Un des malentendus les plus dangereux en cybersécurité d’entreprise est de croire que migrer vers le cloud transfère la responsabilité de la sécurité au fournisseur. Cette confusion génère des angles morts réels — des données exposées, des configurations vulnérables — dont les PME ne se rendent souvent compte qu’après un incident.

Le modèle de responsabilité partagée expliqué

Tous les grands fournisseurs cloud — AWS, Microsoft Azure, Google Cloud — opèrent selon un modèle de responsabilité partagée explicitement documenté. La frontière varie selon le type de service, mais le principe est constant :

Le fournisseur est responsable de : la sécurité physique des centres de données, la disponibilité de l’infrastructure, la sécurité du réseau sous-jacent, la mise à jour des hyperviseurs et des composants d’infrastructure de base.

Vous êtes responsable de : la configuration sécurisée de vos services cloud, la gestion des identités et des accès, la protection de vos données (chiffrement, classification), la surveillance de vos propres environnements, la sécurité de vos applications et du code que vous déployez.

En pratique, cela signifie qu’un bucket S3 mal configuré avec des données exposées publiquement est votre responsabilité — pas celle d’AWS. Un environnement Microsoft 365 sans MFA activé est votre risque — pas celui de Microsoft.

Les erreurs de configuration cloud les plus courantes en PME

Buckets de stockage et partages de fichiers publics

Les erreurs de configuration sur les services de stockage (AWS S3, Azure Blob, Google Cloud Storage) sont parmi les causes les plus fréquentes de fuites de données. Des fichiers clients, des contrats, des données financières exposés publiquement sur Internet sans que personne ne le sache.

La vérification est simple : auditez les permissions de vos buckets et partages. Aucun stockage ne devrait être accessible publiquement sans raison explicite et documentée.

Microsoft 365 : une configuration par défaut trop permissive

Microsoft 365 est l’environnement cloud le plus utilisé par les PME québécoises — et l’un des plus mal configurés. Les paramètres par défaut privilégient la collaboration et la facilité d’utilisation, pas la sécurité.

Points critiques à vérifier :

  • MFA activé pour tous les utilisateurs (pas seulement les administrateurs)
  • Partage externe de fichiers SharePoint/OneDrive limité et audité
  • Boîtes courriel protégées contre le forwarding automatique vers l’externe
  • Politiques de rétention des données configurées
  • Alertes sur les connexions suspectes et les modifications de configuration

Le Secure Score de Microsoft 365 est un outil utile : il évalue votre configuration actuelle et priorise les améliorations par impact sur la sécurité.

Droits d’accès excessifs sur les consoles d’administration

Trop de PME opèrent avec des comptes d’administrateur global partagés entre plusieurs personnes, sans journaux d’audit activés. C’est une violation flagrante du principe du moindre privilège et une source de risque majeure.

Chaque administrateur devrait avoir son propre compte nominatif avec les droits strictement nécessaires. Les comptes d’urgence (break glass) doivent être documentés, sécurisés et leur utilisation surveillée.

La sécurité de Microsoft 365 en profondeur

Microsoft 365 mérite une attention particulière car il centralise courriel, fichiers, communications et identités. Une compromission de cet environnement est une compromission totale.

Les contrôles prioritaires :

Conditional Access : définir des politiques qui exigent certaines conditions pour accéder aux ressources — appareil géré, localisation géographique, niveau de risque de l’identité. C’est disponible avec les licences Microsoft 365 Business Premium.

Defender for Business : protection antivirus, EDR (Endpoint Detection and Response) et investigation des incidents incluse dans Business Premium. Activé par défaut mais rarement configuré correctement.

Audit Log : journaux d’activité sur les actions des administrateurs et des utilisateurs. À activer et à conserver au minimum 90 jours pour répondre aux obligations de la Loi 25.

Anti-phishing et Safe Links : filtrage des courriels malveillants et vérification des liens en temps réel. Réduit significativement le vecteur d’attaque le plus commun.

Construire une posture cloud sécurisée

La sécurité cloud n’est pas un projet qu’on complète — c’est une pratique continue. Les environnements évoluent, les permissions dérivent, de nouveaux services sont activés sans revue de sécurité.

Les bonnes pratiques organisationnelles :

  • Revue de configuration trimestrielle : vérifier que les paramètres de sécurité n’ont pas dérivé
  • Processus d’approbation pour les nouveaux services cloud : chaque nouvel outil SaaS doit passer une revue minimale de sécurité avant adoption
  • Inventaire des accès de tiers : fournisseurs et intégrateurs ont souvent des accès permanents à vos environnements cloud — auditez et révoquez les accès inutilisés
  • Tests de restauration : si votre backup cloud n’a jamais été testé, vous n’avez pas vraiment de backup

La migration vers le cloud offre des avantages réels en matière de disponibilité et de scalabilité. Mais elle ne simplifie pas la sécurité — elle la déplace. Comprendre où se situe votre responsabilité est la première étape pour l’assumer correctement.