Lorsque vous envisagez et évaluez des services cloud publics, il est essentiel de comprendre le modèle de responsabilité partagée et quelles tâches de sécurité sont prises en charge par le fournisseur cloud, et lesquelles vous prenez en charge. Les responsabilités liées aux charges de travail varient selon que la charge de travail est hébergée en mode Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS), ou dans un datacenter local :

IaaS (Infrastructure as a Service) : Vous gérez les machines virtuelles, les systèmes d’exploitation et les applications. Les exemples incluent Azure Virtual Machines, Azure Disk Storage et les réseaux virtuels.
PaaS (Platform as a Service) : Vous déployez des applications sans gérer les machines virtuelles ou les systèmes d’exploitation. Les exemples incluent Azure App Service, Azure Functions, Azure SQL Database et Azure Storage.
SaaS (Software as a Service) : Vous utilisez des applications prêtes à l’emploi. Les exemples incluent Microsoft 365, Dynamics 365 et d’autres applications cloud.

De nombreuses solutions Azure utilisent une combinaison de modèles de service. Pour des conseils plus détaillés sur le choix des services de calcul, consultez Choose an Azure compute service.

Répartition des responsabilités

Dans un datacenter local, vous possédez l’ensemble de la pile. Lorsque vous migrez vers le cloud, certaines responsabilités sont transférées à Microsoft. Le schéma suivant illustre les domaines de responsabilité entre vous et Microsoft, en fonction du type de déploiement de votre pile.

Pour tous les types de déploiement cloud, vous êtes propriétaire de vos données et de vos identités. Vous êtes responsable de la protection de la sécurité de vos données et identités, de vos ressources locales, ainsi que des composants cloud que vous contrôlez. Les composants cloud que vous contrôlez varient selon le type de service.

Matrice de responsabilité

Le tableau suivant détaille la répartition des responsabilités entre vous et Microsoft pour chaque zone de votre pile :

Zone de responsabilité	Sur site	IaaS	PaaS	SaaS
Données client	Client	Client	Client	Client
Configurations et paramètres	Client	Client	Client	Client
Identités et utilisateurs	Client	Client	Client	Client
Appareils clients	Client	Client	Client	Partagé
Applications	Client	Client	Partagé	Partagé
Contrôles réseau	Client	Client	Partagé	Microsoft
Système d’exploitation	Client	Client	Microsoft	Microsoft
Hôtes physiques	Client	Microsoft	Microsoft	Microsoft
Réseau physique	Client	Microsoft	Microsoft	Microsoft
Datacenter physique	Client	Microsoft	Microsoft	Microsoft

Responsabilités que vous conservez toujours

Quel que soit le type de déploiement, vous conservez toujours les responsabilités suivantes :

• Données – Vous êtes responsable de vos données, y compris la classification des données, la protection des données, les décisions d’encryption et la conformité aux exigences de gouvernance des données.
• Terminaux – Vous êtes responsable de la protection des appareils clients et des terminaux qui accèdent à vos services cloud, y compris les appareils mobiles, les ordinateurs portables et les ordinateurs de bureau.
• Comptes – Vous êtes responsable de la gestion des comptes utilisateur, y compris la création, la gestion et la suppression des accès utilisateur.
• Gestion des accès – Vous êtes responsable de la mise en œuvre et de la gestion des contrôles d’accès, y compris le contrôle d’accès basé sur les rôles (RBAC), l’authentification multifacteur et les stratégies d’accès conditionnel.

Explication des responsabilités partagées

Certaines responsabilités sont partagées entre vous et Microsoft, avec une répartition qui varie selon le modèle de service :

• Applications – En IaaS, vous êtes entièrement responsable des applications déployées. En PaaS et SaaS, Microsoft gère certaines parties de la pile applicative, mais vous êtes responsable de la configuration des applications, de la sécurité du code et des contrôles d’accès.
• Contrôles réseau – En IaaS, vous configurez toute la sécurité réseau, y compris les pare-feux et la segmentation réseau. En PaaS, Microsoft fournit une sécurité réseau de base, mais vous configurez les contrôles réseau au niveau des applications. En SaaS, Microsoft gère la sécurité réseau.
• Appareils clients – Dans les scénarios SaaS, Microsoft peut fournir certaines capacités de gestion des appareils, mais vous êtes responsable de la protection des terminaux et de la conformité.

Responsabilités de Microsoft

Microsoft est responsable de l’infrastructure cloud sous-jacente, ce qui inclut :

• Sécurité physique – Sécurisation des datacenters, y compris les installations, les contrôles d’accès physiques et les contrôles environnementaux.
• Réseau physique – Gestion de l’infrastructure réseau, y compris les routeurs, commutateurs et câbles dans les datacenters.
• Hôtes physiques – Gestion et maintenance des serveurs physiques qui hébergent les services cloud.
• Hyperviseur – Gestion de la couche de virtualisation qui permet les machines virtuelles dans IaaS et PaaS.
• Services de plateforme – En PaaS et SaaS, Microsoft gère les systèmes d’exploitation, les environnements d’exécution et les intergiciels (middleware).

Responsabilité partagée pour l’IA

Lors de l’utilisation de services d’intelligence artificielle, le modèle de responsabilité partagée introduit des considérations uniques dépassant les modèles IaaS, PaaS et SaaS. Microsoft est responsable de la sécurisation de l’infrastructure IA, de l’hébergement des modèles et des protections au niveau de la plateforme.

Les clients, quant à eux, restent responsables de la manière dont l’IA est appliquée dans leur environnement — cela inclut la protection des données sensibles, la gestion de la sécurité des prompts, l’atténuation des risques d’injection de prompt et la conformité aux exigences organisationnelles et réglementaires.

Comme les responsabilités diffèrent significativement pour les charges de travail IA, vous devez consulter le Modèle de responsabilité partagée de l’IA pour des conseils détaillés concernant les rôles, les bonnes pratiques et la gestion des risques.

Avantages de la sécurité dans le cloud

Le cloud offre des avantages significatifs pour résoudre des défis de sécurité informatique de longue date. Dans un environnement sur site, les organisations ont souvent des responsabilités non remplies et des ressources limitées pour investir dans la sécurité, ce qui crée un environnement où les attaquants peuvent exploiter des vulnérabilités à tous les niveaux.

Exemples courants de responsabilités non remplies dans les environnements traditionnels sur site :

• Correctifs retardés – Les mises à jour de sécurité ne sont pas appliquées rapidement en raison d’un personnel informatique limité ou par crainte de temps d’arrêt, laissant des vulnérabilités connues exposées.
• Sécurité physique inadéquate – Les salles serveurs peuvent manquer de contrôles d’accès appropriés, de surveillance environnementale ou de systèmes de surveillance par manque de budget.
• Surveillance réseau incomplète – Les organisations peuvent ne pas disposer des outils ou de l’expertise nécessaires pour détecter les intrusions, surveiller les anomalies de trafic ou répondre aux menaces en temps réel.
• Matériel obsolète – Une infrastructure vieillissante peut ne plus recevoir de mises à jour de sécurité des fournisseurs, créant des failles permanentes.
• Sauvegardes et reprise après sinistre insuffisantes – Les sauvegardes peuvent être peu fréquentes, non testées ou stockées sur site, exposant les données aux ransomwares ou aux catastrophes physiques.

Le diagramme suivant (non inclus ici) illustre une approche traditionnelle où de nombreuses responsabilités de sécurité sont non remplies en raison de ressources limitées.
Dans l’approche activée par le cloud, vous pouvez transférer les responsabilités de sécurité quotidiennes à votre fournisseur cloud et réallouer vos ressources.

Dans l’approche activée par le cloud, vous êtes également en mesure d’appliquer des capacités de sécurité basées sur le cloud pour plus d’efficacité et d’utiliser l’intelligence du cloud afin d’améliorer votre détection des menaces et votre temps de réponse. En transférant les responsabilités au fournisseur de cloud, les organisations peuvent obtenir une couverture de sécurité plus étendue, ce qui leur permet de réaffecter les ressources et le budget de sécurité à d’autres priorités métier.