Chapitre 5 — Cloud, CASB, SDN & Infrastructure Moderne
Ce module couvre les modèles de services cloud (IaaS, PaaS, SaaS), la responsabilité partagée, et les technologies de sécurité cloud comme CASB, SDN et Infrastructure as Code.
Mémorisez ! IaaS = vous gérez l'OS et plus. PaaS = vous gérez uniquement le code/données. SaaS = vous ne gérez rien. La responsabilité de sécurité diminue du côté client à mesure qu'on monte vers SaaS.
| Modèle | Vous gérez | Le fournisseur gère | Exemples |
|---|---|---|---|
| IaaS | OS, middleware, applications, données | Matériel, réseau, virtualisation | AWS EC2, Azure VMs, GCP Compute |
| PaaS | Applications, données | + OS, middleware, runtime | AWS Elastic Beanstalk, Heroku, Azure App Service |
| SaaS | Données utilisateur, accès | Tout (infrastructure, app, OS) | Office 365, Salesforce, Slack, Google Workspace |
| FaaS/Serverless | Code de fonction uniquement | Tout le reste, y compris l'exécution | AWS Lambda, Azure Functions |
| Modèle | Description | Cas d'usage |
|---|---|---|
| Cloud Public | Infrastructure partagée d'un fournisseur (AWS, Azure, GCP) | PME, startups, charges variables |
| Cloud Privé | Infrastructure dédiée, on-premise ou hébergée | Réglementations strictes, données classifiées |
| Cloud Hybride | Combinaison public + privé avec interconnexion | Workloads sensibles on-premise, burst vers cloud public |
| Cloud Communautaire | Partagé entre plusieurs organisations du même secteur | Secteur santé, gouvernement, défense |
| Multicloud | Utilisation de plusieurs fournisseurs cloud simultanément | Éviter le lock-in, résilience géographique |
Le modèle de responsabilité partagée définit qui (client ou fournisseur cloud) est responsable de chaque aspect de la sécurité.
Exemple concret : AWS est responsable de la sécurité du cloud (infrastructure physique, hyperviseurs, réseau). Le client est responsable de la sécurité dans le cloud : chiffrement des données S3, politiques IAM, configuration des groupes de sécurité, mise à jour des OS EC2, contrôle des accès à l'application.
Astuce Examen
Si une donnée est exposée dans un bucket S3 mal configuré, c'est la responsabilité du client (mauvaise configuration). Si l'infrastructure AWS est compromise, c'est la responsabilité d'AWS. La ligne varie selon le modèle (IaaS vs SaaS).
- CASB (Cloud Access Security Broker) : intermédiaire entre les utilisateurs et les services SaaS. Applique les politiques de sécurité, DLP, chiffrement, authentification. Peut être en mode proxy (inline) ou API.
- Cloud DLP : prévient la fuite de données sensibles vers des services cloud non autorisés.
- CWPP (Cloud Workload Protection Platform) : protège les workloads cloud (VMs, conteneurs, fonctions serverless).
- CSPM (Cloud Security Posture Management) : identifie les mauvaises configurations dans l'environnement cloud (ex: buckets S3 publics, règles de sécurité trop permissives).
- CNAPP (Cloud-Native Application Protection Platform) : combine CWPP + CSPM.
- SDN (Software-Defined Networking) : sépare le plan de contrôle (décisions de routage) du plan de données (transmission). Permet de configurer le réseau via des API et du code.
- Infrastructure as Code (IaC) : définir l'infrastructure via du code (Terraform, CloudFormation, Ansible). Reproductible, versionné, auditable.
- Risques IaC : secrets hardcodés dans les fichiers IaC, configurations par défaut non sécurisées, drift entre le code et l'environnement réel.
- Immutable Infrastructure : au lieu de patcher un serveur, on redéploie un nouveau serveur avec la configuration à jour. Réduit le risque de configuration drift.