A
ABAC (Attribute-Based Access Control)
Modèle de contrôle d'accès où les permissions sont accordées en fonction d'attributs liés à l'utilisateur, à la ressource, à l'action ou au contexte (heure, emplacement, type de device). Offre une granularité plus fine que le RBAC dans les environnements multi-cloud complexes.
Dans un environnement IAM multi-cloud, ABAC permet d'autoriser l'accès à un document confidentiel uniquement si l'utilisateur est dans un département spécifique ET se connecte depuis un appareil géré.
Auto-remediation
Mécanisme d'automatisation de la sécurité cloud qui détecte et corrige automatiquement les configurations non conformes sans intervention humaine, maintenant l'infrastructure dans un état sécurisé en continu.
Une règle d'auto-remediation peut automatiquement fermer un bucket de stockage rendu public par erreur, dès sa détection par un outil CSPM.
C
CAIQ (Consensus Assessments Initiative Questionnaire)
Questionnaire standardisé de la CSA permettant aux fournisseurs cloud de documenter leurs contrôles de sécurité selon la CCM. Il est rempli par le fournisseur lui-même et ne constitue pas une attestation indépendante.
Lors d'une évaluation de risque fournisseur, s'appuyer uniquement sur le CAIQ sans vérification indépendante est un piège courant car les réponses ne sont pas auditées.
CCM (Cloud Controls Matrix)
Référentiel de contrôles de sécurité cloud développé par la CSA, organisé en familles de contrôles (IAM, EKM, SEF, STA, etc.), destiné à guider la mise en œuvre et l'évaluation de la sécurité dans les environnements cloud.
Le contrôle EKM-03 de la CCM soutient directement la gestion sécurisée des clés dans les services PaaS et la protection des secrets Kubernetes.
CMK (Customer-Managed Key)
Clé cryptographique dont la création, la rotation, l'accès et le cycle de vie sont entièrement contrôlés par le client dans un service KMS cloud, par opposition aux clés gérées par le fournisseur (provider-managed keys).
En IaaS, un client peut utiliser des CMK pour chiffrer ses volumes de stockage, conservant ainsi le contrôle total des clés indépendamment du fournisseur cloud.
CSPM (Cloud Security Posture Management)
Solution de sécurité qui évalue en continu les configurations cloud pour détecter les non-conformités, erreurs de configuration et violations de politiques, en offrant une visibilité centralisée dans les environnements multi-cloud.
Un outil CSPM déployé sur AWS, Azure et GCP simultanément permet de détecter les dérives de configuration et d'appliquer des règles de sécurité cohérentes sur l'ensemble des clouds.
D
Data Steward
Rôle de gouvernance cloud responsable de la qualité, de la cohérence, des métadonnées et de la conformité réglementaire des données (RGPD, ISO 27001). Il maintient les politiques de données et assure leur alignement avec les exigences légales et métier.
Le data steward définit les politiques de classification des données sensibles pour garantir qu'elles ne soient pas exposées via des ACL mal configurées dans le stockage objet.
E
EKM (Encryption & Key Management)
Famille de contrôles de la CCM (CSA) couvrant la gestion sécurisée des clés cryptographiques, incluant leur création, stockage, rotation et révocation dans les environnements cloud.
Le contrôle EKM-03 de la CCM garantit que les données stockées dans les services PaaS sont chiffrées et protégées par des clés gérées de manière sécurisée.
F
Firewall as Code
Approche de gestion des règles de sécurité réseau où celles-ci sont définies de manière déclarative, versionnées dans un dépôt et déployées automatiquement, comme tout autre code d'infrastructure.
Grâce au firewall as code, les règles de sécurité réseau d'un VPC sont versionnées dans Git, permettant le peer review et le rollback automatique en cas de configuration incorrecte.
G
Golden Image (Hardened)
Image de machine virtuelle durcie et préconfigurée selon des standards de sécurité, servant de modèle standard pour le déploiement de nouvelles VM afin de garantir une configuration sécurisée et conforme dès le démarrage.
Toutes les VM d'un environnement cloud sont déployées à partir d'une golden image durcie pour s'assurer qu'elles démarrent avec les mêmes contrôles de sécurité et patchs à jour.
I
IaC (Infrastructure as Code)
Pratique consistant à définir et provisionner l'infrastructure cloud via des fichiers de configuration versionnés et automatisés, permettant la reproductibilité, l'auditabilité et la reconstruction fiable des environnements.
Après un incident de sécurité, reconstruire l'infrastructure depuis l'IaC stocké dans un dépôt versionné garantit un environnement propre, sans la compromission potentiellement contenue dans un snapshot.
Immutabilité (Architecture Cloud-Native)
Principe d'architecture cloud-native selon lequel les composants (conteneurs, VM) ne sont jamais modifiés en place, mais remplacés intégralement lors des mises à jour, garantissant des déploiements prévisibles et cohérents.
Dans un pipeline CI/CD, l'immutabilité des conteneurs garantit que chaque déploiement en production repart d'une image connue et signée, sans dérive de configuration possible.
M
mTLS (Mutual TLS)
Extension du protocole TLS où les deux parties (client et serveur) s'authentifient mutuellement par certificat, utilisée dans les architectures microservices et les service meshes pour sécuriser les communications est-ouest.
Dans un service mesh Kubernetes, mTLS garantit que chaque microservice vérifie l'identité des autres avant d'accepter des requêtes, empêchant les mouvements latéraux en cas de compromission.
P
PAM (Privileged Access Management)
Ensemble de contrôles et d'outils visant à sécuriser, surveiller et auditer l'usage des comptes à privilèges élevés dans les environnements cloud, limitant leur exposition et leur durée d'utilisation.
Dans un environnement multi-cloud, le PAM permet de s'assurer que les accès administrateurs root sont journalisés, limités dans le temps et protégés par MFA.
Policy as Code
Approche consistant à exprimer les politiques de sécurité et de conformité sous forme de code exécutable et versionné, permettant leur application automatique et continue sur les ressources cloud.
Un contrôle policy as code au niveau organisationnel peut automatiquement refuser tout déploiement IAM accordant des droits administrateurs sans approbation formelle préalable.
Privilege Creep
Accumulation progressive et non contrôlée de droits d'accès accordés à des utilisateurs ou comptes de service au fil du temps, sans révocation des permissions devenues inutiles, violant le principe du moindre privilège.
Des processus de re-certification automatisés dans un pipeline CI/CD permettent de détecter et révoquer régulièrement les permissions accumulées par les rôles de build automatisés.
R
RBAC (Role-Based Access Control)
Modèle de contrôle d'accès où les permissions sont assignées à des rôles prédéfinis, puis attribuées aux utilisateurs selon leur fonction. Moins granulaire qu'ABAC, il est adapté aux environnements aux structures d'accès stables.
Contrairement à l'ABAC, le RBAC attribue à un développeur un rôle fixe donnant accès à tous les environnements de développement, sans tenir compte du contexte de connexion.
S
SAML (Security Assertion Markup Language)
Standard XML permettant l'échange sécurisé d'informations d'authentification et d'autorisation entre un Identity Provider (IdP) et un Service Provider (SP), utilisé pour implémenter le Single Sign-On (SSO) dans les environnements cloud fédérés.
SAML permet à un employé de s'authentifier une seule fois sur l'IdP de l'entreprise pour accéder à plusieurs services cloud SaaS sans ressaisir ses identifiants.
SEF (Security Incident Management, E-Discovery & Cloud Forensics)
Famille de contrôles de la CCM couvrant la surveillance, la gestion des événements de sécurité, le triage des alertes et la réponse aux incidents dans les environnements cloud, soutenant également les principes Zero Trust.
Le contrôle SEF-02 de la CCM soutient directement l'établissement de processus efficaces de triage des alertes pour détecter et répondre rapidement aux incidents de sécurité cloud.
Separation of Duties (SoD)
Principe de gouvernance et de contrôle interne exigeant que les responsabilités d'un processus critique soient réparties entre plusieurs personnes, empêchant qu'un seul individu ait un contrôle complet sur ce processus.
Dans la gestion des clés cryptographiques, la SoD impose que la génération, la distribution et la révocation des clés soient effectuées par des personnes distinctes.
Shared Responsibility Model
Cadre définissant la répartition des responsabilités de sécurité entre le fournisseur cloud (CSP) et le client selon le modèle de service (IaaS, PaaS, SaaS), déterminant qui doit implémenter et maintenir chaque contrôle.
Dans le modèle de responsabilité partagée en IaaS, le client est seul responsable de la configuration des ACL de ses buckets de stockage, le fournisseur ne gérant que l'infrastructure sous-jacente.
STA (Supply Chain Management, Transparency & Accountability)
Domaine de la CCM traitant de la transparence, des responsabilités partagées et de la gestion de la chaîne d'approvisionnement cloud, incluant l'utilisation des attestations fournisseur pour l'héritage de conformité.
Le domaine STA de la CCM guide les organisations pour exploiter les rapports SOC 2 et ISO 27001 de leur CSP afin d'hériter de certains contrôles de conformité tout en documentant les risques résiduels.
V
ValidatingAdmissionWebhook
Mécanisme Kubernetes permettant d'intercepter et de valider les requêtes de déploiement avant leur exécution dans le cluster, utilisé notamment pour vérifier la signature et la provenance des images conteneurs.
Un administrateur Kubernetes configure un ValidatingAdmissionWebhook pour refuser automatiquement le déploiement de toute image conteneur non signée ou provenant d'un registre non approuvé.
VPC/VNet Segmentation
Pratique de conception réseau cloud consistant à diviser un réseau virtuel (VPC ou VNet) en sous-réseaux isolés pour séparer les workloads selon leur sensibilité et leur niveau d'exposition, limitant les mouvements latéraux.
Dans un VPC, la segmentation en sous-réseaux distincts pour les bases de données, les applications et les services exposés publiquement réduit l'impact d'une compromission d'un composant unique.
Z
Zero Trust
Modèle de sécurité fondé sur le principe de n'accorder aucune confiance implicite à un utilisateur, appareil ou service, même à l'intérieur du périmètre réseau, en exigeant une validation continue de chaque accès.
Un modèle de services partagés sécurisé appliquant Zero Trust impose une vérification explicite de l'identité et du contexte pour chaque communication entre workloads, bloquant les mouvements latéraux en cas de compromission.