Aller au contenu principal

Glossaire · Sécurité cloud

Le glossaire de la sécurité cloud

Des définitions françaises claires et exactes des termes qui reviennent sans cesse en sécurité cloud — de CNAPP à combinaison toxique. Écrit par une équipe qui les rencontre sur le terrain, pas traduit d’un glossaire anglophone.

CNAPP
Cloud-Native Application Protection Platform : plateforme qui unifie la sécurité des environnements cloud — posture, charges de travail et identités — et corrèle ces signaux pour prioriser les risques réellement exploitables. Elle remplace un empilement d'outils cloisonnés.Voir : Plateforme CNAPP
CSPM
Cloud Security Posture Management : détection continue des mauvaises configurations d'un environnement cloud (exposition publique, chiffrement absent, journalisation désactivée), sans agent, via les API du fournisseur.Voir : CSPM
CWPP
Cloud Workload Protection Platform : protection des charges de travail — machines virtuelles, images, conteneurs, fonctions serverless — notamment la détection des vulnérabilités et des CVE à l'intérieur de ces workloads.Voir : CWPP
CIEM
Cloud Infrastructure Entitlement Management : analyse des identités et des permissions cloud pour repérer les droits excessifs, inutilisés ou dangereux, en calculant les permissions effectives de chaque identité.Voir : CIEM
KSPM
Kubernetes Security Posture Management : évaluation de la posture de sécurité des clusters Kubernetes — RBAC, pods privilégiés, politiques réseau, configurations à risque.Voir : Sécurité conteneurs & Kubernetes
DSPM
Data Security Posture Management : découverte et classification des données sensibles dans le cloud, puis évaluation de leur exposition — qui peut y accéder, où elles résident, comment elles sont protégées.
CDR
Cloud Detection and Response : détection et réponse aux menaces actives dans le cloud, en s'appuyant sur les journaux et les événements du plan de contrôle (control plane) plutôt que sur les seuls endpoints.
CASB
Cloud Access Security Broker : point de contrôle entre les utilisateurs et les applications SaaS, qui applique des politiques de sécurité, de conformité et de protection des données.
Graphe de sécurité
Représentation reliant configurations, réseau, charges de travail et identités d'un environnement cloud. En corrélant ces éléments, il révèle les chemins d'attaque que des listes d'alertes isolées ne montrent pas.Voir : Plateforme CNAPP
Chemin d'attaque
Enchaînement d'étapes qu'un attaquant peut suivre pour atteindre une ressource sensible — par exemple : machine exposée à Internet, puis vulnérabilité exploitable, puis rôle sur-privilégié, puis accès aux données. Le prioriser vaut mieux que trier des milliers d'alertes.Voir : Combinaisons toxiques
Combinaison toxique
Ensemble de faiblesses individuellement modérées qui, combinées, forment un chemin d'attaque critique : par exemple une exposition Internet, une CVE non corrigée et une permission excessive sur la même ressource.Voir : Article : combinaisons toxiques
Permissions effectives
Ensemble réel des actions qu'une identité peut effectuer une fois prises en compte les politiques attachées, de groupe, les SCP et les boundaries. Elle diffère souvent de la permission apparente, d'où la difficulté de l'analyser à la main.Voir : CIEM
Agentless (sans agent)
Approche qui analyse un environnement cloud via les API du fournisseur avec un rôle en lecture seule, sans installer d'agent sur les charges de travail. Déploiement en quelques minutes, aucune maintenance d'agent, aucun impact sur la production.
Shift-left
Pratique consistant à intégrer les contrôles de sécurité au plus tôt dans le cycle de développement — code, IaC, CI/CD — plutôt qu'après le déploiement, pour corriger moins cher et plus vite.Voir : Shift-left vs runtime
IaC (Infrastructure as Code)
Description de l'infrastructure sous forme de code (Terraform, CloudFormation, Pulumi). Le scan IaC détecte les mauvaises configurations avant même le déploiement, au niveau du dépôt ou de la CI/CD.Voir : Sécurité IaC
SBOM
Software Bill of Materials : inventaire des composants et dépendances d'un logiciel. Il permet de tracer rapidement l'exposition à une vulnérabilité (par exemple lors d'un incident de type Log4Shell).
CVE
Common Vulnerabilities and Exposures : identifiant public unique d'une vulnérabilité connue (par exemple CVE-2021-44228), qui sert de référence commune entre outils, éditeurs et bases de données.
CVSS
Common Vulnerability Scoring System : score de 0 à 10 mesurant la gravité technique d'une vulnérabilité. Utile mais insuffisant seul : une CVE critique isolée n'a pas le même risque que la même CVE intégrée à un chemin d'attaque exploitable.
IAM
Identity and Access Management : gestion des identités (humaines et machines) et de leurs droits d'accès aux ressources cloud. C'est un cœur de la sécurité cloud, car la plupart des attaques transitent par des identités.Voir : CIEM
RBAC
Role-Based Access Control : modèle d'attribution des droits par rôles plutôt qu'individuellement. Mal configuré (rôles trop larges), il ouvre des voies d'escalade, notamment dans Kubernetes.Voir : Escalade de privilèges Kubernetes
Escalade de privilèges
Technique par laquelle un attaquant obtient des droits supérieurs à ceux dont il disposait — par exemple via une permission iam:PassRole mal maîtrisée, un rôle de service trop permissif ou une faiblesse RBAC.Voir : Du pod à cluster-admin
Service de métadonnées (IMDS)
Instance Metadata Service : service interne d'un fournisseur cloud renvoyant les informations et les identifiants temporaires d'une instance. Détourné via une SSRF, il permet de voler les droits IAM de l'instance — d'où l'importance d'imposer IMDSv2.Voir : Méthodologie d'un pentest cloud
Mauvaise configuration
Paramétrage non sécurisé d'une ressource cloud : bucket accessible publiquement, port ouvert à 0.0.0.0/0, chiffrement absent, logs désactivés. C'est la cause la plus fréquente des incidents cloud et la cible première du CSPM.Voir : CSPM
Moindre privilège
Principe consistant à n'accorder à chaque identité que les droits strictement nécessaires à sa fonction. Il réduit fortement l'impact d'une compromission, en limitant ce qu'un attaquant peut faire d'une identité volée.
Zero trust
Modèle de sécurité qui n'accorde aucune confiance implicite, interne ou externe, et vérifie systématiquement l'identité, le contexte et les droits avant d'autoriser chaque accès.
Souveraineté numérique
Capacité d'une organisation à garder la maîtrise de ses données et de ses outils, à l'abri des juridictions extraterritoriales (CLOUD Act, FISA 702). Pour un outil de sécurité, elle passe par un éditeur européen indépendant et des données traitées en Union européenne.Voir : CNAPP souverain
NIS2
Directive européenne qui renforce les obligations de cybersécurité de milliers d'entités « essentielles » et « importantes ». Sa transposition impose gouvernance, gestion des risques et notification des incidents.Voir : NIS2 et cloud
DORA
Règlement européen sur la résilience opérationnelle numérique du secteur financier, applicable depuis le 17 janvier 2025. Il encadre la gestion du risque lié aux TIC, les tests de résilience et la maîtrise des prestataires tiers.Voir : DORA et sécurité cloud

Ces concepts, appliqués à votre cloud

CNAPP, graphe de sécurité, chemins d’attaque : la meilleure façon de comprendre, c’est de les voir sur votre propre environnement. Cyvex se connecte sans agent et vous montre vos risques prioritaires — avec des données qui restent en Union européenne.

Demander une démo →