie ? Cela ne signifie pas qu'un système de stockage de données basé sur S3 est automatiquement conforme à ces critères. S3 peut être utilisé comme composant d'un système conforme à la norme PCI grâce à sa conformité PCI, mais cela nécessite une configuration appropriée. Tout système basé sur S3 peut devenir non conforme en raison d'une simple erreur de configuration, et il incombe à l'utilisateur de s'assurer que cela ne se produise pas.
La bonne nouvelle, c'est que si vous utilisez l'outil de sécurité cloud de SentinelOne, celui-ci peut vous aider à vous conformer.
Mythe n° 6 : vous n'avez pas besoin d'un audit de sécurité cloud.
CSPM et les capacités de gestion ou d'analyse des vulnérabilités sont, dans la pratique, un type d'audit de sécurité du cloud. Mais elles ne suffisent pas et négligent d'autres domaines. Pour un contexte plus large, vous devez mettre en œuvre les meilleures pratiques en matière de sécurité du cloud. Les principaux outils et plateformes de sécurité du cloud peuvent offrir la capacité d'effectuer efficacement des audits approfondis. Vous devez considérer les audits de sécurité dans leur ensemble et ne pas vous limiter à la gestion des vulnérabilités ou à la conformité. Les outils et technologies de sécurité cloud couvrent différents domaines ou éléments. Pour obtenir les meilleurs résultats, il est donc important de combiner les meilleures solutions de sécurité avec les meilleures mesures et pratiques de sécurité.
Mythe n° 7 : les fonctions sans serveur et les conteneurs sont intrinsèquement plus sûrs
Les mythes sur la sécurité du cloud selon lesquels les fonctions sans serveur et les conteneurs sont fondamentalement plus sûrs sont faux. La nature éphémère des conteneurs, des fonctions sans serveur et leur tendance à avoir une durée de vie courte renforcent la sécurité. Les pirates ont du mal à établir une présence durable dans votre système.
Bien que cette affirmation soit essentiellement correcte, l'utilisation de déclencheurs basés sur des événements provenant de nombreuses sources donne aux pirates accès à davantage de cibles et d'options d'attaque. Ces technologies natives du cloud peuvent renforcer la sécurité lorsqu'elles sont configurées de manière appropriée, mais uniquement si cela est fait correctement.
Mythe n° 8 : le cloud est généralement plus sûr
Ce mythe particulier dans Mythes sur la sécurité du cloud est plutôt un fait divers, une combinaison de vérité et de fiction.
En général, les fournisseurs de cloud sont plus fiables dans des opérations telles que la mise à jour des serveurs. Il est logique de leur confier ces tâches, et les fournisseurs de services cloud jouissent à juste titre d'un niveau de confiance élevé.
Cependant, la protection de l'ensemble des données réparties sur de nombreux clouds nécessite un certain nombre d'étapes, notamment la gestion des identités, la sécurisation des accès et des audits réguliers. Il est nécessaire de disposer d'un contexte plus complet pour évaluer les risques, en raison de la répartition croissante des charges de travail entre de nombreux clouds publics et privés. Les failles de sécurité inévitables avec des solutions incohérentes ne font qu'aggraver ces problèmes.
Mythe n° 9 : les criminels évitent de cibler le cloud
Les cybercriminels ciblent le cloud pour les raisons suivantes :
- Il s'agit d'une nouvelle technologie qui présente donc des failles de sécurité. Le cloud n'est pas sécurisé de par sa conception ou par défaut.
- Les infrastructures cloud peuvent devenir de plus en plus complexes. Les organisations évoluent à la hausse ou à la baisse. Elles peuvent louer ou supprimer des services cloud nouveaux ou existants. La nature interconnectée du cloud, combinée à la taille de l'organisation, le rend particulièrement vulnérable.
- Les pirates ne se soucient pas nécessairement des surfaces. Ils se soucient de leur mission. Ils cherchent à exploiter les ressources d'un client, à accéder à des données sensibles et à les manipuler indirectement (ou directement) pour leur soutirer des informations confidentielles. Et en 2025, cela devrait se produire de plus en plus souvent, que ce soit sur les clouds publics ou privés.
Mythe n° 10 : les entreprises délaissent le cloud public
Les mythes sur la sécurité du cloud selon lesquels les charges de travail reviennent du cloud sont principalement véhiculés par les fournisseurs traditionnels qui ont tout à y gagner financièrement. En réalité, la majorité des entreprises n'ont pas transféré leurs charges de travail vers le cloud. La plupart des personnes délocalisées proviennent du SaaS, de la colocation et des sous-traitants plutôt que de l'infrastructure cloud (IaaS).
Cela ne signifie pas pour autant que toutes les migrations vers le cloud sont couronnées de succès. Au lieu d'abandonner leur stratégie cloud et de relocaliser leurs applications vers leur emplacement d'origine, les entreprises sont plus enclines à traiter les problèmes au fur et à mesure qu'ils apparaissent.
Mythe n° 11 : Pour être bon, vous devez être dans le cloud.
Le " cloud washing ", qui consiste à qualifier de " cloud " des choses qui ne le sont pas, peut être involontaire et résulter d'une confusion légitime. Mais afin de lever des fonds, d'augmenter leurs ventes et de satisfaire des attentes et des objectifs mal définis en matière de cloud, les entreprises informatiques et les fournisseurs qualifient un large éventail de produits de " cloud ". Cela conduit à des mythes sur la sécurité du cloud, selon lesquels un service ou un produit informatique doit être dans le cloud pour être efficace.
Appelez les choses par leur nom plutôt que de recourir au cloudwashing. La virtualisation et l'automatisation ne sont que deux exemples parmi les nombreuses autres fonctionnalités qui peuvent être utilisées de manière indépendante.
Mythe n° 12 : Tout doit être fait dans le cloud
Le cloud est parfaitement adapté à certains cas d'utilisation, notamment les charges de travail très variables ou imprévisibles, ou celles pour lesquelles l'auto-approvisionnement est essentiel. Cependant, toutes les charges de travail et toutes les applications ne sont pas adaptées au cloud. Par exemple, la migration d'un programme hérité n'est généralement pas un cas d'utilisation valable, sauf s'il est possible de générer des avantages financiers démontrables.
Toutes les charges de travail ne tirent pas nécessairement le même parti du cloud. Lorsque cela est approprié, n'hésitez pas à proposer des alternatives au cloud.
Mythe n° 13 : les violations de la sécurité du cloud commencent toujours par des vulnérabilités du cloud
On pense souvent à tort que les violations de la sécurité du cloud commencent toujours par des vulnérabilités du cloud. En réalité, la plupart des violations majeures ne commencent pas dans le cloud lui-même. Au contraire, les attaques commencent souvent par un terminal compromis, une identité volée ou un secret exposé, quel que soit l'endroit où les ressources sont hébergées. Les incidents très médiatisés continuent de faire la une des journaux, non pas en raison de failles inhérentes à l'infrastructure cloud, mais parce que les attaquants exploitent les lacunes de la sécurité numérique dans les environnements hybrides, les terminaux et les identités. Les outils de sécurité traditionnels peuvent passer à côté de ces menaces, permettant ainsi à de petites faiblesses de devenir des points d'entrée pour les acteurs malveillants. Une sécurité cloud efficace doit protéger non seulement les charges de travail cloud, mais aussi l'ensemble de l'environnement. Elle doit bloquer les attaques où qu'elles commencent et fournir des défenses unifiées et automatisées qui s'adaptent aux menaces où qu'elles apparaissent.
Mythe n° 14 : par rapport à une infrastructure sur site, le cloud est moins sûr
Ces mythes sur la sécurité du cloud sont avant tout une question de perception, car il y a eu très peu de failles de sécurité dans le cloud public, la plupart des failles continuant à concerner les environnements sur site. Tout système informatique n'est aussi sûr que les mesures de protection mises en place pour le maintenir ainsi. Comme cela concerne leur activité principale, les entreprises de services cloud peuvent plus facilement investir dans une sécurité robuste et mettre en place une meilleure infrastructure.Mythe n° 15 : les clouds multi-locataires (publics) sont moins sûrs que les clouds mono-locataires (privés)
Ce mythe sur la sécurité du cloud semble logique : les environnements utilisés par une seule organisation locataire dédiée sont plus sûrs que ceux utilisés par plusieurs organisations.
Cependant, ce n'est pas toujours le cas. Les systèmes multi-locataires " offrent une couche supplémentaire de protection du contenu... À l'instar des locataires d'un immeuble qui utilisent une clé pour entrer dans le bâtiment et une autre pour entrer dans leur appartement individuel, les systèmes multi-locataires requièrent à la fois une sécurité périmétrique et une sécurité " au niveau de l'appartement " ", comme l'indique un article du CIO sur les mythes concernant la sécurité du cloud. Cela rend plus difficile l'accès à votre système par des pirates informatiques externes.
Pourquoi choisir SentinelOne pour la sécurité du cloud ?
Le paysage cloud actuel exige une approche unifiée et basée sur l'IA en matière de sécurité. La solution Singularity™ Cloud Security de SentinelOne relève le défi grâce à son CNAPP sans agent et basé sur l'IA. Il s'agit d'une plateforme unique qui offre une visibilité approfondie sur l'ensemble de votre environnement (conteneurs, Kubernetes, machines virtuelles et charges de travail sans serveur), permettant aux équipes de sécurité de détecter et de neutraliser les menaces en temps réel. Grâce à la solution CSPM sans agent, vous pouvez effectuer un déploiement en quelques minutes, éliminer les erreurs de configuration et garantir la conformité multicloud, tandis que la solution AI-SPM vous permet de découvrir les pipelines et les modèles d'IA, et d'évaluer les services d'IA grâce à des vérifications de configuration avancées et à la technologie Verified Exploit Paths™. Mais ce n'est qu'un début.
- Le CWPP offre une défense active alimentée par l'IA dans n'importe quel environnement cloud ou sur site, tandis que le CDR fournit une télémétrie forensic granulaire et une détection personnalisable pour un confinement rapide et une réponse experte aux incidents. Le CIEM vous permet de renforcer les droits d'accès et d'empêcher les fuites de secrets, l'EASM découvre les actifs inconnus et automatise la gestion des surfaces d'attaque externes, et Graph Explorer corrèle visuellement les alertes sur votre cloud, vos terminaux et vos actifs d'identité afin d'évaluer l'impact des menaces en un coup d'œil. Grâce à son intégration transparente avec les pipelines CI/CD, SentinelOne applique très tôt une sécurité " shift-left ". Il surveille et détecte les menaces en continu grâce à plus de 1 000 règles prêtes à l'emploi et personnalisées. KSPM assure une protection et une conformité continues pour les environnements conteneurisés et Kubernetes.
- SentinelOne utilise une hyperautomatisation sans code, est livré avec un analyste de sécurité IA et fournit des renseignements de classe mondiale sur les menaces.
- Une seule plateforme. Toutes les surfaces. Aucun angle mort. Zéro faux positif.
Guide du marché du CNAPP
Obtenez des informations clés sur l'état du marché CNAPP dans ce Gartner Market Guide for Cloud-Native Application Protection Platforms.
Lire le guideConclusion
Les responsables organisationnels chargés de la sécurité du cloud computing doivent comprendre les idées reçues courantes qui entourent la sécurité du cloud computing. Ceux qui savent faire la distinction entre les faits et les mythes sur la sécurité du cloud ont beaucoup plus à gagner du cloud computing et peuvent l'utiliser pour développer leur activité et aider leurs clients de manière sûre et durable.
Les entreprises qui adoptent les technologies cloud doivent mettre en place une solution de sécurité appropriée pour se prémunir contre les risques liés au cloud et contribuer à protéger l'ensemble de la surface, des données et des actifs cloud.
FAQ sur les mythes liés à la sécurité dans le cloud
Non. Les plateformes cloud investissent massivement dans la sécurisation de leurs infrastructures (centres de données physiques, hyperviseurs et réseaux). Leurs équipes corrigent les systèmes 24 heures sur 24. En fait, de nombreux clouds publics répondent à des normes de sécurité élevées telles que ISO 27001 et SOC 2. La clé réside dans la manière dont vous configurez et utilisez ces services ; ce sont les erreurs de configuration, et non le cloud lui-même, qui sont à l'origine de la plupart des violations.
Pas du tout. Dans le cadre du modèle de responsabilité partagée, les fournisseurs sécurisent l'infrastructure sous-jacente, tandis que vous gérez les données, les identités et la configuration. Vous choisissez les clés de chiffrement, les politiques d'accès et les contrôles réseau. Une fois correctement configuré, vous conservez un contrôle total sur les personnes qui peuvent voir ou modifier vos données, même lorsqu'elles se trouvent hors site.
Non. Les fournisseurs sécurisent les composants " du cloud " : le matériel, le système d'exploitation hôte et les couches de virtualisation. Vous êtes responsable de ce qui se trouve " dans le cloud " : vos charges de travail, vos données, les autorisations des utilisateurs et les paramètres réseau. Ignorer votre part du modèle laisse des failles que les pirates peuvent exploiter. Vous devez donc continuer à appliquer les meilleures pratiques en matière de sécurité et à effectuer une surveillance continue.
Les mots de passe sont utiles, mais ils ne constituent qu'une couche de sécurité parmi d'autres. L'authentification multifactorielle est essentielle pour empêcher le vol d'identifiants. Vous avez également besoin de contrôles d'accès basés sur les rôles, d'autorisations juste à temps et d'une surveillance des sessions pour vous prémunir contre la compromission des identifiants. Une visibilité continue sur les modèles de connexion et les alertes d'anomalies complète une défense solide.
Non. Les cadres de conformité répertorient les contrôles et les audits requis, mais le fait de passer un contrôle de conformité ne garantit pas que vous êtes à l'abri de nouvelles menaces. Vous avez toujours besoin d'une surveillance en temps réel, d'une correction des vulnérabilités et d'une réponse aux incidents. La conformité est une base minimale ; la sécurité est une pratique continue qui s'adapte à mesure que les attaquants changent de tactique.
Les journaux et les alertes sont essentiels, mais ils sont de nature réactive. Vous avez besoin de mesures proactives (renforcement de la configuration, analyses automatisées des erreurs de configuration et gestion continue de la posture) pour prévenir les incidents. Les alertes doivent être reliées à des playbooks XDR ou SOAR qui contiennent et isolent les menaces avant qu'elles ne s'aggravent.
Les outils de sécurité natifs du cloud utilisent souvent un modèle de tarification à l'utilisation, ce qui les rend abordables pour les PME. Vous évitez ainsi les coûts initiaux élevés liés au matériel ou aux logiciels. De nombreux fournisseurs incluent des fonctionnalités de sécurité intégrées, telles que l'IAM, le chiffrement et la détection des menaces de base, sans frais supplémentaires. En tirant parti de ces fonctionnalités et en les complétant par des modules complémentaires ciblés, vous pouvez maîtriser vos coûts.
La sécurité Shift-Left s'applique tout aussi bien dans le cloud. En intégrant des contrôles de sécurité dans les modèles d'infrastructure en tant que code et les pipelines CI/CD, vous détectez les erreurs de configuration avant que les ressources ne soient mises en service. Cela évite les correctifs coûteux sur les environnements en production et garantit que les nouveaux services sont lancés avec des paramètres sécurisés dès le premier jour.
