Quand une fuite de données survient dans le cloud, qui est responsable ? Vous ou le fournisseur ? La réponse : ça dépend. Le cloud fonctionne sur un modèle de responsabilité partagée où chacun sécurise une partie de la pile. Ce guide clarifie exactement ce que le fournisseur gère et ce qui vous incombe, selon que vous utilisez IaaS, PaaS ou SaaS.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »Ce guide couvre les fondamentaux du modèle de responsabilité partagée, de la théorie à la pratique. Vous comprendrez non seulement le principe, mais saurez l’appliquer concrètement selon votre type de déploiement.
| Compétence | Ce que vous saurez faire |
|---|---|
| Comprendre le modèle | Expliquer qui sécurise quoi dans le cloud |
| Identifier vos responsabilités | Savoir ce qui vous incombe selon IaaS/PaaS/SaaS |
| Éviter les pièges | Reconnaître les erreurs de configuration classiques |
| Dialoguer avec le fournisseur | Poser les bonnes questions sur la sécurité |
L’analogie : la location d’appartement
Section intitulée « L’analogie : la location d’appartement »Pour comprendre la responsabilité partagée, imaginez que vous louez un appartement :
Ce que le propriétaire gère
Section intitulée « Ce que le propriétaire gère »- La structure du bâtiment (murs, toit, fondations)
- Les parties communes (hall, escaliers, ascenseur)
- La sécurité de l’immeuble (porte d’entrée, interphone)
- Les réseaux (électricité, eau, gaz jusqu’au compteur)
Ce que vous gérez
Section intitulée « Ce que vous gérez »- La serrure de votre porte (et à qui vous donnez les clés)
- Le contenu de l’appartement (vos meubles, vos affaires)
- Vos installations intérieures (vous branchez un appareil défectueux, c’est votre problème)
- Vos visiteurs (vous laissez entrer un cambrioleur, c’est votre responsabilité)
Le cloud fonctionne exactement pareil : le fournisseur sécurise “l’immeuble” (l’infrastructure), vous sécurisez “votre appartement” (vos données et configurations).
Le modèle de responsabilité partagée
Section intitulée « Le modèle de responsabilité partagée »Le modèle de responsabilité partagée définit une frontière claire entre ce que le fournisseur cloud sécurise et ce qui reste sous votre contrôle. Cette frontière se déplace selon le niveau d’abstraction du service utilisé. Voici comment cela fonctionne visuellement :
Le schéma montre clairement comment la responsabilité migre progressivement vers le fournisseur au fur et à mesure qu’on monte en abstraction. En On-Premise, tout vous incombe. En IaaS, le fournisseur prend en charge l’infrastructure physique. En PaaS, il gère aussi le système et le runtime. En SaaS, il ne vous reste que la configuration et les accès.
Principe fondamental
Section intitulée « Principe fondamental »Le fournisseur cloud est responsable de la sécurité DU cloud (of the cloud). Vous êtes responsable de la sécurité DANS le cloud (in the cloud).
Cette distinction est cruciale :
| Responsabilité | Ce que ça couvre | Qui |
|---|---|---|
| Sécurité DU cloud | Infrastructure physique, hyperviseurs, réseau backbone | Fournisseur |
| Sécurité DANS le cloud | Données, configurations, accès, applications | Vous |
Ce que le fournisseur sécurise (toujours)
Section intitulée « Ce que le fournisseur sécurise (toujours) »Quel que soit le modèle (IaaS, PaaS, SaaS), le fournisseur gère :
Infrastructure physique :
- Datacenters (accès physique, vidéosurveillance, gardes)
- Alimentation électrique et refroidissement
- Protection contre les catastrophes (incendie, inondation)
Infrastructure réseau :
- Réseau backbone entre datacenters
- Protection DDoS au niveau infrastructure
- Isolation réseau entre clients (niveau hyperviseur)
Conformité de base :
- Certifications (ISO 27001, SOC 2, etc.)
- Audits réguliers de l’infrastructure
- Conformité réglementaire de leur périmètre
Ce qui vous incombe (toujours)
Section intitulée « Ce qui vous incombe (toujours) »Quel que soit le modèle, vous êtes responsable de :
Vos données :
- Classification (sensible, confidentiel, public)
- Chiffrement (au repos et en transit)
- Sauvegarde et rétention
- Suppression sécurisée
Vos accès :
- Gestion des identités (qui a accès)
- Permissions (à quoi ils ont accès)
- Authentification (MFA, SSO)
- Revue régulière des accès
Vos configurations :
- Paramètres de sécurité des services
- Règles firewall et groupes de sécurité
- Logs et monitoring
- Conformité de votre périmètre
Responsabilités par modèle de service
Section intitulée « Responsabilités par modèle de service »La frontière de responsabilité varie selon le modèle (IaaS, PaaS, SaaS). Plus vous montez dans la pile, plus le fournisseur prend en charge.
IaaS : vous gérez presque tout
Section intitulée « IaaS : vous gérez presque tout »En IaaS (Outscale FCU, OVH Public Cloud Instances, Scaleway Instances), le fournisseur gère uniquement l’infrastructure de base.
Ce que le fournisseur sécurise :
- Hyperviseur et isolation des VMs
- Réseau physique et virtuel de base
- Stockage physique
Ce que vous sécurisez :
- Système d’exploitation (patches, hardening)
- Configuration réseau (security groups, firewall)
- Middlewares et runtime
- Applications
- Données
| Couche | Responsable | Actions requises |
|---|---|---|
| Application | Vous | Tests de sécurité, WAF |
| Données | Vous | Chiffrement, backup |
| Runtime | Vous | Mise à jour, configuration |
| Middleware | Vous | Patches, hardening |
| OS | Vous | Patches mensuels, CIS benchmarks |
| Virtualisation | Fournisseur | - |
| Serveurs | Fournisseur | - |
| Stockage | Fournisseur | - |
| Réseau | Fournisseur | - |
PaaS : responsabilité réduite
Section intitulée « PaaS : responsabilité réduite »En PaaS (App Service, Cloud Run, Elastic Beanstalk), le fournisseur gère la plateforme.
Ce que le fournisseur sécurise :
- Tout ce qu’il gère en IaaS, plus :
- Système d’exploitation
- Runtime (Java, Python, Node.js…)
- Scaling et haute disponibilité
Ce que vous sécurisez :
- Votre code applicatif
- Configuration de l’application
- Données
- Authentification/autorisation applicative
| Couche | Responsable | Actions requises |
|---|---|---|
| Application | Vous | SAST, DAST, code review |
| Données | Vous | Chiffrement, backup |
| Runtime | Fournisseur | - |
| Middleware | Fournisseur | - |
| OS | Fournisseur | - |
| Virtualisation | Fournisseur | - |
Avantage sécurité : moins de surface à gérer, le fournisseur patche l’OS et le runtime.
Attention : vous restez responsable des vulnérabilités dans votre code et vos dépendances.
SaaS : responsabilité minimale (mais pas nulle)
Section intitulée « SaaS : responsabilité minimale (mais pas nulle) »En SaaS (Gmail, Salesforce, Datadog), le fournisseur gère l’application.
Ce que le fournisseur sécurise :
- Toute la pile technique
- Application et ses mises à jour
- Infrastructure de l’application
Ce que vous sécurisez :
- Configuration du service (paramètres de sécurité)
- Gestion des accès utilisateurs
- Vos données dans l’application
- Intégrations avec d’autres systèmes
| Couche | Responsable | Actions requises |
|---|---|---|
| Application | Fournisseur | - |
| Configuration | Vous | Paramètres sécurité |
| Accès | Vous | SSO, MFA, revue |
| Données | Partagé | Export, classification |
Tableau récapitulatif complet
Section intitulée « Tableau récapitulatif complet »Ce tableau synthétise les responsabilités selon le modèle de service. Utilisez-le comme référence rapide pour déterminer qui gère quoi dans votre contexte spécifique. Notez que “Partagé” signifie que les responsabilités varient selon les configurations et le contrat avec le fournisseur.
| Responsabilité | IaaS | PaaS | SaaS |
|---|---|---|---|
| Données | Vous | Vous | Partagé |
| Applications | Vous | Vous | Fournisseur |
| Runtime | Vous | Fournisseur | Fournisseur |
| Middleware | Vous | Fournisseur | Fournisseur |
| OS | Vous | Fournisseur | Fournisseur |
| Virtualisation | Fournisseur | Fournisseur | Fournisseur |
| Serveurs | Fournisseur | Fournisseur | Fournisseur |
| Stockage | Fournisseur | Fournisseur | Fournisseur |
| Réseau | Fournisseur | Fournisseur | Fournisseur |
| Accès/IAM | Vous | Vous | Vous |
| Configuration | Vous | Vous | Vous |
Lecture : “Vous” = votre responsabilité. “Fournisseur” = sa responsabilité. “Partagé” = dépend du contexte.
Les erreurs les plus courantes
Section intitulée « Les erreurs les plus courantes »Erreur 1 : “Le cloud est sécurisé par défaut”
Section intitulée « Erreur 1 : “Le cloud est sécurisé par défaut” »Le mythe : “Mon fournisseur cloud est certifié, donc mes données sont en sécurité.”
La réalité : Le fournisseur sécurise son infrastructure. Vos configurations par défaut sont souvent permissives (bucket stockage public, ports ouverts, pas de chiffrement).
Exemple concret : Les fuites de données cloud les plus médiatisées sont rarement dues au fournisseur — ce sont des erreurs de configuration côté client (buckets publics, security groups trop ouverts).
Solution : Activez les guardrails dès le départ (chiffrement par défaut, blocage de l’accès public, logs activés).
Erreur 2 : “Le fournisseur gère les backups”
Section intitulée « Erreur 2 : “Le fournisseur gère les backups” »Le mythe : “Mes données sont dans le cloud, elles sont sauvegardées.”
La réalité : Le fournisseur assure la durabilité du stockage (vos données ne disparaissent pas à cause d’un disque défaillant). Mais il ne fait pas de backup de vos données applicatives.
Exemple concret : Vous supprimez accidentellement une base de données RDS. Sans snapshot configuré par vous, les données sont perdues.
Solution : Configurez explicitement les backups (snapshots, réplication cross-région).
Erreur 3 : “Les logs sont automatiques”
Section intitulée « Erreur 3 : “Les logs sont automatiques” »Le mythe : “Le cloud trace tout, je pourrai investiguer si besoin.”
La réalité : Les logs d’audit (CloudTrail, Activity Log) sont souvent désactivés par défaut ou ont une rétention courte.
Solution : Activez les logs dès le premier jour, configurez une rétention adaptée, centralisez dans un SIEM.
Erreur 4 : “L’isolation entre clients est parfaite”
Section intitulée « Erreur 4 : “L’isolation entre clients est parfaite” »Le mythe : “Je suis dans mon propre environnement, personne ne peut accéder à mes données.”
La réalité : L’isolation est gérée par le fournisseur (et généralement excellente). Mais les erreurs de configuration peuvent exposer vos ressources à Internet ou à d’autres comptes.
Exemple concret : Un bucket de stockage objet avec une policy trop permissive peut être accessible par n’importe qui.
Solution : Auditez régulièrement vos configurations (policies IAM, security groups, règles firewall).
Spécificités par fournisseur
Section intitulée « Spécificités par fournisseur »Documentation officielle : Outscale Documentation Sécurité
Outils pour vérifier vos responsabilités :
- Cockpit : Console web pour visualiser et gérer vos ressources
- API OAPI : Automatiser les audits de configuration
- Logs d’audit : Traçabilité des actions sur votre compte
Points d’attention Outscale :
- OOS (Object Storage) : Vérifier les policies de bucket
- IAM : Utiliser des Access Keys avec rotation régulière
- Security Groups : Règles en allowlist (pas de 0.0.0.0/0)
- Nets (VPC) : Isoler les environnements sensibles
Certification : Outscale est certifié SecNumCloud par l’ANSSI — niveau de sécurité le plus élevé en France.
Documentation officielle : OVHcloud Documentation Sécurité
Outils pour vérifier vos responsabilités :
- Manager OVHcloud : Console de gestion centralisée
- API OVHcloud : Automatisation et audit
- Logs : Centralisation via Logs Data Platform
Points d’attention OVHcloud :
- Object Storage : Vérifier les ACL et policies
- IAM : Gestion des utilisateurs et permissions
- vRack : Réseau privé pour isoler les ressources
- Firewall Network : Règles explicites
Certification : OVHcloud est certifié ISO 27001, HDS (Hébergeur Données de Santé), et en cours de certification SecNumCloud.
Documentation officielle : Scaleway Documentation Sécurité
Outils pour vérifier vos responsabilités :
- Console Scaleway : Interface de gestion moderne
- API Scaleway : Automatisation complète
- Cockpit (Observability) : Monitoring et logs centralisés
Points d’attention Scaleway :
- Object Storage : Policies de bucket et ACL
- IAM : Gestion fine des permissions par projet
- Private Networks : Isoler les ressources
- Security Groups : Filtrage réseau
Certification : Scaleway est certifié ISO 27001 et HDS.
Checklist de responsabilités
Section intitulée « Checklist de responsabilités »Les points essentiels à vérifier pour votre posture de sécurité cloud :
| Domaine | Points clés |
|---|---|
| Accès | MFA activé, pas de secrets dans le code, moindre privilège |
| Données | Chiffrement activé, backups configurés et testés |
| Configuration | Accès public bloqué, logs activés, Infrastructure as Code |
| Conformité | Contrat vérifié (DPA, localisation), plan d’incident |
À retenir
Section intitulée « À retenir »| Concept | Point clé |
|---|---|
| Responsabilité DU cloud | Le fournisseur sécurise l’infrastructure physique et virtuelle |
| Responsabilité DANS le cloud | Vous sécurisez vos données, configurations et accès |
| IaaS | Vous gérez presque tout (OS, middleware, apps, données) |
| PaaS | Vous gérez le code et les données |
| SaaS | Vous gérez les accès et la configuration |
| Erreur #1 | Croire que le cloud est sécurisé par défaut |
| Règle d’or | Vos données, vos accès, vos configurations = votre responsabilité |
Prochaines étapes
Section intitulée « Prochaines étapes »Maintenant que vous comprenez la responsabilité partagée, on passe à la suite sur IAM :