On ne sécurise pas un cloud qu'on ne maîtrise pas : comptes oubliés, régions inutilisées et ressources fantômes sont autant d'angles morts. Cette famille pose la gouvernance de l'infrastructure. Les ressources sont étiquetées (propriétaire, projet, environnement) et la découverte couvre tous les comptes et régions pour débusquer le shadow IT ; le socle d'hygiène ANSSI (niveau renforcé) s'applique à l'infrastructure ; les régions inutilisées sont désactivées pour réduire la surface ; et un programme d'audit (configuration plus test d'intrusion, PASSI annuel) vérifie la posture. Au registre souverain s'ajoutent la localisation UE des données, un fournisseur établi dans l'UE soustrait au contrôle extra-UE, l'encadrement des demandes d'accès des autorités, la transparence sur les sous-traitants et la réversibilité.
Concrètement, ces exigences parent : le shadow IT non sécurisé, le déploiement furtif dans une région inutilisée, la dérive de configuration non auditée, le verrouillage propriétaire sans réversibilité, et la perte de souveraineté sur la localisation et la juridiction. Des renforcées (R2) aux souveraines (R3).
Sans gouvernance cloud, l'inventaire dérive et la souveraineté n'est pas démontrable.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »ressources étiquetées (propriétaire, projet, environnement) pour l'inventaire et la responsabilité.#
Sans étiquetage, une ressource n'a ni propriétaire ni contexte : on ignore à qui elle est et si elle doit exister. Étiqueter (propriétaire, projet, environnement) permet l'inventaire, la responsabilisation et le nettoyage des ressources orphelines, point de départ de toute gouvernance cloud à l'échelle.
- Preuve attendue
- Étiquettes obligatoires présentes (propriétaire, projet, environnement).
- Outillage
- Pépin
Correspondances & menaces parées 3 standards
demandes d'accès des autorités encadrées : transparence, notification au client quand le droit l'autorise, vérification de la base légale et de la juridiction (résistance à l'extraterritorialité).#
Une demande d'accès d'une autorité sans cadre expose les données du client à une divulgation opaque, parfois extraterritoriale. Encadrer ces demandes (transparence, notification quand le droit l'autorise, vérification de la base légale et de la juridiction) protège le client contre les accès non fondés.
- Preuve attendue
- Procédure de traitement des réquisitions ; registre des demandes ; notification client documentée.
- Outillage
- Pépin
Correspondances & menaces parées 3 standards · 1 menace
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
réversibilité et portabilité : export des données en formats ouverts et documentés, sans verrouillage propriétaire ; capacité de récupération en fin de contrat.#
Sans portabilité, un fournisseur verrouille ses clients par des formats propriétaires : changer devient impossible et la dépendance subie. Garantir l'export en formats ouverts et une capacité de récupération en fin de contrat préserve la liberté de migrer et la maîtrise de ses propres données.
- Preuve attendue
- Plan de réversibilité ; formats d'export ouverts ; test de récupération des données.
- Outillage
- Pépin
Correspondances & menaces parées 2 standards · 1 menace
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
restitution et suppression des données personnelles en fin de contrat (réversibilité PII).#
À la fin du contrat, des données personnelles qui subsistent chez le fournisseur restent un risque de fuite et une non-conformité. La restitution puis suppression garantie des PII (réversibilité) clôt proprement la relation : le client récupère ses données et le fournisseur n'en conserve aucune copie résiduelle.
- Preuve attendue
- Procédure de restitution/suppression PII ; preuve d'exécution en fin de contrat.
- Outillage
- Pépin
Correspondances & menaces parées 3 standards · 1 menace
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
socle d'hygiène informatique ANSSI (niveau renforcé) appliqué à l'infrastructure d'exécution.#
Sécuriser sans référentiel mène à des trous incohérents d'un système à l'autre. Appliquer le socle d'hygiène informatique ANSSI (niveau renforcé) à l'infrastructure d'exécution donne une base éprouvée et mesurable de bonnes pratiques, plutôt qu'un durcissement improvisé au cas par cas.
- Preuve attendue
- Configuration de l'infra conforme au guide d'hygiène ANSSI (niveau renforcé).
- Outillage
- Pépin
Correspondances & menaces parées 2 standards
localisation du stockage, du traitement et de l'administration des données dans l'Union européenne.#
Le lieu de stockage, traitement et administration détermine la loi applicable et l'exposition à des accès étrangers. Maintenir ces opérations dans l'UE est la base pour répondre aux exigences de souveraineté et limiter le risque juridique sur les données sensibles.
- Preuve attendue
- Régions et plan de contrôle localisés UE ; administration/supervision opérées depuis l'UE.
- Outillage
- Pépin
Correspondances & menaces parées 3 standards · 2 menaces
L'attaquant opère dans des régions cloud non utilisées ni surveillées par l'organisation pour échapper à la détection. Les angles morts géographiques deviennent une base arrière (ATT&CK T1535) ATT&CK T1535. Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
fournisseur établi dans l'UE et soustrait à un contrôle capitalistique extra-UE déterminant ; exposition aux lois extraterritoriales évaluée.#
Même hébergées en Europe, des données peuvent être exposées si le fournisseur est soumis à un droit extraterritorial via son actionnariat. Choisir un fournisseur établi dans l'UE et soustrait à un contrôle capitalistique extra-UE déterminant, après évaluation, réduit ce risque légal de fond.
- Preuve attendue
- Établissement UE ; structure capitalistique sous les plafonds extra-UE ; analyse d'extraterritorialité.
- Outillage
- Pépin
Correspondances & menaces parées 2 standards · 1 menace
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
programme d'audit de l'infrastructure (configuration + test d'intrusion des interfaces d'administration exposées) ; audit PASSI annuel en contexte qualifié.#
Une configuration jamais auditée dérive et ses failles restent invisibles. Un programme d'audit (configuration plus test d'intrusion des interfaces d'admin exposées), avec audit PASSI annuel en contexte qualifié, vérifie régulièrement que la posture tient face à un attaquant réel, pas seulement sur le papier.
- Preuve attendue
- Programme d'audit pluriannuel ; rapport d'audit PASSI annuel.
- Outillage
- Pépin
Correspondances & menaces parées 1 standard
transparence sur la localisation des données personnelles et la liste des sous-traitants.#
On n'évalue pas un risque qu'on ne connaît pas : où sont les données personnelles, et qui y accède en sous-traitance ? La transparence sur la localisation et la liste des sous-traitants permet au client d'évaluer sa chaîne de responsabilité et de tenir ses propres obligations (RGPD).
- Preuve attendue
- Documentation de localisation des PII et des sous-traitants ; procédure de restitution/suppression.
- Outillage
- Pépin
Correspondances & menaces parées 3 standards · 1 menace
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
notification au client en cas d'accès ou de divulgation des données personnelles ; pas d'usage des PII à des fins de marketing sans consentement.#
Un accès ou une divulgation des données personnelles sans notification prive le client de sa capacité à réagir et à informer. Notifier ces accès et interdire l'usage des PII à des fins de marketing sans consentement protège les droits des personnes et la conformité du client.
- Preuve attendue
- Procédure de notification d'accès/divulgation des PII ; absence d'usage secondaire non consenti.
- Outillage
- Pépin
Correspondances & menaces parées 2 standards · 1 menace
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
régions cloud non utilisées désactivées ou restreintes (ex. SCP region-deny) pour réduire la surface d'attaque et la collecte furtive.#
Les régions cloud non utilisées restent des espaces où un attaquant peut déployer furtivement des ressources (minage, exfiltration) sans être vu. Les désactiver ou restreindre (ex. SCP region-deny) réduit la surface d'attaque et la collecte furtive : moins de terrain à surveiller, moins de recoins pour l'attaquant.
- Preuve attendue
- Restriction effective des régions non utilisées (réf. ATT&CK T1535).
- Outillage
- Pépin
Correspondances & menaces parées 1 standard · 2 menaces
L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001. L'attaquant opère dans des régions cloud non utilisées ni surveillées par l'organisation pour échapper à la détection. Les angles morts géographiques deviennent une base arrière (ATT&CK T1535) ATT&CK T1535.
couverture complète de la découverte cloud (tous comptes, régions et ressources) rapprochée de l'inventaire pour détecter les actifs non gérés (shadow IT).#
Une découverte cloud incomplète laisse des comptes, régions ou ressources hors radar : le shadow IT est précisément ce qu'on ne sécurise pas. Couvrir tous les comptes et régions et rapprocher de l'inventaire révèle ces actifs non gérés, souvent les plus vulnérables car personne ne les surveille.
- Preuve attendue
- Découverte exhaustive (comptes/régions) ; écarts inventaire/découverte traités (shadow IT).
- Outillage
- Pépin
Correspondances & menaces parées 2 standards · 1 menace
L'attaquant opère dans des régions cloud non utilisées ni surveillées par l'organisation pour échapper à la détection. Les angles morts géographiques deviennent une base arrière (ATT&CK T1535) ATT&CK T1535.