CyberGlossary

Sécurité du cloud

Modèle de responsabilité partagée

Aussi appelé: Responsabilité partagée, Matrice de responsabilités cloud

Définition

Cadre de sécurité cloud qui répartit les tâches de sécurité entre le fournisseur (sécurité du cloud) et le client (sécurité dans le cloud).

Le modèle de responsabilité partagée définit quels contrôles de sécurité sont opérés par le fournisseur cloud et lesquels relèvent du client. En IaaS, le fournisseur sécurise le centre de données physique, l'hyperviseur et le réseau central, tandis que le client est responsable des correctifs de l'OS invité, de l'IAM, de la configuration réseau, du chiffrement et du code applicatif. En PaaS et SaaS, le fournisseur absorbe plus de couches, mais le client reste responsable de l'identité, de la classification des données, des paramètres de partage et de la sécurité des intégrations. Mal comprendre ces limites est l'une des principales causes de fuites cloud : les clients supposent que le fournisseur protège des charges ou des données qu'il ne protège pas. Chaque grand fournisseur (AWS, Azure, GCP) publie son modèle, qui doit guider la cartographie des contrôles.

Exemples

  • AWS protège le service S3 ; le client est responsable des politiques de bucket et du chiffrement des objets.
  • Microsoft sécurise la plateforme Microsoft 365 ; le tenant doit configurer l'accès conditionnel et la DLP.

Termes liés