Qu’est-ce que la gouvernance du cloud ?

Les cadres de gouvernance décrivent tous les rôles et les contrôles techniques qu’une entreprise utilise pour s’assurer que l’utilisation du cloud reste sécurisée, transparente et alignée sur les objectifs généraux de l’entreprise. Les cadres de gouvernance fonctionnent comme des « règles internes » pour le cloud. Ils définissent qui peut créer ou supprimer des ressources, quelles mesures de sécurité doivent être en place, comment les équipes contrôleront les coûts et comment l’entreprise restera conforme aux lois et réglementations.

Les cadres de gouvernance du cloud s’appuient sur un ensemble de composants de gouvernance et sont rédigés pour y répondre. Ces composants comprennent :

• La gouvernance des coûts permet de maîtriser les dépenses liées au cloud.
  
  
• La gouvernance de la sécurité permet de protéger les systèmes cloud et les données qu’ils contiennent contre toute utilisation abusive.
  
  
• La gouvernance des accès permet de gérer qui peut accéder à quelles ressources et quelles actions il peut entreprendre.
  
  
• La gouvernance de la conformité permet de garantir le respect des réglementations telles que le Règlement général sur la protection des données (RGPD) et la loi Health Insurance Portability and Accountability Act (HIPAA).
  
  
• La gouvernance opérationnelle permet de maintenir la fiabilité et la visibilité du système.
  
  
• La gouvernance des données définit comment les données sont classées, stockées, déplacées et supprimées.

Les plateformes cloud permettent de créer facilement de nouvelles instances d’actifs et de ressources en quelques clics. En l’absence de garde-fous clairs, le risque de dépenses incontrôlées, de lacunes en matière de sécurité et de chaos opérationnel augmente considérablement dans ces environnements.

Les cadres de gouvernance du cloud permettent d’éviter ces problèmes en définissant les politiques (règles écrites), les processus (comment ces règles sont respectées), les contrôles (mécanismes techniques qui appliquent les règles) et les rôles clairement définis (qui est autorisé à faire quoi).

En fin de compte, l’objectif de la gouvernance du cloud est de permettre aux entreprises de profiter des avantages des services cloud tout en mettant en œuvre des mesures de sécurité et de responsabilité pour atténuer les risques.

Les stratégies de gouvernance du cloud aident les entreprises à relever les défis couramment associés à l’adoption du cloud, notamment la complexité, la gestion des surfaces d’attaque, le shadow IT et la gestion des coûts.

En général, l’adoption du cloud est un atout pour les entreprises. Les services cloud offrent aux équipes de développement et d’exploitation la possibilité d’augmenter ou de réduire rapidement les ressources en fonction de la demande (au lieu de surdimensionner le matériel pour gérer les pics de capacité), ce qui accroît la flexibilité des environnements informatiques. Ils aident les développeurs à fournir l’infrastructure en quelques minutes, ce qui accélère le processus de création, de test et de déploiement de nouvelles applications et services.

Les fournisseurs de services cloud conçoivent également fréquemment leurs plateformes avec des fonctionnalités de redondance et de reprise après sinistre qui améliorent la disponibilité des systèmes dans toutes les régions.

Cependant, le cloud computing présente également des défis.  

Les environnements cloud sont intrinsèquement complexes, la plupart des entreprises déployant des services cloud dans des environnements de cloud hybrides et multicloud massifs et géographiquement dispersés.

Les services cloud ajoutent également davantage de points de terminaison exposés à Internet (applications Web, interfaces de programmation d’applications (API), équilibreurs de charge) à un environnement informatique, ce qui élargit considérablement la surface d’attaque. Des surfaces d’attaque plus étendues créent davantage de risques de problèmes de sécurité et de violations de données. Selon le Rapport sur le coût d’une violation de données 2025 d’IBM, 30 % des violations de données impliquent des données réparties dans plusieurs environnements.

Les employés et les départements peuvent souvent déployer leurs propres outils cloud sans approbation, ce qui encourage une croissance incontrôlée des services sans cadre de propriété clair ni pratiques de gestion appropriées. Ce phénomène — appelé « cloud sprawl » — rend presque impossible pour les équipes de voir chaque actif, workload, flux de données et identité entre clouds, centre de données et régions. Il devient difficile de maintenir une visibilité sur ce qui se passe dans les systèmes cloud et de gérer les dépenses liées au cloud.

Près de la moitié (44 %) de toutes les entreprises n’ont qu’une visibilité limitée sur leurs dépenses cloud. Les sources de données non gérées (données fantômes) qui prolifèrent dans les environnements cloud étendus sont des cibles attractives pour les cybercriminels, si bien que l’étalement du cloud peut également créer d’importants risques pour la sécurité des données et vulnérabilités.

Et comme les environnements cloud nécessitent des données pour traverser des plateformes et services décentralisés, il peut être difficile d’appliquer des protocoles de chiffrement appropriés et des contrôles d’accès à chaque composant.

Les initiatives de gouvernance cloud aident les entreprises à créer une source d’information unique pour les politiques et les bonnes pratiques cloud, ce qui permet une prise de décision fondée sur les données. Les équipes peuvent mettre en place des garde-fous et des contrôles de sécurité cohérents dans tous les environnements cloud. Les mêmes règles s’appliquent à toutes les ressources cloud et la posture globale de sécurité de l’environnement informatique se renforce.

La gouvernance permet aux entreprises de standardiser la manière dont les environnements sont créés, qui possède quoi et comment les changements sont effectués afin que différentes équipes puissent utiliser les ressources cloud approuvées en toute sécurité et aisément. Un modèle de gouvernance solide clarifie également les rôles et les responsabilités en matière de prise de décision concernant le cloud. En cas de problème lié à une charge de travail cloud, tout le monde sait quel utilisateur est chargé de le résoudre. Cette normalisation accrue et la clarté des rôles contribuent à l’efficacité opérationnelle dans tous les départements.  

La gouvernance cloud permet de centraliser la surveillance et la création de rapports sur l’utilisation du cloud, offrant ainsi aux utilisateurs une meilleure visibilité sur les environnements cloud. Ces fonctionnalités aident les entreprises à suivre les dépenses liées au cloud, à attribuer les coûts à des personnes ou à des actions spécifiques et à optimiser les budgets dédiés au cloud au fil du temps.

De plus, les cadres de gouvernance cloud peuvent aider les organisations à garantir que les investissements cloud apportent une valeur mesurable, au lieu de simplement ajouter des technologies de pointe à l’architecture.

L’intégration de technologies nouvelles et émergentes dans un environnement informatique présente des avantages considérables, mais ces technologies doivent avoir un objectif clair. Une bonne gouvernance exige que les équipes relient directement les décisions cloud aux résultats commerciaux et articulent la proposition de valeur des nouveaux investissements avant d’étendre les services cloud, ce qui encourage l’optimisation des coûts.

Les entreprises font souvent appel à des solutions de gouvernance du cloud pour mettre en œuvre des cadres de gouvernance cloud. Ces solutions comprennent une gamme d’outils avancés de gestion du cloud qui automatisent les pratiques de gouvernance et l’application des politiques. Les nombreuses fonctionnalités des solutions de gouvernance du cloud contribuent à en réduire la complexité, permettant ainsi aux entreprises de rationaliser l’application de la législation dans l’ensemble de l’écosystème informatique.

Les cadres de gouvernance cloud efficaces reposent sur un ensemble de principes communs.

Les cadres de gouvernance cloud permettent aux entreprises de développer et d’appliquer des politiques strictes pour l’interaction avec les services cloud, ce qui facilite la gestion d’environnements cloud complexes et dynamiques.

La gouvernance du cloud, en tant que discipline, combine plusieurs types de gestion informatique afin de fournir des cadres des exigences complets pour la protection de bout en bout des services cloud. 

La composante gestion des données de la gouvernance cloud établit des règles sur la manière dont les données sont classifiées, stockées, protégées, conservées et supprimées dans le cloud.

D’énormes quantités de données sont stockées dans le cloud. Aujourd’hui, plus de la moitié des données d’entreprise (51 %) sont stockées dans des clouds publics.

Les plateformes cloud facilitent la collecte et l’analyse de données à cette échelle. Dans le même temps, l’existence de workflows et de bases de données de big data dans le cloud rend la gestion des données d’autant plus essentielle à la gouvernance du cloud.

La gestion des données commence généralement par un schéma de classification des données utilisant des catégories telles que « public », « interne », « confidentiel » et « hautement confidentiel ». Chaque classification est associée aux protocoles de chiffrement, aux restrictions d’accès, aux contraintes de géolocalisation et aux politiques de sauvegarde appropriés.

Les politiques de gestion des données traitent également de la gestion du cycle de vie des données. La gestion du cycle de vie des données indique quand les données doivent être archivées, combien de temps elles doivent être conservées pour des raisons juridiques ou commerciales et comment les éliminer en toute sécurité. Elle définit des exigences de souveraineté des données (les lois régissant la manière dont les données peuvent être traitées ou stockées dans différents pays et régions), les transferts transfrontaliers et la confidentialité des données, en particulier lorsque des informations personnelles identifiables sont impliquées.

La gestion des opérations définit les opérations quotidiennes du cloud, telles que :

• Le provisionnement, le processus contrôlé de création, modification et démantelage des ressources cloud telles que les machines virtuelles, bases de données, comptes, clusters Kubernetes et autres systèmes.

• La gestion des changements dicte la manière dont les changements apportés aux environnements de production (comme le code et le déploiement de l’infrastructure) sont proposés, examinés, approuvés, testés et finalement déployés. Les pratiques de gestion du changement aident les équipes à minimiser les risques tout en maintenant — voire en augmentant — la vitesse de déploiement.

• Les pratiques de déploiement précisent la manière dont les nouvelles versions des applications et des services sont publiées dans les environnements cloud.

• Les pratiques de surveillance et d’alerte définissent quels indicateurs et autres données doivent être surveillés et fixent des normes d’alerte afin que les équipes puissent détecter les problèmes rapidement et réagir rapidement.

• La gestion des incidents, est le processus de gestion des interruptions ou dégradations imprévues des services (y compris les violations de données et les cyberattaques). La gestion des incidents détermine ce qui constitue un incident, comment les incidents sont classifiés, détectés et enregistrés, et qui est responsable de la gestion de chaque incident.

• La planification des capacités permet de s’assurer que les services cloud disposent de suffisamment de ressources (calcul, stockage, bande passante du réseau) pour répondre à la demande sans surprovisionnement. Les fonctions de planification de la capacité définissent les seuils et les déclencheurs de la mise à l’échelle des ressources. Elles utilisent également des fonctionnalités de mise à l’échelle automatique si nécessaire et surveillent les tendances d’utilisation pour aider les équipes à prévoir les besoins futurs en matière d’allocation des ressources.

La gestion des opérations définit également les objectifs de niveau de service (SLO) et les accords de niveau de service (SLA) qui établissent les cibles de performance des services cloud.

La gestion de la sécurité et de la conformité, un élément critique de la gestion du cloud, permet de garantir la protection de chaque workload du cloud, l’application des politiques de sécurité et le respect des exigences réglementaires.

En pratique, cela signifie transformer des obligations de haut niveau (« nous devons protéger les données personnelles », par exemple) en contrôles concrets, tels que l’authentification multifactorielle (MFA). Il s’agit également d’appliquer des contrôles de manière cohérente dans tous les environnements cloud.

Les pratiques de gestion de la sécurité et de la conformité reposent fortement sur les systèmes de gestion des identités et des accès (IAM). Les systèmes IAM permettent d’appliquer des politiques d’accès détaillées, telles que les contrôles d’accès basés sur les rôles (RBAC), qui dictent qui peut consulter, modifier ou déployer chaque composant.

La gestion de la sécurité du cloud inclut également la sécurité du réseau (utilisant des pare-feux et des pratiques de segmentation), les outils et pratiques de réponse aux incidents (tels que les logiciels de gestion d’informations de sécurité et d’événements) ainsi que les protocoles de collecte de preuves.

La gestion des coûts liés au cloud veille à ce que les dépenses cloud soient intentionnelles, rentables et liées aux objectifs métier.

Près de 85 % des dirigeants et des professionnels techniques du monde entier citent les dépenses liées au cloud comme leur principal défi. Parce qu’il est si facile de créer de nouvelles instances et services, les dépenses cloud peuvent rapidement devenir incontrôlables. La plupart des entreprises (76 %) dépensent plus de 5 millions de dollars par mois en services cloud.

Les pratiques de gestion des coûts ajoutent une discipline financière aux décisions techniques afin que les équipes pensent toujours aux budgets et au ROI lorsqu’elles choisissent des services cloud.

La gestion financière implique de définir des processus budgétaires, des modèles de rétrofacturation ou de rétrocession et des mécanismes d’affectation des coûts (en utilisant des étiquettes pour affecter les dépenses à des opérations ou unités commerciales spécifiques, par exemple). Les modèles Showback indiquent aux équipes les coûts d’utilisation du cloud sans les facturer directement, tandis que les modèles Chargeback facturent directement les équipes pour l’utilisation des services cloud.

Les principaux objectifs de la gestion des coûts du cloud sont de redimensionner les ressources du cloud et d’éliminer le gaspillage des ressources, qui représente 29 % des dépenses liées au cloud.

La gestion des risques permet aux entreprises d’identifier et d’évaluer les risques spécifiques au cloud, tels que le verrouillage des fournisseurs (qui rend difficile pour les entreprises de changer de fournisseur de cloud sans coûts, efforts ou perturbations significatifs). Il s’agit de comprendre ce qui peut mal tourner, à quel point cela serait grave et quelle est sa probabilité. Avec ces connaissances, les entreprises peuvent mettre en place des contrôles pour éviter, atténuer, partager ou accepter explicitement les risques.

La gestion des risques influence également la conception des contrôles préventifs, détectifs et correctifs.

Supposons qu’une équipe de sécurité cloud trouve un service de stockage d’objets contenant des données client sensibles, mais qui dispose de politiques de compartiments trop permissives (ce qui peut entraîner une fuite de données).

L’équipe peut créer une règle à l’échelle de l’entreprise selon laquelle le paramètre « Accès public bloqué » doit être activé pour toute tentative de création d’un bucket sur un compte de production (contrôles préventifs). Si le modèle de déploiement d’un utilisateur tente de rendre public un bucket, le déploiement échouera et renverra un message d’erreur.

L’équipe peut mettre en œuvre une analyse de configuration continue (contrôles de détection) à l’aide d’un script qui vérifie les compartiments marqués comme « public » ou contenant des objets portant l’étiquette « données sensibles ». Si les analyses trouvent des compartiments qui répondent aux critères, l’équipe de sécurité et l’équipe propriétaire du service reçoivent une notification.

L’équipe de sécurité peut également mettre en œuvre des fonctions de résolution automatique (contrôles correctifs). Lorsqu’un système de surveillance détecte un bucket public contenant des données sensibles, il supprime automatiquement l’accès public du bucket, active le chiffrement par défaut et crée un ticket d’incident dans le système de gestion des services informatiques (ITSM).

Imaginez qu’une entreprise de santé internationale migre son système de dossiers médicaux électroniques (DME) vers un cloud public pour améliorer l’évolutivité et la disponibilité. L’entreprise utilise plusieurs comptes et services cloud, y compris des machines virtuelles (VM), des bases de données, du stockage objet et des fonctions sans serveur. La création d’un cadre de gouvernance du cloud pour cet environnement peut comporter les étapes suivantes :

L’entreprise crée un conseil de gouvernance du cloud comprenant du personnel de la sécurité, de la conformité, de l’informatique, du DevOps et de la finance. Le conseil de gouvernance établit des règles claires, telles que :

• Seules les équipes DevOps peuvent déployer en production.
  
  
• Toutes les données des patients doivent être chiffrées, en transit et au repos.
  
  
• Les données des patients doivent rester aux États-Unis ou au Canada.
  
  
• Chaque ressource doit être identifiée par un propriétaire, un centre de coûts, un environnement et une classification des données.

Ces règles deviennent des politiques écrites. Par exemple, « les données de santé protégées (PHI) doivent être chiffrées et non accessibles au public » et « seul le groupe Clinical Apps peut accéder aux bases de données EHR de production ».

Le conseil d’administration décide de la manière d’organiser les environnements cloud. Il crée des comptes distincts pour le développement, les tests, la préproduction et la production. Les workloads sensibles de DME s’exécutent dans des comptes de production dédiés, tandis que les outils et les journaux sont hébergés dans des comptes de sécurité partagés.

Ensuite, les politiques RBAC sont définies. Les développeurs peuvent participer au développement et aux tests. Le personnel chargé des opérations peut gérer la mise en scène et la production. Les équipes de sécurité peuvent consulter les journaux et les politiques de gouvernance pour tous les domaines. Ces rôles sont attribués aux groupes RH afin que les contrôles d’accès correspondent aux emplois des personnes.

L’entreprise connecte ses services cloud à son système d’authentification unique (SSO). Les utilisateurs se connectent avec leur compte professionnel et obtiennent des rôles dans le cloud (administrateur de production, visionneur en lecture seule, auditeur de sécurité et analyste financier, par exemple) en fonction de leur groupe d’emploi.

Le conseil d’administration décide d’exiger le MFA pour les rôles sensibles. Et pour les rôles les plus risqués, l’accès est accordé pour une courte période, uniquement en cas de besoin (accès « juste à temps »), puis supprimé automatiquement.

Par exemple, si un nouvel ingénieur DevOps rejoint l’équipe, il est affecté au bon groupe et obtient automatiquement les autorisations cloud appropriées pour le développement et les tests (mais pas pour la production).

L’entreprise transforme les politiques en règles sous forme de code, qui bloquent automatiquement les actions à risque. Avec la politique sous forme de code, les politiques de sécurité, de conformité et opérationnelles sont écrites directement dans le code du logiciel et appliquées automatiquement par des outils de gouvernance ou des plateformes cloud.

Par exemple, les règles de type « policy-as-code » peuvent empêcher le déploiement de workloads de PHI en dehors des États-Unis ou du Canada, ou exiger que les sauvegarde soient activées dans les bases de données.

Ces règles s’appliquent de deux manières. Au niveau de la plateforme cloud, les pipelines d’intégration continue/de livraison continue (CI/CD) vérifient les modèles d’infrastructure cloud avant le déploiement. Ils sont également appliqués en tant que politiques à l’échelle de l’entreprise qui refusent les modifications non conformes, même si quelqu’un tente de créer des ressources manuellement par l’intermédiaire de la console.

Comme l’entreprise gère des données de santé, elle est particulièrement stricte en matière de gouvernance des données. Chaque magasin de données est classé, tous les stockages et bases de données sont chiffrés par défaut (en utilisant des clés de chiffrement gérées centralement) et les développeurs n’ont pas l’autorisation de désactiver le chiffrement.

Les workloads de PHI s’exécutent sur des réseaux privés sans accès Internet direct, et seuls les passerelles ou équilibreurs de charge approuvés exposent les services. L’entreprise collecte également des journaux détaillés sur un compte central et effectue des contrôles automatiques pour montrer aux auditeurs que l’organisation répond à la HIPAA et à d’autres normes de conformité.

Chaque ressource cloud est associée à un centre de coûts et à un propriétaire, de sorte que les coûts peuvent être attribués à une équipe ou à un produit en particulier.

Les outils FinOps — qui appliquent des pratiques de responsabilité financière dans les environnements hybrides cloud et multicloud — utilisent des tableaux de bord pour afficher les dépenses cloud par application, environnement et région, affichant les budgets par unité d’entreprise et les alertes. Si un nouveau workload analytique devient soudainement plus coûteux, les tableaux de bord signalent que le workload dépasse le budget.

L’équipe de recherche reçoit une alerte automatique concernant la charge de travail coûteuse, ce qui les oblige à examiner l’utilisation du cloud. Au cours du processus, ils découvrent que le workload utilise des données anonymisées pour les tests DME, et non des données de production réelles en direct. Les tests sont importants. Au lieu de suspendre la totalité du workload, l’équipe décide de fixer des limites strictes à la quantité de données que les workloads non liés à la production peuvent utiliser en une journée.

L’entreprise donne continuellement son avis sur son cadre des exigences du cloud et les politiques associées au fur et à mesure que de nouveaux services cloud, de nouvelles menaces ou de nouvelles réglementations apparaissent.

Si les conditions changent, le conseil de gouvernance ajuste le cadre en conséquence. Il propose également des formations et de la documentation pour aider les développeurs à respecter les règles de gouvernance, notamment en ce qui concerne le marquage des ressources, la demande d’environnements et la gestion des informations personnelles. 

L’intelligence artificielle (IA) transforme la gouvernance du cloud en automatisant les fonctions critiques et en permettant l’analyse en temps réel des ressources, charges de travail et activités cloud. L’IA se reflète dans la manière dont les politiques sont définies, appliquées, surveillées et optimisées dans les environnements cloud, mais elle oblige également les entreprises à mettre en œuvre de nouvelles exigences de gouvernance en plus des contrôles cloud traditionnels.

Les outils d’IA peuvent découvrir et classer les ressources cloud en continu, identifier les données sensibles, fournir des informations sur des contrôles faibles ou restrictifs et maintenir des lignées de services (enregistrements de l’évolution d’un service cloud au fil du temps).

La gouvernance du cloud pilotée par l’IA améliore également l’évolutivité du cloud, permettant aux entreprises de passer de milliers de ressources cloud à des centaines de milliers de ressources avec peu ou pas d’augmentation du personnel de gouvernance.

Pour s’adapter à l’évolution, l’IA réorganise simplement les Workload de gouvernance. Les algorithmes d’IA et de machine learning (ML) gèrent la détection des ressources, le tri des problèmes et les tâches de résolution de base (étiquetage des ressources ou application des plafonnements budgétaires, par exemple). Les humains se concentrent sur la conception de garde-fous, la gestion des exceptions et des cas edge, et la prise en compte des compromis liés aux risques.

De nombreux fournisseurs de cloud et plateformes spécialisées proposent également des contrôles de gouvernance spécifiques à l’IA générative dans le cadre de leurs piles cloud, ce qui aide les équipes à adopter une gouvernance cloud intelligente.

Dans les environnements de gouvernance intelligente, les politiques sont codées et appliquées sur la plateforme cloud, et une couche d’IA générative s’y joint. Les outils de gouvernance pilotés par l’IA peuvent exécuter des analyses avancées afin de fournir des fonctionnalités automatisées de notation des risques, de détection des anomalies et de synthèse des données. Certains fournisseurs cloud proposent également des points de terminaison privés et un routage de données sécurité Zero Trust pour garantir que les points de terminaison d’IA générative ne soient jamais exposés à l’internet public.

Si les technologies de l’IA peuvent constituer de puissants outils de gouvernance, elles doivent également être gouvernées.  

L’IA est exposée à des problèmes tels que la dérive des modèles (lorsqu’un modèle d’IA ou de ML se détériore avec le temps car les schémas appris ne correspondent plus à la réalité) et les cyberattaques.

Comme pour les ressources du cloud, les équipes peuvent rapidement lancer des services d’IA, en créant par inadvertance des outils d’IA fictifs qui ne sont pas régis par des contrôles et des politiques de sécurité formels. Dans le Rapport sur le coût d’une violation de données 2025, les incidents de sécurité liés à l’IA parallèle représentaient 20 % de toutes les violations de données.

En outre, de nombreux outils d’IA sont conçus et exécutés sur le cloud, de sorte que les exigences de gouvernance de l’IA sont effectivement devenues des exigences de gouvernance du cloud. Ainsi, au lieu d’une approche « ajouter l’IA au-dessus des politiques existantes », les entreprises s’orientent vers une gouvernance du cloud holistique tenant compte de l’IA, avec des tests rigoureux et des voies d’escalade bien définies.

Une gouvernance efficace de l’IA dans les environnements cloud définit généralement :

• Les exigences d’enregistrement obligatoires pour tous les workloads d’IA.
  
  
• Les exigences en matière d’explicabilité, de tests de partialité et de robustesse.
  
  
• Les exigences d’utilisation acceptables pour l’IA générative et les modèles tiers.
  
  
• Les règles relatives aux instances humaines, qui dictent quand l’IA peut ou ne peut pas agir de manière autonome (l’IA peut, par exemple, bloquer automatiquement une connexion mais doit demander l’approbation d’un humain pour un bloc de transactions de grande valeur).
  
  
• Des pratiques claires de responsabilité pour les actions autonomes de l’IA (lorsque l’IA bloque un utilisateur, la gouvernance doit définir qui est responsable).

Ces pratiques (entre autres) aident les entreprises à intégrer des contrôles d’IA suffisants tout en maximisant les avantages de l’utilisation de l’IA dans le cloud.