-
Notifications
You must be signed in to change notification settings - Fork 0
Le cloud
Plateforme : TryHackMe | Module : Computer Fundamentals
Le cloud computing est l'évolution naturelle de la virtualisation. Là où la virtualisation permet de mieux utiliser un serveur physique, le cloud permet de déléguer entièrement la gestion de l'infrastructure à un fournisseur, en accédant aux ressources à la demande, depuis n'importe où, avec un modèle de facturation à l'usage.
Serveurs physiques (1 serveur = 1 application)
↓
Virtualisation (plusieurs VMs par serveur)
↓
Hébergement géré (infogérance)
↓
Cloud computing (à la demande, pay-per-use, distribué mondialement)
Chaque étape a réduit les coûts, amélioré l'utilisation des ressources, et rendu les applications plus faciles à faire évoluer.
| Avantage | Description |
|---|---|
| Scalabilité | Monter ou descendre en capacité instantanément selon la demande |
| Self-service à la demande | Créer ou supprimer des ressources sans attendre un approvisionnement matériel |
| Pay-per-use | Facturation basée sur l'usage réel, sans coût fixe initial |
| Sécurité | Les fournisseurs maintiennent une sécurité robuste de l'infrastructure physique |
| Haute disponibilité | Les applications restent opérationnelles même en cas de défaillance partielle |
| Accès global | Les utilisateurs peuvent accéder à l'application depuis n'importe où |
Point GRC : la haute disponibilité cloud correspond directement aux exigences de continuité d'activité (PCA/PRA). Les SLA des fournisseurs cloud (uptime garanti) sont des données critiques pour l'analyse des risques opérationnels. ISO 27001 A.5.30 — préparation des TIC pour la continuité d'activité. DORA — exigences de résilience opérationnelle.
| Type | Description | Utilisateurs typiques |
|---|---|---|
| Cloud public | Infrastructure partagée accessible sur internet | Startups, sites web, applications mondiales |
| Cloud privé | Infrastructure dédiée à une seule organisation | Banques, santé, administrations |
| Cloud hybride | Mix public/privé avec partage de données entre les deux | Plateformes e-commerce (données sensibles en privé, scalabilité en public) |
- Le cloud public est le moins cher et le plus flexible, mais l'organisation partage l'infrastructure avec d'autres clients.
- Le cloud privé offre un contrôle maximal et répond aux exigences de conformité les plus strictes (données de santé, données classifiées), mais son coût est proche de l'infrastructure physique.
- Le cloud hybride est le compromis privilégié par les grandes organisations qui ont des charges sensibles et des besoins de scalabilité.
Point GRC : le choix du modèle de déploiement conditionne directement le niveau d'exposition réglementaire. Stocker des données personnelles dans un cloud public étranger peut déclencher des obligations RGPD, NIS2 ou sectorielles spécifiques. ISO 27001 A.5.19 — sécurité dans les relations avec les fournisseurs.
| Modèle | Ce que le fournisseur gère | Ce que vous gérez | Exemples |
|---|---|---|---|
| IaaS (Infrastructure as a Service) | Matériel physique, réseau, stockage | OS, middleware, applications, données | AWS EC2, Azure VMs, Google Compute Engine |
| PaaS (Platform as a Service) | Matériel + OS + middleware | Applications, données | Heroku, Google App Engine, Azure App Service |
| SaaS (Software as a Service) | Tout | Rien (vous utilisez) | Gmail, Zoom, Salesforce, Microsoft 365 |
| Situation | Modèle |
|---|---|
| Location d'un appartement vide (vous achetez les meubles, décorez) | IaaS |
| Location d'un appartement meublé (vous apportez vos affaires) | PaaS |
| Séjour à l'hôtel (tout est fourni) | SaaS |
| Composant | IaaS | PaaS | SaaS |
|---|---|---|---|
| Données | Client | Client | Client |
| Application | Client | Client | Fournisseur |
| Runtime / Middleware | Client | Fournisseur | Fournisseur |
| Système d'exploitation | Client | Fournisseur | Fournisseur |
| Matériel / Infrastructure | Fournisseur | Fournisseur | Fournisseur |
Point GRC : la frontière des responsabilités entre le client et le fournisseur est un sujet d'audit critique. Le modèle de responsabilité partagée doit être contractuellement défini et régulièrement vérifié. ISO 27001 A.5.19 / A.5.20 — gestion de la sécurité dans les accords avec les fournisseurs.
| Fournisseur | Point fort |
|---|---|
| AWS (Amazon Web Services) | Leader du marché, offre la plus large, présence mondiale |
| Microsoft Azure | Environnements entreprise et cloud hybride |
| Google Cloud Platform | Data analytics, IA, machine learning |
| Alibaba Cloud | Leader en Asie, compétitif à l'international |
| IBM Cloud | Cloud hybride et IA pour les entreprises |
| Oracle Cloud | Applications d'entreprise et bases de données |
- Netflix : intégralité de la plateforme sur AWS, scalabilité mondiale, streaming pour des millions d'utilisateurs simultanés
- Spotify : gestion de millions de morceaux et d'utilisateurs, scalabilité instantanée lors de nouvelles sorties
- Instagram : stockage massif de photos/vidéos, distribution mondiale à faible latence
- E-commerce : absorption des pics de trafic Black Friday sans infrastructure permanente surdimensionnée
Contexte : déploiement d'une application de formation cybersécurité sur une interface similaire à AWS.
EC2 (Elastic Compute Cloud) : serveur virtuel dans le cloud AWS. Chaque instance EC2 est un ordinateur virtuel avec CPU et RAM, pouvant faire tourner n'importe quelle application.
Instance types : définissent la puissance d'une instance EC2.
| Règle | Conséquence |
|---|---|
| Instance plus grande | Plus de CPU/RAM → coût plus élevé |
| Instance plus petite | Moins de CPU/RAM → coût plus faible |
Trois instances EC2 créées (modèle IaaS, accès OS complet nécessaire pour les labs cybersécurité) :
| Nom de l'instance | Type | Rôle |
|---|---|---|
| application-interface | t3.micro | Interface frontend de l'application |
| study-machine-1 | m5.large | Machine d'entraînement utilisateur |
| study-machine-2 | m5.large | Machine d'entraînement utilisateur |
Les instances study-machine-1 et study-machine-2 ont été arrêtées pendant la phase de développement (aucun utilisateur actif), réduisant significativement le coût mensuel.
Leçon clé : dans le cloud, les coûts peuvent être ajustés en temps réel. C'est fondamentalement différent d'une infrastructure physique où les coûts sont fixes indépendamment de l'usage.
| Terme | Définition |
|---|---|
| Cloud public | Services cloud partagés sur internet, accessibles à tous |
| Cloud privé | Cloud dédié à une seule organisation |
| Cloud hybride | Combinaison de cloud public et privé avec partage de données |
| IaaS | Location de ressources informatiques de base (serveurs, stockage, réseau) |
| PaaS | Environnement prêt à l'emploi pour construire et déployer des applications |
| SaaS | Logiciel utilisé via internet sans installation (Gmail, Zoom) |
| EC2 | Serveurs virtuels Amazon — créables, redimensionnables et arrêtables à la demande |
| Région | Localisation géographique des ressources cloud (Europe, Amérique du Nord...) |
| Modèle / Concept | Risque | Contrôle recommandé | Référentiel |
|---|---|---|---|
| Cloud public | Isolation des données entre locataires (multi-tenancy) | Chiffrement des données, gestion des accès IAM | ISO 27001 A.5.19 |
| Cloud privé | Responsabilité sécurité entière de l'organisation | Hardening, patching, surveillance | ISO 27001 A.8.8 |
| IaaS | Surface d'attaque maximale (OS accessible) | Hardening OS, patch management, EDR | ISO 27001 A.8.8 |
| PaaS | Visibilité réduite sur l'infrastructure | Audit des pratiques fournisseur, revue des logs | ISO 27001 A.5.20 |
| SaaS | Pas de contrôle infrastructure | Gouvernance des données, IAM, MFA | ISO 27001 A.5.15 / A.8.5 |
| Région cloud | Souveraineté des données | Sélectionner des régions conformes RGPD / NIS2 | RGPD Art. 44-50 |
| Instance arrêtée | Données au repos exposées | Chiffrement des volumes de stockage | ISO 27001 A.8.24 |
| Coûts cloud | Shadow IT, instances oubliées | Inventaire des ressources, alertes de facturation | ISO 27001 A.8.1 |
Un des points les plus mal compris en GRC cloud : le fournisseur ne sécurise pas vos données. Il sécurise son infrastructure. La sécurité de vos données, de vos applications et de vos configurations reste votre responsabilité.
Exemple concret : AWS sécurise ses datacenters physiques, ses réseaux, et ses hyperviseurs. Mais si vous configurez mal un bucket S3 (stockage) en accès public, Amazon n'interviendra pas. C'est votre erreur, votre risque, votre incident.
En audit GRC cloud, les questions clés à poser :
- La politique de responsabilité partagée est-elle documentée et comprise par les équipes ?
- Les configurations cloud sont-elles auditées régulièrement (posture management) ?
- Les accès aux ressources cloud sont-ils gérés selon le principe du moindre privilège ?
- Le fournisseur cloud est-il qualifié / certifié (ISO 27001, SecNumCloud pour la France) ?
- Le choix du modèle de déploiement (public/privé/hybride) est-il documenté et justifié par une analyse de risques ?
- Les données sensibles sont-elles stockées dans des régions conformes aux exigences légales (RGPD, sectorielles) ?
- Le contrat avec le fournisseur cloud précise-t-il les responsabilités de sécurité de chaque partie ?
- Un inventaire des ressources cloud est-il maintenu et régulièrement mis à jour ?
- Des alertes de coût et de configuration sont-elles en place pour détecter les anomalies et le Shadow IT ?
- Le fournisseur cloud est-il auditable et dispose-t-il de certifications reconnues ?