Aller au contenu
Sécurité medium

Gouvernance & inventaire cloud (SOCLE CLD)

12 min de lecture

On ne sécurise pas un cloud qu'on ne maîtrise pas : comptes oubliés, régions inutilisées et ressources fantômes sont autant d'angles morts. Cette famille pose la gouvernance de l'infrastructure. Les ressources sont étiquetées (propriétaire, projet, environnement) et la découverte couvre tous les comptes et régions pour débusquer le shadow IT ; le socle d'hygiène ANSSI (niveau renforcé) s'applique à l'infrastructure ; les régions inutilisées sont désactivées pour réduire la surface ; et un programme d'audit (configuration plus test d'intrusion, PASSI annuel) vérifie la posture. Au registre souverain s'ajoutent la localisation UE des données, un fournisseur établi dans l'UE soustrait au contrôle extra-UE, l'encadrement des demandes d'accès des autorités, la transparence sur les sous-traitants et la réversibilité.

Concrètement, ces exigences parent : le shadow IT non sécurisé, le déploiement furtif dans une région inutilisée, la dérive de configuration non auditée, le verrouillage propriétaire sans réversibilité, et la perte de souveraineté sur la localisation et la juridiction. Des renforcées (R2) aux souveraines (R3).

L'enjeu

Sans gouvernance cloud, l'inventaire dérive et la souveraineté n'est pas démontrable.

Les erreurs les plus fréquentes sur ce périmètre :

ressources non étiquetées
régions inutilisées non verrouillées
localisation/sous-traitants non transparents
Comment lire R1R2R3du fondamental au souverain Doitobligatoire Devraitrecommandé Chaque carte porte son énoncé, le pourquoi, la preuve attendue et ses correspondances aux standards.
Afficher
SOCLE-CLD-GVN-1 R2 Devrait

ressources étiquetées (propriétaire, projet, environnement) pour l'inventaire et la responsabilité.#

Sans étiquetage, une ressource n'a ni propriétaire ni contexte : on ignore à qui elle est et si elle doit exister. Étiqueter (propriétaire, projet, environnement) permet l'inventaire, la responsabilisation et le nettoyage des ressources orphelines, point de départ de toute gouvernance cloud à l'échelle.

Preuve attendue
Étiquettes obligatoires présentes (propriétaire, projet, environnement).
Outillage
Pépin
Correspondances & menaces parées 3 standards
SOCLE-CLD-GVN-10 R3 Doit Souverain

demandes d'accès des autorités encadrées : transparence, notification au client quand le droit l'autorise, vérification de la base légale et de la juridiction (résistance à l'extraterritorialité).#

Une demande d'accès d'une autorité sans cadre expose les données du client à une divulgation opaque, parfois extraterritoriale. Encadrer ces demandes (transparence, notification quand le droit l'autorise, vérification de la base légale et de la juridiction) protège le client contre les accès non fondés.

Preuve attendue
Procédure de traitement des réquisitions ; registre des demandes ; notification client documentée.
Outillage
Pépin
Correspondances & menaces parées 3 standards · 1 menace
Menaces parées

Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).

SOCLE-CLD-GVN-11 R2 Devrait

réversibilité et portabilité : export des données en formats ouverts et documentés, sans verrouillage propriétaire ; capacité de récupération en fin de contrat.#

Sans portabilité, un fournisseur verrouille ses clients par des formats propriétaires : changer devient impossible et la dépendance subie. Garantir l'export en formats ouverts et une capacité de récupération en fin de contrat préserve la liberté de migrer et la maîtrise de ses propres données.

Preuve attendue
Plan de réversibilité ; formats d'export ouverts ; test de récupération des données.
Outillage
Pépin
Correspondances & menaces parées 2 standards · 1 menace
Menaces parées

Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).

SOCLE-CLD-GVN-12 R2 Doit Souverain

restitution et suppression des données personnelles en fin de contrat (réversibilité PII).#

À la fin du contrat, des données personnelles qui subsistent chez le fournisseur restent un risque de fuite et une non-conformité. La restitution puis suppression garantie des PII (réversibilité) clôt proprement la relation : le client récupère ses données et le fournisseur n'en conserve aucune copie résiduelle.

Preuve attendue
Procédure de restitution/suppression PII ; preuve d'exécution en fin de contrat.
Outillage
Pépin
Correspondances & menaces parées 3 standards · 1 menace
Menaces parées

Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).

SOCLE-CLD-GVN-2 R2 Devrait

socle d'hygiène informatique ANSSI (niveau renforcé) appliqué à l'infrastructure d'exécution.#

Sécuriser sans référentiel mène à des trous incohérents d'un système à l'autre. Appliquer le socle d'hygiène informatique ANSSI (niveau renforcé) à l'infrastructure d'exécution donne une base éprouvée et mesurable de bonnes pratiques, plutôt qu'un durcissement improvisé au cas par cas.

Preuve attendue
Configuration de l'infra conforme au guide d'hygiène ANSSI (niveau renforcé).
Outillage
Pépin
Correspondances & menaces parées 2 standards
SOCLE-CLD-GVN-3 R3 Doit Souverain

localisation du stockage, du traitement et de l'administration des données dans l'Union européenne.#

Le lieu de stockage, traitement et administration détermine la loi applicable et l'exposition à des accès étrangers. Maintenir ces opérations dans l'UE est la base pour répondre aux exigences de souveraineté et limiter le risque juridique sur les données sensibles.

Preuve attendue
Régions et plan de contrôle localisés UE ; administration/supervision opérées depuis l'UE.
Outillage
Pépin
Correspondances & menaces parées 3 standards · 2 menaces
Menaces parées

L'attaquant opère dans des régions cloud non utilisées ni surveillées par l'organisation pour échapper à la détection. Les angles morts géographiques deviennent une base arrière (ATT&CK T1535) ATT&CK T1535. Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).

SOCLE-CLD-GVN-4 R3 Doit Souverain

fournisseur établi dans l'UE et soustrait à un contrôle capitalistique extra-UE déterminant ; exposition aux lois extraterritoriales évaluée.#

Même hébergées en Europe, des données peuvent être exposées si le fournisseur est soumis à un droit extraterritorial via son actionnariat. Choisir un fournisseur établi dans l'UE et soustrait à un contrôle capitalistique extra-UE déterminant, après évaluation, réduit ce risque légal de fond.

Preuve attendue
Établissement UE ; structure capitalistique sous les plafonds extra-UE ; analyse d'extraterritorialité.
Outillage
Pépin
Correspondances & menaces parées 2 standards · 1 menace
Menaces parées

Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).

SOCLE-CLD-GVN-5 R3 Devrait Souverain

programme d'audit de l'infrastructure (configuration + test d'intrusion des interfaces d'administration exposées) ; audit PASSI annuel en contexte qualifié.#

Une configuration jamais auditée dérive et ses failles restent invisibles. Un programme d'audit (configuration plus test d'intrusion des interfaces d'admin exposées), avec audit PASSI annuel en contexte qualifié, vérifie régulièrement que la posture tient face à un attaquant réel, pas seulement sur le papier.

Preuve attendue
Programme d'audit pluriannuel ; rapport d'audit PASSI annuel.
Outillage
Pépin
Correspondances & menaces parées 1 standard
Correspondance
SOCLE-CLD-GVN-6 R2 Doit Souverain

transparence sur la localisation des données personnelles et la liste des sous-traitants.#

On n'évalue pas un risque qu'on ne connaît pas : où sont les données personnelles, et qui y accède en sous-traitance ? La transparence sur la localisation et la liste des sous-traitants permet au client d'évaluer sa chaîne de responsabilité et de tenir ses propres obligations (RGPD).

Preuve attendue
Documentation de localisation des PII et des sous-traitants ; procédure de restitution/suppression.
Outillage
Pépin
Correspondances & menaces parées 3 standards · 1 menace
Menaces parées

Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).

SOCLE-CLD-GVN-7 R2 Devrait

notification au client en cas d'accès ou de divulgation des données personnelles ; pas d'usage des PII à des fins de marketing sans consentement.#

Un accès ou une divulgation des données personnelles sans notification prive le client de sa capacité à réagir et à informer. Notifier ces accès et interdire l'usage des PII à des fins de marketing sans consentement protège les droits des personnes et la conformité du client.

Preuve attendue
Procédure de notification d'accès/divulgation des PII ; absence d'usage secondaire non consenti.
Outillage
Pépin
Correspondances & menaces parées 2 standards · 1 menace
Menaces parées

Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).

SOCLE-CLD-GVN-8 R2 Devrait

régions cloud non utilisées désactivées ou restreintes (ex. SCP region-deny) pour réduire la surface d'attaque et la collecte furtive.#

Les régions cloud non utilisées restent des espaces où un attaquant peut déployer furtivement des ressources (minage, exfiltration) sans être vu. Les désactiver ou restreindre (ex. SCP region-deny) réduit la surface d'attaque et la collecte furtive : moins de terrain à surveiller, moins de recoins pour l'attaquant.

Preuve attendue
Restriction effective des régions non utilisées (réf. ATT&CK T1535).
Outillage
Pépin
Correspondances & menaces parées 1 standard · 2 menaces
Correspondance
Menaces parées

L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001. L'attaquant opère dans des régions cloud non utilisées ni surveillées par l'organisation pour échapper à la détection. Les angles morts géographiques deviennent une base arrière (ATT&CK T1535) ATT&CK T1535.

SOCLE-CLD-GVN-9 R2 Devrait

couverture complète de la découverte cloud (tous comptes, régions et ressources) rapprochée de l'inventaire pour détecter les actifs non gérés (shadow IT).#

Une découverte cloud incomplète laisse des comptes, régions ou ressources hors radar : le shadow IT est précisément ce qu'on ne sécurise pas. Couvrir tous les comptes et régions et rapprocher de l'inventaire révèle ces actifs non gérés, souvent les plus vulnérables car personne ne les surveille.

Preuve attendue
Découverte exhaustive (comptes/régions) ; écarts inventaire/découverte traités (shadow IT).
Outillage
Pépin
Correspondances & menaces parées 2 standards · 1 menace
Menaces parées

L'attaquant opère dans des régions cloud non utilisées ni surveillées par l'organisation pour échapper à la détection. Les angles morts géographiques deviennent une base arrière (ATT&CK T1535) ATT&CK T1535.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn