ObjectifCyber

Chapitre 5 — Cloud, CASB, SDN & Infrastructure Moderne

Ce module couvre les modèles de services cloud (IaaS, PaaS, SaaS), la responsabilité partagée, et les technologies de sécurité cloud comme CASB, SDN et Infrastructure as Code.

Mémorisez ! IaaS = vous gérez l'OS et plus. PaaS = vous gérez uniquement le code/données. SaaS = vous ne gérez rien. La responsabilité de sécurité diminue du côté client à mesure qu'on monte vers SaaS.
ModèleVous gérezLe fournisseur gèreExemples
IaaSOS, middleware, applications, donnéesMatériel, réseau, virtualisationAWS EC2, Azure VMs, GCP Compute
PaaSApplications, données+ OS, middleware, runtimeAWS Elastic Beanstalk, Heroku, Azure App Service
SaaSDonnées utilisateur, accèsTout (infrastructure, app, OS)Office 365, Salesforce, Slack, Google Workspace
FaaS/ServerlessCode de fonction uniquementTout le reste, y compris l'exécutionAWS Lambda, Azure Functions

ModèleDescriptionCas d'usage
Cloud PublicInfrastructure partagée d'un fournisseur (AWS, Azure, GCP)PME, startups, charges variables
Cloud PrivéInfrastructure dédiée, on-premise ou hébergéeRéglementations strictes, données classifiées
Cloud HybrideCombinaison public + privé avec interconnexionWorkloads sensibles on-premise, burst vers cloud public
Cloud CommunautairePartagé entre plusieurs organisations du même secteurSecteur santé, gouvernement, défense
MulticloudUtilisation de plusieurs fournisseurs cloud simultanémentÉviter le lock-in, résilience géographique

Le modèle de responsabilité partagée définit qui (client ou fournisseur cloud) est responsable de chaque aspect de la sécurité.

Exemple concret : AWS est responsable de la sécurité du cloud (infrastructure physique, hyperviseurs, réseau). Le client est responsable de la sécurité dans le cloud : chiffrement des données S3, politiques IAM, configuration des groupes de sécurité, mise à jour des OS EC2, contrôle des accès à l'application.
Astuce Examen

Si une donnée est exposée dans un bucket S3 mal configuré, c'est la responsabilité du client (mauvaise configuration). Si l'infrastructure AWS est compromise, c'est la responsabilité d'AWS. La ligne varie selon le modèle (IaaS vs SaaS).

1. Dans le modèle IaaS, quelle est la responsabilité du CLIENT en matière de sécurité ?

IaaS (Infrastructure as a Service) : le fournisseur gère le matériel, la virtualisation et l'hyperviseur. Le client est responsable de tout le reste : OS (patches), applications, données, chiffrement, contrôle d'accès, configuration réseau (SG, NACLs).

2. Des données d'entreprise sensibles sont accessibles publiquement via un bucket S3 mal configuré. Selon le modèle de responsabilité partagée AWS, qui est responsable ?

AWS est responsable DE l'infrastructure (le service S3 fonctionne). La configuration du bucket (accès public/privé, politiques) est la responsabilité du CLIENT. Les mauvaises configurations S3 sont l'une des causes les plus fréquentes de fuites de données cloud.

3. Un CSPM (Cloud Security Posture Management) est utilisé pour :

CSPM analyse en continu la configuration cloud (AWS, Azure, GCP) pour détecter les écarts par rapport aux bonnes pratiques : groupes de sécurité trop ouverts, MFA désactivé, chiffrement absent, buckets publics, ports dangereux exposés.

4. Office 365 et Salesforce sont des exemples de quel modèle de service cloud ?

SaaS (Software as a Service) : l'application complète est hébergée par le fournisseur. Le client accède via navigateur ou client. Responsabilité client limitée aux données et aux accès utilisateurs. Office 365, Salesforce, Slack, Google Workspace = SaaS classiques.

5. Quelle est la différence entre un cloud public et un cloud privé ?

Cloud public = multi-tenant (partagé entre organisations, isolation logique). Cloud privé = dédié à une organisation (matériel dédié, isolation physique). Cloud privé peut être on-premise (datacenter interne) ou hébergé chez un fournisseur (hosted private cloud).

6. L'Infrastructure as Code (IaC) améliore la sécurité principalement en :

IaC (Terraform, CloudFormation, Ansible) = configuration en code versionné dans Git. Bénéfices sécurité : auditabilité (qui a changé quoi, quand), cohérence (pas de configuration manuelle, pas de "configuration drift"), reproductibilité (recreer un environnement identique), code review des changements.

7. Le SDN (Software-Defined Networking) améliore la sécurité réseau en :

SDN sépare le plan de contrôle (intelligence, décisions) du plan de données (transmission). Cela permet la micro-segmentation granulaire, la modification dynamique des règles réseau, et une visibilité centralisée — impossible à cette échelle avec des équipements réseau traditionnels.

8. Heroku, AWS Elastic Beanstalk et Azure App Service sont des exemples de quel modèle de service cloud ?

PaaS (Platform as a Service) : le développeur dépose son code, la plateforme gère l'OS, le runtime, les middlewares, la mise à l'échelle. Responsabilité sécurité = code applicatif et données. Plus de gestion de serveurs.

9. Le principal risque de sécurité lié à l'Infrastructure as Code (IaC) est :

Les secrets hardcodés dans Terraform, CloudFormation ou Ansible (clés API, mots de passe, certificats) qui se retrouvent dans Git sont une fuite de sécurité majeure. Solution : utiliser des gestionnaires de secrets (Vault, AWS Secrets Manager), des variables d'environnement, ou des scans automatiques avec git-secrets, truffleHog.

10. Un CASB en mode "API" diffère d'un CASB en mode "proxy" en ce qu'il :

CASB API-mode : se connecte via les APIs des SaaS (Office 365, Google Drive) pour analyser les logs, contenu, et configuration — pas de latence, mais réaction retardée (détection après coup). CASB proxy-mode : s'interpose dans le flux (inline) pour bloquer en temps réel mais peut ajouter de la latence.