theNet by CLOUDFLARE

Conformité multicloud dans un monde multijuridictionnel

Le cloud embrumé : des risques incertains aux conséquences exacerbées

Les opportunités offertes par le cloud continuent de surpasser largement les risques. Une grande partie du risque est liée à la réglementation, en raison de la possibilité que des données soient stockées, consultées, modifiées ou divulguées d'une manière qui mette une organisation en défaut de conformité face à la cohorte toujours plus complexe de cadres réglementaires en matière de protection des données et de confidentialité.

Pire encore, de nombreux professionnels de l'informatique et de la sécurité n'ont même pas de visibilité sur l'endroit où se situe le risque. La visibilité devient plus difficile à mesure que les données et les charges de travail sont réparties dans des environnements multicloud. Le cloud est devenu un brouillard, masquant les risques de conformité latents. Parallèlement, les exigences juridictionnelles auxquelles les organisations internationales doivent se conformer continuent de se multiplier.

Les cadres de sécurité traditionnels s'étant avérés inadaptés pour gérer ces risques concernant la conformité, les équipes informatiques et les responsables de la conformité ont besoin d'une nouvelle méthode, qui leur permettra d'identifier et d'atténuer les violations dans le cloud avant qu'elles ne se produisent.

Les défis liés à la conformité du cloud

Lorsque des données hébergées dans le cloud sont exposées, les organisations perdent la confiance de leurs clients, leur réputation est compromise et elles sont soumises à un contrôle réglementaire. Dans le pire des cas, une violation de données peut entraîner des amendes si les autorités de réglementation estiment qu'une entreprise n'a pas pris de mesures raisonnables pour protéger ses données.

Les expositions se produisent de plusieurs façons, allant de l'ingénierie sociale à un contrôle d'accès inadéquat et à des violations de données flagrantes. Cependant, le cloud présente des défis et des difficultés uniques en matière de prévention de l'exposition des données. Les erreurs de configuration représentent un risque majeur, en particulier lorsque la responsabilité de la sécurité est partagée entre le fournisseur de cloud et le client cloud.

Les erreurs humaines non intentionnelles, en particulier les erreurs de configuration, sont l'un des principaux risques pour les données dans le cloud. Les déploiements de cloud public exposés accidentellement à l'Internet public ou mal configurés de quelque manière que ce soit peuvent conduire à des violations de données majeures.

Les erreurs de configuration du cloud sont de plus en plus fréquentes. Plus les entreprises adoptent de services cloud, plus la surface d'attaque s'élargit, ce qui accroît le risque d'exposition aux ressources mal configurées.

Souvent, les problèmes ne sont détectés qu'une fois que les erreurs de configuration ont déjà produit des répercussions négatives. En effet, de nombreux types de solutions de sécurité cloud largement utilisés, à l'image des services de gestion de la posture de sécurité cloud (CSPM) ou des plateformes de protection des applications cloud-native (CNAPP), identifient les symptômes après coup.

La détection après coup entraîne des alertes, dont la résolution peut prendre un certain temps, ce qui laisse les ressources cloud temporairement exposées. Lorsqu'une organisation prend conscience de sa non-conformité ou de son exposition à des attaques en raison de mauvaises configurations, il est peut-être déjà trop tard.

La sécurité, l'intégrité et la conformité des données dans le cloud posent également de nombreuses difficultés, notamment :

  • Exfiltration de données : les actifs numériques offrent toutes sortes de vecteurs d'attaque aux éléments malveillants, qu'il s'agisse d'un actif soit dans le cloud ou sur site. Cependant, les déploiements multicloud présentent des menaces supplémentaires, étant donné que l'infrastructure physique se situe en dehors de la juridiction et de la responsabilité directe d'une organisation. Des simples attaques d'ingénierie sociale aux exploits de vulnérabilité hautement personnalisés, les attaquants disposent de diverses méthodes pour extraire des données du cloud.

  • Infrastructure cloud fantôme : les entreprises se retrouvent souvent avec des instances cloud abandonnées ou oubliées. Cela se produit naturellement à mesure que les organisations évoluent, changent et se développent, et que les rôles et les responsabilités s'adaptent. Cela peut également se produire lorsque des employés bien intentionnés prennent les choses en main pour faire leur travail, mais ne respectent pas les procédures informatiques approuvées. Il peut en résulter une infrastructure cloud fantôme non répertoriée et non protégée par les politiques de sécurité.

  • Architectures multi-entités : les clouds publics sont partagés entre de nombreuses organisations, et la responsabilité de leur sécurisation incombe au fournisseur de cloud et à ces clients du cloud. Les données hébergées dans le cloud peuvent être partagées accidentellement avec d'autres locataires du cloud si les périmètres de sécurité ne sont pas appliqués.

Ces problèmes de sécurité du cloud peuvent perdurer et laisser les organisations exposées. Les enjeux sont importants en ce qui concerne la conformité réglementaire, la santé financière et la sécurité globale de l'organisation. Les amendes infligées par le Règlement général sur la protection des données (RGPD) de l'UE peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu.

Le monde multijuridictionnel

Et pour compliquer la sécurité et la conformité, chaque juridiction possède ses propres réglementations. Les mesures de sécurité et de confidentialité varient à travers le monde. Voici quelques-unes des principales réglementations :

  • Le RGPD et la directive NIS2 régissent les données des résidents de l'UE

  • Le Digital Digital Privacy Protection Act (DPDP) règlemente les données personnelles en Inde

  • Aux États-Unis, les réglementations spécifiques à un État ou à un secteur (p. ex. CCPA, HIPAA)

  • Les réglementations sectorielles telles que la norme PCI DSS contrôlent la manière dont les données personnelles de paiement sont gérées

Il est pratiquement impossible de garantir que toutes les instances cloud se conforment à l'ensemble des cadres réglementaires applicables manuellement. Il est également difficile de démontrer la conformité sans audits réguliers de toutes les données et de tous les systèmes, une tâche d'autant plus ardue lorsque les organisations s'appuient sur des déploiements multicloud auprès de plusieurs fournisseurs de cloud. Ce travail chronophage peut également freiner l'expansion et le développement commercial des entreprises qui cherchent à pénétrer de nouveaux marchés.

La solution de sécurité du cloud

Pour réduire la fréquence des erreurs de configuration coûteuses, les organisations doivent adopter une approche préventive en sécurisant le point de contrôle où se déroule la quasi-totalité de l'activité cloud et SaaS : les appels d'API. Bien qu'il soit impossible de prévenir toutes les erreurs de configuration, les organisations doivent pouvoir inspecter chaque appel d'API en ligne, au fur et à mesure du déploiement de nouvelles instances cloud, sans attendre que les dégâts se soient produits. De plus, les équipes ont besoin de moyens pour trouver et atténuer les erreurs, et faire respecter la conformité automatiquement, afin de ne pas ajouter d'étapes manuelles.

Une plateforme de sécurité basée sur le cloud peut vous aider à mettre en œuvre cette approche préventive, si elle est en mesure de définir des règles et d'établir des contrôles à la périphérie.

Cloudflare rationalise la conformité de la sécurité cloud de ses clients en évaluant et en appliquant automatiquement des configurations sécurisées, contribuant ainsi à garantir une sécurité solide et la conformité aux cadres réglementaires les plus courants. Cloudflare inspecte le trafic API cloud, offrant aux entreprises une visibilité améliorée et des contrôles granulaires, ainsi qu'une approche proactive dans l'atténuation des risques et la gestion de leur stratégie de sécurité cloud.

En fournissant ces contrôles et garde-fous dans chaque emplacement régional, Cloudflare vous évite de nombreuses erreurs de configuration du cloud qui pourraient vous rendre vulnérable et compromettre la conformité. Et en intégrant ces fonctionnalités (entre votre organisation et les clouds que vous utilisez), la plateforme Cloudflare centralise la gestion des contrôles de sécurité et de performance. Par conséquent, vous pouvez continuer à exploiter pleinement plusieurs clouds, répartis dans diverses juridictions, tout en améliorant l'efficacité et en atténuant les risques.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

  • Les risques pour la sécurité et la conformité liés à l'informatique cloud

  • Comment l'utilisation d'une infrastructure multicloud peut conduire à des erreurs de configuration

  • Des solutions potentielles pour assurer la conformité des données sur plusieurs clouds et dans plusieurs juridictions

Ressources associées

Approfondir le sujet

Pour en savoir plus sur la sécurisation des services pour applications cloud, consultez le livre blanc Trois défis liés à la sécurisation et à la connexion des services pour application.

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

DÉMARRAGE

SOLUTIONS

SUPPORT

CONFORMITÉ

INTÉRÊT PUBLIC

ENTREPRISE

© 2025 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale