On répète que le cloud, c’est l’ordinateur de quelqu’un d’autre. La formule fait sourire et s’arrête là. La question utile porte ailleurs : qui répond de quoi.
Le modèle de responsabilité partagée
Le fournisseur sécurise le socle : bâtiments, matériel, hyperviseur, réseau physique. Le client reste responsable de ce qu’il pose dessus : ses données, ses accès, sa configuration. La frontière exacte dépend du service consommé.
- IaaS (machines virtuelles) : le client gère presque tout au-dessus du système.
- PaaS (plateformes managées) : le fournisseur monte d’un cran, le client garde son code et ses données.
- SaaS (logiciel prêt à l’emploi) : il reste souvent les comptes et les permissions. Ceux-là appartiennent entièrement au client.
La sécurité du cloud appartient au fournisseur. La sécurité dans le cloud appartient au client.
L’erreur qui revient
La plupart des fuites de données dans le cloud ne viennent pas d’une intrusion spectaculaire, mais d’un stockage objet laissé ouvert : un bucket S3 public, une case « privé » jamais cochée. Le fournisseur avait tenu sa part. La configuration relevait du client.
Déplacer une charge vers le cloud ne déplace pas la responsabilité avec elle. C’est la ligne que je garde en tête avant de provisionner quoi que ce soit.