Posture cloud & infrastructure d'exécution (SOCLE CLD)

L'infrastructure cloud héberge la chaîne logicielle et les charges qu'elle produit : une mauvaise posture y ouvre l'accès à tout le tenant. Le domaine Posture cloud (CLD) est transversal : il sécurise l'infrastructure d'exécution (IaaS/PaaS), du compte aux ressources, et la maintient sous surveillance continue (CSPM).

Le cloud déplace le risque vers la configuration : ce n'est plus un pare-feu physique mais une règle IAM, un groupe de sécurité, une ACL de bucket qui décide de l'exposition, et une seule erreur suffit à exposer des téraoctets ou à livrer les clés du compte. Huit familles couvrent ce périmètre : l'IAM cloud (MFA, moindre privilège, pas de clé longue durée, chemins de privesc fermés), l'exposition réseau (ports d'administration fermés, refus par défaut, filtrage sortant), le compute (IMDSv2, rôles d'instance minimaux, durcissement), l'orchestration Kubernetes (RBAC, Pod Security, NetworkPolicy, admission), le stockage (privé par défaut, versioning, immutabilité anti-rançongiciel), le chiffrement (transit, repos, clés ANSSI, BYOK), la journalisation (centralisée, protégée, corrélée) et la gouvernance (inventaire, hygiène ANSSI, souveraineté UE).

Concrètement, ces exigences parent : l'accès volé exploité faute de MFA et de moindre privilège, la ressource exposée par défaut (bucket public, port d'administration ouvert), le vol des droits d'instance via l'IMDS (cas Capital One), l'exfiltration non détectée faute de journalisation, et la perte de souveraineté sur des données soumises à un droit étranger. Cette page couvre les 82 exigences SOCLE du domaine : 4 générales (sur cette page) et 78 réparties en huit familles, des fondamentales (R1) aux souveraines (R3).

L'enjeu

L'infra cloud héberge la chaîne et les charges : une mauvaise posture (IAM, exposition) ouvre tout le tenant.

Les pièges à éviter

Les erreurs les plus fréquentes sur ce périmètre :

ressource exposée publiquement par défaut

clés longue durée / pas de MFA admin

journalisation désactivable ou non centralisée

Les exigences essentielles

Comment lire R1R2R3du fondamental au souverain Doitobligatoire Devraitrecommandé Chaque carte porte son énoncé, le pourquoi, la preuve attendue et ses correspondances aux standards.

Afficher R1 R1 + R2 R1 + R2 + R3

SOCLE-CLD-GEN-1 R1 Doit Essentiel Souverain

inventaire des comptes et ressources cloud tenu à jour ; posture de l'infrastructure d'exécution auditée en continu (CSPM).#

On ne sécurise pas ce qu'on n'a pas inventorié : un compte oublié ou une ressource fantôme devient une porte ouverte. Un inventaire à jour et une posture auditée en continu (CSPM) détectent la dérive de configuration en permanence, base de toute maîtrise d'un cloud qui change chaque jour.

Preuve attendue

Inventaire des comptes/ressources cloud ; rapports d'audit de posture (CSPM) datés.

Outillage

Pépin Prowler

Correspondances & menaces parées 5 standards · 4 menaces

Correspondance

SecNumCloud 8.1 CIS Controls v8 ISO 27001 (A.5.9) PCI-DSS Req 1 HDS

Menaces parées

L'attaquant crée un instantané ou clone d'un disque, d'une base ou d'une image et le partage vers son compte pour en extraire les données. La fonctionnalité de sauvegarde sert de canal d'exfiltration (ATT&CK T1578.001) ATT&CK T1578.001. L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001. L'attaquant opère dans des régions cloud non utilisées ni surveillées par l'organisation pour échapper à la détection. Les angles morts géographiques deviennent une base arrière (ATT&CK T1535) ATT&CK T1535. L'attaquant modifie la configuration du compute (images, instances, groupes) pour persister ou affaiblir la posture. L'infrastructure mutable devient un point d'ancrage (ATT&CK T1578) ATT&CK T1578.002 ATT&CK T1578.005.

SOCLE-CLD-GEN-2 R1 Doit Essentiel Souverain

IAM cloud au moindre privilège : MFA sur les accès d'administration, pas de clé d'accès longue durée non tournée, pas de privilège joker.#

Une clé d'accès longue durée fuitée (dépôt public, log) reste exploitable indéfiniment si elle n'est ni expirée ni tournée. L'IAM au moindre privilège, la MFA sur l'administration et l'absence de privilège joker bornent ce qu'un identifiant volé permet, principal vecteur d'intrusion cloud.

Preuve attendue

Politiques IAM cloud (moindre privilège), configuration MFA, inventaire et rotation des clés.

Outillage

Pépin Prowler

Correspondances & menaces parées 6 standards · 1 menace

Correspondance

SecNumCloud 9.1.a SecNumCloud 9.5.a ANSSI-BP-028 CIS Controls v8 6.8 PCI-DSS Req 1 HDS

Menaces parées

Une combinaison de permissions IAM individuellement anodines forme un chemin d'élévation ou d'accès non prévu (combinaison toxique). Le risque émerge de l'assemblage des droits, pas d'une permission isolée (ATT&CK T1078.004) ATT&CK T1078.004.

SOCLE-CLD-GEN-3 R1 Doit Essentiel Souverain

aucune ressource exposée publiquement par défaut : ports d'administration fermés sur Internet, stockage objet privé.#

Un port d'administration ou un stockage ouvert sur Internet par défaut est scanné et exploité en minutes. Imposer le privé par défaut (ports d'admin fermés, stockage objet privé) supprime l'exposition la plus banale, à l'origine d'innombrables fuites de données par buckets publics.

Preuve attendue

Revue des groupes de sécurité et des ACL de stockage : absence d'exposition publique.

Outillage

Pépin Prowler

Correspondances & menaces parées 6 standards · 1 menace

Correspondance

SecNumCloud 13.2 SecNumCloud 13.3 ANSSI-BP-028 R67 CIS Controls v8 4.4 PCI-DSS Req 1 HDS

Menaces parées

L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001.

SOCLE-CLD-GEN-4 R2 Doit Essentiel Souverain

chiffrement au repos et en transit activé ; journalisation des événements de sécurité centralisée.#

Sans chiffrement, une donnée interceptée ou un disque récupéré est lisible ; sans journalisation centralisée, un incident est invisible. Activer le chiffrement au repos et en transit et centraliser les événements de sécurité protège la confidentialité et donne la traçabilité nécessaire pour détecter et investiguer.

Preuve attendue

Preuves de chiffrement au repos/transit ; configuration de la journalisation centralisée.

Outillage

Pépin Prowler

Correspondances & menaces parées 5 standards · 1 menace

Correspondance

SecNumCloud 10.1 SecNumCloud 10.2 SecNumCloud 12.1 PCI-DSS Req 1 HDS

Menaces parées

L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619.

Les familles de ce domaine

Le détail est organisé par famille de contrôle. Chaque famille a sa page dédiée.

IAM & accès cloud16 exigences Exposition & filtrage réseau9 exigences Compute & instances9 exigences Orchestration Kubernetes12 exigences Stockage & données8 exigences Chiffrement & clés5 exigences Journalisation & audit7 exigences Gouvernance & inventaire cloud12 exigences

Prochaines étapes

Suivant : IAM & accès cloudFamille suivante du domaine Démarche & référentielVue d'ensemble SOCLE

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →