Sécurité du cloud pour PME : risques, bonnes pratiques et conformité 2026
En 2026, plus de 92 % des PME françaises utilisent au moins un service cloud (messagerie, stockage, ERP, CRM, outils collaboratifs). Pourtant, la sécurité du cloud reste l'un des angles morts les plus exploités par les cyberattaquants. 80 % des incidents cloud en PME proviennent d'erreurs de configuration ou de mauvaises pratiques internes, et non d'une défaillance du fournisseur.
Ce guide vous explique les risques spécifiques au cloud, le principe de responsabilité partagée, les bonnes pratiques concrètes par environnement (Microsoft 365, Google Workspace, AWS, Azure) et les obligations imposées par NIS2 et le RGPD.
Pourquoi la sécurité du cloud est-elle un enjeu critique ?
Le cloud offre agilité, scalabilité et économies, mais il introduit aussi de nouveaux risques :
- Surface d'attaque étendue : services accessibles depuis Internet par défaut.
- Configurations par défaut peu sécurisées : la sécurité est une option, pas une norme.
- Multiplication des comptes et identités : risque de compromission par phishing.
- Données sensibles dispersées : SharePoint, OneDrive, Drive, Dropbox, Notion, etc.
- Dépendance au fournisseur : risque de perte d'accès en cas de litige ou de panne.
- Souveraineté des données : enjeux liés au Cloud Act américain et au RGPD.
Le modèle de responsabilité partagée : un concept clé
Beaucoup de dirigeants pensent à tort que « le cloud est sécurisé par le fournisseur ». C'est faux. Tous les fournisseurs cloud appliquent unmodèle de responsabilité partagée : ils sécurisent l'infrastructure, mais le client reste responsable de la sécurité de ses données, accès et configurations.
| Domaine | Responsabilité fournisseur | Responsabilité client |
|---|---|---|
| Datacenters physiques | ✅ Fournisseur | — |
| Infrastructure réseau et matériel | ✅ Fournisseur | — |
| Hyperviseurs et systèmes de base | ✅ Fournisseur | — |
| Configuration des services | — | ✅ Client |
| Gestion des identités et accès | — | ✅ Client |
| Données et leur classification | — | ✅ Client |
| Sauvegarde des données | ⚠️ Partielle | ✅ Client (recommandé) |
| Sensibilisation des utilisateurs | — | ✅ Client |
Les 7 risques majeurs du cloud pour les PME
1. Compromission de comptes par phishing
Le vol d'identifiants Microsoft 365 ou Google Workspace est la cause numéro 1 des incidents cloud en PME. Un seul compte compromis donne souvent accès à l'ensemble des données de l'entreprise.
2. Mauvaises configurations
Buckets S3 publics, partages SharePoint ouverts à tous, droits administrateur trop largement distribués : 75 % des fuites de données cloud proviennent d'erreurs de configuration.
3. Shadow IT
Les collaborateurs utilisent des outils cloud personnels (WeTransfer, Google Drive perso, ChatGPT, Notion) pour traiter des données professionnelles, échappant à toute supervision.
4. Absence de sauvegarde dédiée
Microsoft et Google ne garantissent pas la sauvegarde long terme de vos données. En cas de suppression malveillante, ransomware ou erreur, la restauration peut être impossible au-delà de 30 jours.
5. Manque de visibilité et de supervision
Sans outil de supervision, il est très difficile de détecter une connexion anormale, une exfiltration de données ou une activité suspecte dans un environnement cloud.
6. Dépendance excessive à un fournisseur
Une concentration de tous les services critiques chez un seul fournisseur expose à un risque majeur en cas de panne, litige commercial ou attaque ciblée.
7. Non-conformité RGPD et souveraineté
Le stockage de données personnelles ou stratégiques sur des clouds soumis à des législations extra-européennes (Cloud Act américain) peut constituer une non-conformité RGPD et un risque géopolitique.
Les bonnes pratiques fondamentales de sécurité cloud
1. Activer le MFA partout, sans exception
L'authentification multifacteur (MFA) bloque plus de 99 % des attaques par compromission de compte. Elle doit être obligatoire pour tous les utilisateurs, en particulier les administrateurs. Privilégiez les méthodes fortes : applications d'authentification (Microsoft Authenticator, Google Authenticator), clés FIDO2, plutôt que les SMS.
2. Appliquer le principe du moindre privilège
Chaque utilisateur ne doit avoir que les droits strictement nécessaires à ses missions. Limitez le nombre de comptes administrateurs (idéalement 2 à 3 maximum), avec des comptes dédiés distincts des comptes utilisateurs.
3. Mettre en place des sauvegardes externalisées
Utilisez une solution de sauvegarde dédiée (Veeam, Datto, Acronis, Spanning) pour vos environnements cloud, indépendante du fournisseur principal. Appliquez la règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site.
4. Chiffrer les données sensibles
Activez le chiffrement au repos et en transit pour toutes les données. Pour les données les plus sensibles, utilisez du chiffrement applicatif côté client avec gestion de vos propres clés (BYOK).
5. Superviser les activités cloud
Activez les journaux d'audit (Microsoft Purview, Google Workspace Audit, AWS CloudTrail, Azure Monitor) et collectez-les dans un SIEM ou un service de supervision (SOC managé) pour détecter les activités anormales.
6. Encadrer le shadow IT
Cartographiez les usages cloud réels (CASB, NDR), formalisez une politique d'utilisation acceptable et proposez des alternatives validées aux outils utilisés en shadow IT.
7. Sensibiliser les utilisateurs en continu
Formez régulièrement vos collaborateurs aux risques spécifiques du cloud : phishing, partages de fichiers, gestion des mots de passe, mobilité.
Sécuriser Microsoft 365 : les 10 actions prioritaires
- Activer le MFA pour 100 % des utilisateurs via les Conditional Access Policies.
- Désactiver les protocoles d'authentification hérités (POP, IMAP, SMTP basique).
- Configurer Microsoft Defender for Office 365 (anti-phishing, anti-malware, Safe Links).
- Restreindre les partages externes SharePoint et OneDrive aux domaines de confiance.
- Activer la protection contre les ransomwares via les versions et la corbeille étendue.
- Mettre en place une solution de sauvegarde tierce (Veeam, AvePoint, Spanning).
- Configurer Microsoft Purview pour la classification et la prévention de fuite de données (DLP).
- Limiter les comptes administrateurs globaux et utiliser PIM (Privileged Identity Management).
- Activer les journaux d'audit unifiés et les conserver au minimum 1 an.
- Effectuer une revue trimestrielle des comptes inactifs, invités et applications connectées.
Sécuriser Google Workspace : les 10 actions prioritaires
- Imposer le MFA via la validation en deux étapes pour tous les utilisateurs.
- Activer le programme Protection avancée pour les comptes administrateurs.
- Configurer les règles de partage Drive (interdire les partages publics par défaut).
- Activer Google Workspace Security Center et la classification automatique.
- Mettre en place les règles DLP pour les données sensibles (RIB, NIR, données de santé).
- Configurer SPF, DKIM et DMARC pour la messagerie.
- Limiter les applications tierces autorisées via le tableau de bord Admin.
- Mettre en place une sauvegarde indépendante (Spanning, SysCloud).
- Activer les alertes de sécurité et l'intégration avec un SIEM.
- Réaliser un audit trimestriel des partages, comptes inactifs et délégations.
Sécuriser AWS et Azure : les fondamentaux
Pour les environnements IaaS/PaaS comme AWS ou Azure, les enjeux sont différents et plus techniques :
- IAM strict : rôles, politiques de moindre privilège, pas d'utilisation du compte root.
- MFA obligatoire sur tous les comptes, en particulier les comptes à privilèges.
- Segmentation réseau : VPC, subnets privés, security groups restrictifs.
- Chiffrement systématique : KMS pour AWS, Key Vault pour Azure.
- CSPM (Cloud Security Posture Management) : Prisma Cloud, Wiz, Microsoft Defender for Cloud.
- Journalisation complète : CloudTrail, Config, GuardDuty pour AWS ; Azure Monitor, Sentinel pour Azure.
- Tests de sécurité réguliers : scans de vulnérabilités, pentest, audit de configuration.
Conformité NIS2 et RGPD dans le cloud
Le recours au cloud n'exonère pas l'entreprise de ses obligations réglementaires. Au contraire, NIS2 et RGPD imposent des exigences spécifiques :
Au titre du RGPD
- Réaliser une analyse d'impact (AIPD) pour les traitements à risque hébergés en cloud.
- Signer un contrat de sous-traitance (article 28) avec garanties de sécurité.
- Vérifier les transferts hors UE et les garanties associées (clauses contractuelles types, Data Privacy Framework).
- Tenir à jour le registre des traitements et la documentation des sous-traitants.
Au titre de NIS2
- Inclure les fournisseurs cloud dans la cartographie des risques de chaîne d'approvisionnement.
- Évaluer la criticité de chaque fournisseur cloud et négocier les clauses de sécurité contractuelles.
- Déclarer à l'ANSSI tout incident significatif, y compris ceux affectant un service cloud critique.
- Tester régulièrement la résilience face à une indisponibilité cloud (PCA/PRA).
Souveraineté et clouds de confiance
Pour les données sensibles (santé, défense, infrastructures critiques, données stratégiques), il est recommandé de privilégier des solutions de cloud de confiance qualifiées par l'ANSSI :
- SecNumCloud : qualification ANSSI la plus stricte (OVHcloud, Outscale, NumSpot, S3NS).
- HDS (Hébergement de Données de Santé) : certification obligatoire pour les données de santé.
- Bleu et S3NS : offres souveraines basées sur Microsoft 365 et Google Workspace, opérées par des entités françaises.
Conclusion : reprendre le contrôle de son cloud
La sécurité du cloud n'est ni complexe ni hors de portée des PME, mais elle nécessite une approche structurée : connaître ses responsabilités, durcir les configurations, sauvegarder, superviser et sensibiliser. Les bénéfices sont immédiats : réduction drastique du risque cyber, conformité accélérée et confiance renforcée.
CyberConform accompagne les PME et ETI dans l'audit, le durcissement et la supervision de leurs environnements cloud (Microsoft 365, Google Workspace, AWS, Azure), ainsi que dans la sélection de solutions souveraines et la mise en conformité NIS2 / RGPD de leur stratégie cloud.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit