Que sont les cloud security controls ?
Les cloud security controls sont des mesures conçues pour protéger les environnements cloud contre les menaces. En effet, ils incluent le chiffrement, les contrôles d'accès, les pare-feux et les systèmes de détection d'intrusion. En outre, des frameworks de conformité comme ISO 27001 et SOC 2 contribuent à appliquer des normes de sécurité strictes. Enfin, une supervision régulière et des plans de réponse aux incidents renforcent la résilience de la sécurité cloud.
Vous trouverez ci-dessous les différents types de cloud security controls que vous pouvez mettre en œuvre, ainsi que des bonnes pratiques et des outils pour améliorer votre infrastructure cloud.
Types de cloud security controls
contrôles dissuasifs : dissuadez les attaquants potentiels de cibler votre infrastructure grâce à des certifications de conformité, des bannières d'avertissement de sécurité et des technologies à jour ;
contrôles préventifs : prévenez les incidents en supprimant les vulnérabilités et en restreignant les accès via le chiffrement, l'authentification multifacteur (MFA) et la segmentation réseau ;
contrôles détectifs : surveillez les activités anormales ou les menaces à l'aide d'outils comme des IDS et un SIEM ;
contrôles correctifs : réduisez l'impact des incidents grâce à une remédiation renforcée, à des sauvegardes automatiques et à des plans et processus de reprise adaptés.
Voir la démo (12 min)
Regardez la démo pour découvrir comment Wiz Cloud identifie les combinaisons à risque entre les mauvaises configurations, les identités, l’exposition des données et les vulnérabilités — sans agent.
Regarder maintenant
Bonnes pratiques de cloud security controls dissuasifs
Voici deux bonnes pratiques pour déployer des cloud security controls dissuasifs :
1. Adapter et déployer des frameworks de gouvernance pour les environnements cloud
Les frameworks de gouvernance cloud fournissent des lignes directrices structurées pour vous aider à gérer efficacement vos ressources cloud. Ainsi, ils garantissent que l'usage de ces ressources reste aligné sur vos politiques organisationnelles et vos exigences de conformité.
Vous pouvez mettre en œuvre un framework de gouvernance avec des outils Infrastructure as Code comme Terraform ou AWS CloudFormation. Par exemple, ce script Terraform permet d'imposer des politiques de tags :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*",
"Condition": {"StringEquals": {"aws:MultiFactorAuthPresent": "true"}}
}
]
}Votre équipe peut également créer des modules pour chaque fonction du NIST afin d'imposer des politiques à l'échelle de votre infrastructure cloud. À mesure que vous déployez de nouveaux processus, fixez-vous pour objectif d'atteindre un certain niveau de conformité avec le framework choisi dans les six mois.
2. Former vos équipes, simuler des campagnes de phishing et réaliser des tests d'intrusion
Votre organisation doit former tout le monde aux dernières menaces, des collaborateurs non techniques à votre équipe sécurité. Pour cela, organisez des sessions régulières pour présenter les modes opératoires usuels et leur évolution.
Récemment, de nombreux internautes ont été victimes de campagnes de phishing sophistiquées visant des comptes personnels via Google Meet. L'arnaque propose un entretien, pour un emploi ou un média, et invite à planifier l'appel. Ainsi, la victime reçoit un lien raccourci via l'interface habituelle de Google Calendar — mais l'information ne part pas chez Google. L'attaquant récupère à la place les identifiants du compte.
Pour éviter ce type de pièges, menez des simulations de phishing régulières afin d'évaluer la vulnérabilité humaine, comme dans le scénario d'invitation Meet ci-dessus. En effet, elles vous aideront à entraîner vos équipes face à des attaques intentionnellement sophistiquées. En complément, réalisez des tests d'intrusion via des cyberattaques simulées pour identifier les faiblesses de votre sécurité cloud.
Bonnes pratiques de cloud security controls préventifs
1. Faire respecter des permissions strictes
Le modèle zero trust suit le principe « ne jamais faire confiance, toujours vérifier ». Ainsi, plutôt que de s'appuyer sur une sécurité périmétrique traditionnelle, il adopte une approche plus holistique. En effet, ce modèle réduit significativement la surface d'attaque en examinant rigoureusement chaque demande d'accès, qu'elle provienne de l'intérieur ou de l'extérieur du réseau.
Sur AWS par exemple, les politiques IAM vous permettent de spécifier les permissions et les conditions :
resource "aws_resourcegroupstaggingapi_tag_policy" "compliance" {
policy = <<POLICY
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "tagging:TagResources",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": "prod"
}
}
}
]
}
POLICY
}Vous pouvez mettre en place une architecture zero trust à l'aide de ces stratégies clés :
définissez des garde-fous pour imposer le principe du moindre privilège (PoLP), ce qui réduit le rayon d'explosion potentiel d'une compromission ;
utilisez AWS CloudTrail pour un audit continu — il fournit un enregistrement détaillé de toutes les actions effectuées par les utilisateurs sur AWS ;
visez une réduction significative de votre surface d'attaque au premier trimestre du déploiement.
2. Mettre régulièrement à jour et patcher les systèmes
Maintenir vos systèmes à jour est essentiel pour atténuer les vulnérabilités. En effet, appliquer et gérer les derniers correctifs de sécurité permet de protéger l'ensemble de vos logiciels et de vos systèmes. Cette pratique évite aux attaquants d'exploiter des vulnérabilités connues, souvent les points d'entrée les plus simples.
Vous pouvez automatiser les mises à jour de correctifs dans votre environnement cloud avec des outils comme AWS Systems Manager Patch Manager.
3. Donner la priorité à la gestion des risques
Mettez en place ces processus pour éliminer les risques :
réaliser des évaluations de risques régulières : elles vous aident à identifier des vulnérabilités potentielles dans votre infrastructure cloud et à prioriser les efforts de sécurité selon la gravité et la probabilité. Pour accélérer ce processus, vous pouvez utiliser un script Python, tel qu'AWS Inspector, pour effectuer des scans de vulnérabilités automatisés en environnement cloud :
import boto3
client = boto3.client('inspector')
assessment_targets = client.list_assessment_targets()['assessmentTargetArns']
for target in assessment_targets:
client.start_assessment_run(assessmentTemplateArn=target)prioriser les risques selon l'impact potentiel : la priorisation garantit une allocation efficace des ressources vers les vulnérabilités les plus critiques en premier, ce qui renforce la résilience de votre environnement cloud. Vous pouvez utiliser une matrice de contrôles cloud dans des outils comme Microsoft Excel ou Google Sheets pour catégoriser et prioriser les risques selon leur impact et leur probabilité.
Bonnes pratiques de cloud security controls de détection
Voici deux bonnes pratiques que vous pouvez mettre en œuvre dès aujourd'hui :
1. Exploiter l'IA et le machine learning pour la threat detection and response
Les technologies d'IA et de machine learning (ML) analysent de vastes volumes de datasets pour identifier des schémas et des anomalies révélateurs de menaces. Ainsi, les utiliser vous permet d'accélérer et d'améliorer la précision de la threat detection and response.
Vous pouvez implémenter un modèle ML de détection d'anomalies avec Python et un service ML cloud comme AWS SageMaker ou Google Cloud AI :
from sklearn.ensemble import IsolationForest
import pandas as pd
# Load dataset
data = pd.read_csv('cloud_traffic_data.csv')
# Train the model
model = IsolationForest()
model.fit(data)
# Detect anomalies
anomalies = model.predict(data)Vous pouvez également adopter une plateforme cloud-native qui embarque les dernières avancées en IA pour une sécurité renforcée.
Par exemple, la solution Cloud Detection and Response de Wiz utilise l'IA pour identifier et remédier les risques en corrélant des facteurs de risque à travers les environnements cloud. En outre, Wiz s'appuie sur des fournisseurs d'IA tiers, comme Azure OpenAI, pour alimenter des fonctionnalités telles qu'Ask AI, ce qui renforce encore sa gestion de la posture de sécurité.
Checklist d'auto-évaluation de la sécurité cloud
Checklist d'auto-évaluation des risques cloud de Wiz est conçue pour vous aider à adopter une approche proactive pour sécuriser votre environnement cloud.
2. Réaliser des audits de configuration réguliers
Des audits réguliers de vos paramètres de configuration cloud vous aideront à identifier des erreurs de configuration ou des changements non autorisés et à vérifier que votre posture de sécurité répond aux standards. Pour mener des audits et des scans de vulnérabilités de manière continue, utilisez des outils automatisés qui détectent incohérences et erreurs, tels qu'AWS Audit Manager ou Azure Security Center.
De plus, une solution unifiée cloud-native comme Wiz permet d'identifier des problèmes de sécurité et de proposer des actions de remédiation priorisées. En effet, sa plateforme scanne en continu les environnements cloud sur AWS et Azure, sans agents, et détecte en temps réel des erreurs de configuration, des changements non autorisés et des problèmes de conformité. Wiz fournit aussi des évaluations de vulnérabilités priorisées pour savoir exactement ce qui est à risque, quels sujets traiter en priorité et comment.
Bonnes pratiques de cloud security controls correctifs
Voici deux contrôles à exploiter pour renforcer votre sécurité cloud :
1. Construire un plan de réponse aux incidents cloud
Chaque organisation doit disposer d'un plan de réponse aux incidents pour faire face aux violations, vulnérabilités ou erreurs affectant la sécurité, l'intégrité et l'accessibilité de ses données. Ainsi, vous devez anticiper chaque type d'incident et définir des rôles, des responsabilités et des protocoles précis pour répondre rapidement.
La réponse et la remédiation aux incidents exigent des plans organisés et efficaces, mais l'infrastructure conditionne votre approche. En effet, la sécurité cloud présente des défis spécifiques, notamment la sécurité des données à travers des emplacements, des appareils, des data centers et des environnements hybrides.
Prenons l'exemple du confinement. Dans un contexte traditionnel, une solution EDR est généralement la méthode la plus rapide pour isoler une machine compromise du réseau. Pourtant, dans le cloud, cela peut ne pas fonctionner. Les équipes résolvent souvent plus efficacement en modifiant les paramètres des security groups via le plan de contrôle.
La réponse aux incidents cloud requiert une approche cloud-native, tirant parti de l'IA, de l'automatisation et d'une visibilité multi-cloud. Exemples de mise en œuvre :
data exfiltration : isolez automatiquement des ressources, révoquez des identifiants et déclenchez des analyses forensiques. Par exemple, AWS Lambda peut détacher des instances EC2 en cas de trafic inhabituel ;
escalade de privilèges : désactivez des comptes compromis, alertez les équipes sécurité et enquêtez. Azure Automation aide à désactiver des comptes Azure AD présentant des accès anormaux ;
erreurs de configuration : revenez en arrière, alertez les équipes et évitez les erreurs futures. AWS Config, par exemple, rétablit des paramètres S3 privés si des attaquants les rendent publics.
Utilisez également des plateformes de sécurité cloud-native avec des workflows automatisés pour industrialiser le confinement et la remédiation. Ainsi, des plateformes unifiées comme Wiz vous aident à contenir et à résoudre ces menaces dans une infrastructure cloud complexe.
2. Adopter une plateforme de sécurité cloud-native
La mise en œuvre de multiples contrôles et pratiques implique souvent d'empiler des dizaines d'outils et de protocoles en espérant que le tout fonctionne comme une machine bien huilée — ce qui est rarement le cas. En effet, avec trop de variables et d'outils, l'état réel de votre sécurité n'est pas toujours clair. Il devient difficile d'obtenir une vision holistique, en temps réel, de vos vulnérabilités.
À l'inverse, une plateforme CNAPP vous permet de gérer, protéger et évaluer votre sécurité cloud en un seul endroit. Ainsi, avec un dispositif plus efficace, vous pouvez bâtir des security controls plus solides pour un cloud plus sûr.
Avec une CNAPP comme Wiz, vous bénéficiez immédiatement des atouts suivants :
visibilité sur tous les clouds : obtenez une vue complète de vos environnements cloud, notamment AWS, GCP, Azure et plus encore ;
connaissance de l'ensemble des ressources : conservez de la visibilité sur tous les actifs, comme les machines virtuelles, les fonctions serverless, les conteneurs, les bases de données et les services managés ;
détection de tous les facteurs de risque : identifiez en temps réel risques, expositions réseau, secrets, malwares et données sensibles, de la prévention à la détection ;
élimination des angles morts : utilisez une visibilité agentless pour détecter des écarts de sécurité en tirant parti des API des fournisseurs de services cloud, ce qui vous évite la configuration et la maintenance d'agents.
Checklist de cloud security controls
1. Identity & Access Management (IAM)
✅ Appliquez le principe du moindre privilège (RBAC, ABAC)
✅ Déployez la MFA pour tous les utilisateurs, en particulier les comptes à privilèges
✅ Auditez régulièrement les politiques IAM et supprimez des identifiants inutilisés
2. Sécurité des données
✅ Chiffrez les données au repos et en transit (TLS 1.2/1.3, AES-256)
✅ Appliquez une classification des données et des contrôles d'accès
✅ Activez la journalisation et la supervision pour détecter des accès non autorisés
3. Sécurité réseau
✅ Restreignez les flux entrants/sortants avec des security groups et des pare-feux
✅ Mettez en place des réseaux privés (VPC, endpoints privés)
✅ Utilisez les principes zero trust pour les communications internes
4. Threat detection & response
✅ Activez la supervision cloud-native (une solution CSPM, un CWPP, un SIEM)
✅ Automatisez la détection d'anomalies et la réponse aux incidents
✅ Réalisez des évaluations de sécurité et des tests d'intrusion réguliers
5. Sécurité des applications et des workloads
✅ Analysez les images de conteneurs et les fonctions serverless pour détecter des vulnérabilités
✅ Appliquez une protection runtime (un EDR, détection comportementale)
✅ Sécurisez les pipelines CI/CD avec des security controls automatisés
6. Conformité et gouvernance
✅ Surveillez en continu la conformité réglementaire (SOC 2, ISO 27001, NIST)
✅ Utilisez des scans de sécurité pour l'Infrastructure as Code (IaC)
✅ Maintenez un cadre centralisé de politiques de sécurité et d'application
Les principaux frameworks de cloud security controls
Les frameworks de sécurité cloud ne sont pas que des checklists de conformité — ils servent aussi de guides pour vous aider à implémenter des cloud security controls.
Voici quelques-uns des frameworks de sécurité cloud les plus pertinents aujourd'hui :
MITRE ATT&CK®
Ce framework est une encyclopédie vivante des tactiques adverses pour la modélisation et la simulation, offrant une vision des chemins d'attaque possibles et des défenses efficaces. En effet, MITRE ATT&CK® vous aide aussi à comprendre les menaces susceptibles de viser votre infrastructure cloud et à ajuster vos défenses en conséquence.
Ce standard de sécurité se concentre sur trois grands domaines :
enterprise : cible la sécurité des réseaux d'entreprise ;
mobile : met l'accent sur les menaces liées au mobile ;
ICS : se focalise sur la protection des systèmes et réseaux de contrôle industriel.
Cloud Security Alliance (CSA) Security, Trust, Assurance, and Risk (STAR) program
Le programme STAR de la CSA fournit une suite complète de certifications et de recommandations pour évaluer les capacités de sécurité des services cloud. Ainsi, ce framework met l'accent sur la transparence afin que vous puissiez prendre des décisions éclairées sur les fournisseurs de services cloud en fonction de leur posture de sécurité.
Le programme comprend plusieurs niveaux, notamment :
niveau I (autoévaluation) : atteste que les organisations appliquent une sécurité de base, démontrée par le titulaire ;
niveau II (audit tiers) : repose sur une évaluation indépendante qui prouve l'expertise et se concentre sur les protocoles et pratiques de sécurité avancés ;
niveau III (audit continu) : garantit le plus haut niveau d'assurance avec une supervision continue et des meilleures pratiques de sécurité.
ISO/IEC 27017:2015
Cette norme internationale étend ISO/IEC 27002 au cloud et offre des conseils spécifiques sur l'acquisition, la fourniture et l'exploitation de services cloud. En outre, ce framework ISO/IEC vous aide également à aligner vos pratiques de sécurité cloud sur des standards reconnus mondialement.
Pris ensemble, ces frameworks constituent une base solide pour déployer des cloud security controls. Ainsi, en les adoptant, vous renforcez la conformité et la résilience de votre environnement face aux menaces.
Comment les cloud security controls doivent-ils varier selon le modèle de déploiement ?
Voici des cloud security controls clés et la manière dont ils peuvent évoluer selon l'infrastructure choisie :
| Security control | Public cloud | Private cloud | Hybrid cloud |
|---|---|---|---|
| IAM | Solutions IAM cloud, MFA, principe du moindre privilège et zero trust Exemple : sécurisation de l'accès SaaS | Active Directory sur site, contrôle d'accès basé sur les rôles et LDAP Exemple : contrôle interne des données | IAM fédéré entre environnements Exemple : accès unifié pour les employés |
| Threat detection and response | Sécurité pilotée par l'IA (comme Wiz) associée à des outils internes tels qu'AWS GuardDuty et Azure Sentinel Exemple : chasse proactive aux menaces | SIEM, IDS/IPS et analyses forensiques manuelles Exemple : surveillance des risques interne | Visibilité cross-plateforme et réponse unifiée aux menaces Exemple : corrélation des données de sécurité |
| Protection des données et chiffrement | Chiffrement à toutes les étapes (au repos et en transit), systèmes de gestion de clés pour un stockage sûr des clés de chiffrement et prévention des pertes de données pour protéger les informations sensibles Exemple : prévention des fuites de données | Chiffrement local et politiques de gouvernance des données automatisées par script Exemple : application des politiques de données | Classification des données et application cohérente sur tous les clouds Exemple : équilibre coûts/risques |
| Sécurité réseau | Pare-feux cloud-native (network security groups et security groups) et protocoles zero trust Exemple : segmentation du réseau cloud | Pare-feux traditionnels et micro-segmentation Exemple : isolation des applications critiques | VPN et passerelles hybrides sécurisées Exemple : connexions entre le sur site et le cloud |
| Conformité et gouvernance | Frameworks de conformité automatisés avec des plateformes comme Wiz et des outils comme AWS Audit Manager Exemple : conformité PCI rationalisée | Audits internes et suivi manuel de la conformité Exemple : protection des données personnelles | Reporting de conformité fédéré et politiques de sécurité hybrides Exemple : application cohérente des politiques |
En fin de compte, la mise en œuvre dépend de votre organisation, de votre infrastructure cloud et des besoins de votre secteur.
Découvrez Wiz Cloud en action
Dans une visite interactive guidée de 10 minutes, vous pourrez :
accéder immédiatement à une démonstration guidée de la plateforme Wiz ;
voir comment Wiz priorise les risques critiques ;
découvrir les étapes de remédiation avec des exemples concrets.
L'approche de Wiz pour les cloud security controls
Wiz aide les organisations à réduire les risques de sécurité cloud en automatisant la conformité, en offrant une visibilité complète et en permettant une remédiation rapide. Ainsi, avec Wiz, votre équipe s'assure que vos environnements cloud respectent des standards de sécurité stricts, minimisent le risque de violations coûteuses et améliorent l'efficacité opérationnelle globale.
En tant que plateforme de sécurité cloud complète, Wiz vous aide à mettre en œuvre un large éventail de cloud security controls grâce aux fonctionnalités suivantes :
Plus de 100 frameworks intégrés
Wiz inclut plus de 100 frameworks intégrés, tels que les CIS, PCI, NIST, HIPAA et le RGPD. Ainsi, la plateforme évalue automatiquement votre environnement par rapport à ces référentiels, ce qui vous permet de comprendre rapidement votre posture de conformité. Ces frameworks incluent des contrôles intégrés et des règles de configuration cloud, selon leurs listes de contrôles et recommandations.
La plateforme calcule également un score global de conformité pour chaque framework et génère une carte thermique de votre posture, vous offrant une visibilité claire en un coup d'œil.
Frameworks et contrôles personnalisables
Wiz vous permet aussi de personnaliser les frameworks de conformité en sélectionnant les contrôles alignés sur les exigences de sécurité propres à votre organisation. Par exemple, vous pouvez créer un framework sur mesure pour répondre à des exigences spécifiques de résidence des données ou pour imposer des politiques internes.
Guidage et remédiation automatique
Après avoir identifié un contrôle non conforme dans votre environnement, la marche à suivre n'est pas toujours évidente. C'est pourquoi Wiz fournit des recommandations de remédiation détaillées pour tout contrôle en échec afin d'accélérer la résolution.
Par exemple, si un bucket S3 n'a pas activé « Block Public Access », Wiz peut fournir l'appel d'API exact à exécuter pour corriger le problème :
Vous souhaitez en savoir plus sur les cloud security controls et améliorer votre infrastructure ? Téléchargez dès aujourd'hui le Cloud Security Workflow Handbook de Wiz.
Assurez la conformité de vos environnements cloud
Découvrez comment Wiz élimine les efforts manuels et la complexité liés à la mise en conformité dans des environnements dynamiques et multicloud.
