Glossaire · Sécurité cloud
Le glossaire de la sécurité cloud
Des définitions françaises claires et exactes des termes qui reviennent sans cesse en sécurité cloud — de CNAPP à combinaison toxique. Écrit par une équipe qui les rencontre sur le terrain, pas traduit d’un glossaire anglophone.
- CNAPP
- Cloud-Native Application Protection Platform : plateforme qui unifie la sécurité des environnements cloud — posture, charges de travail et identités — et corrèle ces signaux pour prioriser les risques réellement exploitables. Elle remplace un empilement d'outils cloisonnés.Voir : Plateforme CNAPP
- CSPM
- Cloud Security Posture Management : détection continue des mauvaises configurations d'un environnement cloud (exposition publique, chiffrement absent, journalisation désactivée), sans agent, via les API du fournisseur.Voir : CSPM
- CWPP
- Cloud Workload Protection Platform : protection des charges de travail — machines virtuelles, images, conteneurs, fonctions serverless — notamment la détection des vulnérabilités et des CVE à l'intérieur de ces workloads.Voir : CWPP
- CIEM
- Cloud Infrastructure Entitlement Management : analyse des identités et des permissions cloud pour repérer les droits excessifs, inutilisés ou dangereux, en calculant les permissions effectives de chaque identité.Voir : CIEM
- KSPM
- Kubernetes Security Posture Management : évaluation de la posture de sécurité des clusters Kubernetes — RBAC, pods privilégiés, politiques réseau, configurations à risque.Voir : Sécurité conteneurs & Kubernetes
- DSPM
- Data Security Posture Management : découverte et classification des données sensibles dans le cloud, puis évaluation de leur exposition — qui peut y accéder, où elles résident, comment elles sont protégées.
- CDR
- Cloud Detection and Response : détection et réponse aux menaces actives dans le cloud, en s'appuyant sur les journaux et les événements du plan de contrôle (control plane) plutôt que sur les seuls endpoints.
- CASB
- Cloud Access Security Broker : point de contrôle entre les utilisateurs et les applications SaaS, qui applique des politiques de sécurité, de conformité et de protection des données.
- Graphe de sécurité
- Représentation reliant configurations, réseau, charges de travail et identités d'un environnement cloud. En corrélant ces éléments, il révèle les chemins d'attaque que des listes d'alertes isolées ne montrent pas.Voir : Plateforme CNAPP
- Chemin d'attaque
- Enchaînement d'étapes qu'un attaquant peut suivre pour atteindre une ressource sensible — par exemple : machine exposée à Internet, puis vulnérabilité exploitable, puis rôle sur-privilégié, puis accès aux données. Le prioriser vaut mieux que trier des milliers d'alertes.Voir : Combinaisons toxiques
- Combinaison toxique
- Ensemble de faiblesses individuellement modérées qui, combinées, forment un chemin d'attaque critique : par exemple une exposition Internet, une CVE non corrigée et une permission excessive sur la même ressource.Voir : Article : combinaisons toxiques
- Permissions effectives
- Ensemble réel des actions qu'une identité peut effectuer une fois prises en compte les politiques attachées, de groupe, les SCP et les boundaries. Elle diffère souvent de la permission apparente, d'où la difficulté de l'analyser à la main.Voir : CIEM
- Agentless (sans agent)
- Approche qui analyse un environnement cloud via les API du fournisseur avec un rôle en lecture seule, sans installer d'agent sur les charges de travail. Déploiement en quelques minutes, aucune maintenance d'agent, aucun impact sur la production.
- Shift-left
- Pratique consistant à intégrer les contrôles de sécurité au plus tôt dans le cycle de développement — code, IaC, CI/CD — plutôt qu'après le déploiement, pour corriger moins cher et plus vite.Voir : Shift-left vs runtime
- IaC (Infrastructure as Code)
- Description de l'infrastructure sous forme de code (Terraform, CloudFormation, Pulumi). Le scan IaC détecte les mauvaises configurations avant même le déploiement, au niveau du dépôt ou de la CI/CD.Voir : Sécurité IaC
- SBOM
- Software Bill of Materials : inventaire des composants et dépendances d'un logiciel. Il permet de tracer rapidement l'exposition à une vulnérabilité (par exemple lors d'un incident de type Log4Shell).
- CVE
- Common Vulnerabilities and Exposures : identifiant public unique d'une vulnérabilité connue (par exemple CVE-2021-44228), qui sert de référence commune entre outils, éditeurs et bases de données.
- CVSS
- Common Vulnerability Scoring System : score de 0 à 10 mesurant la gravité technique d'une vulnérabilité. Utile mais insuffisant seul : une CVE critique isolée n'a pas le même risque que la même CVE intégrée à un chemin d'attaque exploitable.
- IAM
- Identity and Access Management : gestion des identités (humaines et machines) et de leurs droits d'accès aux ressources cloud. C'est un cœur de la sécurité cloud, car la plupart des attaques transitent par des identités.Voir : CIEM
- RBAC
- Role-Based Access Control : modèle d'attribution des droits par rôles plutôt qu'individuellement. Mal configuré (rôles trop larges), il ouvre des voies d'escalade, notamment dans Kubernetes.Voir : Escalade de privilèges Kubernetes
- Escalade de privilèges
- Technique par laquelle un attaquant obtient des droits supérieurs à ceux dont il disposait — par exemple via une permission iam:PassRole mal maîtrisée, un rôle de service trop permissif ou une faiblesse RBAC.Voir : Du pod à cluster-admin
- Service de métadonnées (IMDS)
- Instance Metadata Service : service interne d'un fournisseur cloud renvoyant les informations et les identifiants temporaires d'une instance. Détourné via une SSRF, il permet de voler les droits IAM de l'instance — d'où l'importance d'imposer IMDSv2.Voir : Méthodologie d'un pentest cloud
- Mauvaise configuration
- Paramétrage non sécurisé d'une ressource cloud : bucket accessible publiquement, port ouvert à 0.0.0.0/0, chiffrement absent, logs désactivés. C'est la cause la plus fréquente des incidents cloud et la cible première du CSPM.Voir : CSPM
- Moindre privilège
- Principe consistant à n'accorder à chaque identité que les droits strictement nécessaires à sa fonction. Il réduit fortement l'impact d'une compromission, en limitant ce qu'un attaquant peut faire d'une identité volée.
- Zero trust
- Modèle de sécurité qui n'accorde aucune confiance implicite, interne ou externe, et vérifie systématiquement l'identité, le contexte et les droits avant d'autoriser chaque accès.
- Souveraineté numérique
- Capacité d'une organisation à garder la maîtrise de ses données et de ses outils, à l'abri des juridictions extraterritoriales (CLOUD Act, FISA 702). Pour un outil de sécurité, elle passe par un éditeur européen indépendant et des données traitées en Union européenne.Voir : CNAPP souverain
- NIS2
- Directive européenne qui renforce les obligations de cybersécurité de milliers d'entités « essentielles » et « importantes ». Sa transposition impose gouvernance, gestion des risques et notification des incidents.Voir : NIS2 et cloud
- DORA
- Règlement européen sur la résilience opérationnelle numérique du secteur financier, applicable depuis le 17 janvier 2025. Il encadre la gestion du risque lié aux TIC, les tests de résilience et la maîtrise des prestataires tiers.Voir : DORA et sécurité cloud
Ces concepts, appliqués à votre cloud
CNAPP, graphe de sécurité, chemins d’attaque : la meilleure façon de comprendre, c’est de les voir sur votre propre environnement. Cyvex se connecte sans agent et vous montre vos risques prioritaires — avec des données qui restent en Union européenne.
Demander une démo →