Sécurité Cloud : L’enfant oublié de la cybersécurité ?
Nicolas Bessi
Une observation surprenante
Après avoir assisté à plusieurs conférences sur la cybersécurité, dont la plus récente Insomni’Hack 2025, un paradoxe est apparu : alors que plus de la moitié des systèmes d’entreprise et d’Internet reposent sur le cloud, les discussions, conférences dédiées, CTFs et ateliers axés sur la sécurité cloud restent largement sous-représentés.
Pourquoi un tel décalage, surtout lorsque l’IA et la conformité réglementaire dominent les conversations et sont intrinsèquement liées aux infrastructures cloud ? Voici quelques pistes de réflexion.
Un domaine vaste et complexe
La sécurité cloud est un domaine étendu qui couvre de nombreux aspects :
- FinOps et gestion des ressources
- Architecture et réseau
- CI/CD et automatisation
- Conformité et posture de sécurité
- Sécurité des conteneurs et des services
- Gestion des identités et des accès (IAM)
- Processus DevOps et gestion des workflows
- Détection et réponse aux incidents
Cet écosystème large fait de la sécurité cloud un « terme parapluie » nécessitant la maîtrise d’un vaste éventail de technologies, avant même d’aborder les problématiques purement sécuritaires.
La segmentation des plateformes cloud
Un autre facteur contribuant au manque de visibilité de la sécurité cloud est la fragmentation des écosystèmes cloud. Contrairement à des technologies plus universellement adoptées comme Kubernetes, chaque hyperscaler (AWS, Azure, GCP, etc.) possède son propre environnement avec des paradigmes et technologies distincts.
Prenons un exemple simple : utiliser un service PostgreSQL managé sur AWS, GCP ou Azure est une expérience totalement différente. Les produits varient énormément en termes de configuration réseau, de tarification, d’implémentation, de sauvegarde ou de paradigme de réplication. Une expertise approfondie sur une plateforme ne se traduit pas forcément sur une autre, rendant difficile l’organisation de présentations ou de formations en dehors des événements spécifiques à une plateforme.
Des coûts élevés pour les événements de sécurité cloud
Ces contraintes entraînent des coûts élevés pour organiser des événements ou des CTFs sur la sécurité cloud. Créer des défis multi-cloud engageants nécessite un budget conséquent en crédits cloud et en infrastructure, ce qui décourage ce type d’initiatives.
Comment inverser la tendance ?
Cibler des sujets accessibles
Plutôt que d’aborder systématiquement la sécurité cloud sous l’angle des mouvements latéraux ou des attaques complexes, il serait utile de se concentrer sur des thématiques plus concrètes — comme la limitation des surcoûts dus à des erreurs DevOps — pour toucher un public plus large.
Sensibiliser dès la formation initiale
L’enseignement de la cybersécurité dans les écoles d’ingénieurs et les cursus informatiques reste encore peu centré sur la sécurité des infrastructures cloud. Intégrer ces sujets aux programmes académiques et proposer des bootcamps dédiés permettrait de former une nouvelle génération de professionnels bien préparés.
Développer des certifications accessibles et reconnues
Les certifications cloud comme AWS Security Specialty, Google Professional Cloud Security Engineer ou Azure Security Engineer existent mais sont souvent perçues comme complexes et coûteuses. Promouvoir des micro-certifications ou des formations sponsorisées et accessibles permettrait de démocratiser le domaine.
Financer du contenu open source et des labs accessibles
Les CTFs multi-cloud coûtent cher, mais proposer des scénarios d’entraînement open source sous forme de challenges locaux (Terraform, Kubernetes, conteneurs vulnérables, etc.) pourrait encourager plus de professionnels à pratiquer sans frais d’infrastructure.
Encourager le partage d’expériences (post-mortems, retours d’expérience)
Les conférences mettent souvent en avant des attaques sophistiquées, mais les incidents concrets en sécurité cloud sont rarement discutés. Mettre l’accent sur des post-mortems anonymisés et des leçons apprises pourrait favoriser l’adoption des bonnes pratiques.
Promouvoir le “Security as Code” et l’automatisation
Les entreprises adoptent le DevOps, mais la sécurité cloud reste majoritairement manuelle. Mettre en avant des outils d’automatisation (IaC Security, Policy as Code, CNAPP, CSPM, SIEM Cloud) dans des talks et ateliers pratiques permettrait de mieux capter l’attention.
Conclusion
La sécurité cloud souffre d’un manque de reconnaissance dans les conférences et les formations malgré son importance cruciale. Son ampleur, sa complexité et ses coûts rendent sa vulgarisation difficile. Toutefois, en adaptant les approches pédagogiques, en diversifiant les thématiques abordées et en renforçant les partenariats avec les acteurs du secteur, il est possible d’intégrer davantage la sécurité cloud dans l’écosystème de la cybersécurité et de combler ce fossé.
Auteur
Carrière
Vous souhaitez travailler dans un environnement inspirant et rejoindre nos équipes motivées et multiculturelles ?
