• de la conception initiale de l’application,
• à la modélisation des menaces,
• jusqu’à la maintenance et la défense des applications en production.

Ce domaine évolue rapidement, car les méthodes de développement logiciel changent elles aussi :

• architectures cloud‑native
• microservices
• DevOps et DevSecOps
• automatisation et Infrastructure as Code (IaC)

👉 Le cloud computing est l’un des principaux moteurs de cette évolution, mais il impose aussi une exigence forte :
innover rapidement sans compromettre la sécurité.

Sécurité applicative dans le cloud : une responsabilité continue

Dans le cloud, la sécurité applicative ne s’arrête pas au code.

Elle doit être prise en compte :

• dès la phase de design
• tout au long du développement
• lors du déploiement
• pendant l’exploitation et la maintenance

👉 Une application cloud mal sécurisée peut devenir un point d’entrée majeur pour des attaques, même si l’infrastructure sous‑jacente est bien protégée.

Défis et spécificités de la sécurité applicative dans le cloud

1️⃣ Architectures distribuées et microservices

Les applications cloud modernes sont souvent composées :

• de microservices
• de services managés
• d’API externes

👉 Cela augmente :

• la surface d’attaque
• le nombre de points d’entrée
• la complexité des frontières de sécurité

Exemple Azure

• Application basée sur :
  • Azure App Service
  • Azure Functions
  • Azure SQL
  • API externes
    Chaque composant doit être sécurisé individuellement et collectivement.

2️⃣ Forte exposition via les API

Dans le cloud, les API sont omniprésentes :

• communication entre microservices
• accès aux services cloud
• intégration avec des partenaires

👉 Les API deviennent une cible privilégiée pour les attaquants.

Exemple Azure

• API exposée via Azure API Management
• Mauvaise authentification ou autorisation
• Accès non autorisé aux données

3️⃣ DevOps : opportunité et risque

Les approches DevOps permettent :

• des cycles de développement rapides
• des déploiements fréquents
• une forte automatisation

✅ Opportunité : intégrer la sécurité très tôt
⚠️ Risque : déployer rapidement des failles si la sécurité est absente

👉 C’est pourquoi on parle aujourd’hui de DevSecOps.

4️⃣ Dépendance aux services du fournisseur cloud

De nombreuses applications cloud s’appuient sur :

• des services PaaS
• des plateformes serverless

Ces composants sont partiellement sous le contrôle du fournisseur cloud.

👉 Il est donc essentiel de bien comprendre le modèle de responsabilité partagée.

Exemple Azure

• Azure Functions : Microsoft gère l’infrastructure
• Le client est responsable :
  • du code
  • des dépendances
  • des identités et accès

5️⃣ Risques liés à la chaîne d’approvisionnement logicielle

Les applications modernes utilisent massivement :

• des bibliothèques tierces
• des composants open source

👉 Cela introduit des risques de supply chain :

• vulnérabilités connues
• bibliothèques compromises
• dépendances non maintenues

Exemple

• Une application .NET utilise un package NuGet vulnérable
• L’application est exposée sans modification directe du code

6️⃣ Fonctions de sécurité fournies par le cloud

Le cloud fournit de nombreux services de sécurité :

• gestion des identités
• journalisation
• surveillance

👉 Ces services sont puissants, mais :

• ils peuvent ne pas correspondre exactement aux besoins de l’application
• ils doivent être correctement configurés

Exemple Azure

• Azure Entra ID (ex‑Azure AD)
• Azure Monitor
• Azure Application Insights

7️⃣ Infrastructure programmable et automatisée

Les applications cloud sont souvent déployées sur :

• Infrastructure as Code (ARM, Bicep, Terraform)
• orchestrateurs comme Kubernetes

👉 Une erreur dans le code d’infrastructure peut :

• exposer une application
• ouvrir des accès non désirés
• créer des failles à grande échelle

8️⃣ Applications à grande échelle et architectures stateless

Les applications cloud sont conçues pour :

• la scalabilité
• la résilience
• la haute disponibilité

Les architectures stateless sont très répandues.

✅ Avantages :

• meilleure tolérance aux pannes
• montée en charge rapide

⚠️ Défis sécurité :

• gestion des sessions
• protection des données
• cohérence des contrôles d’accès

Objectifs pédagogiques du Domaine 10

À l’issue de ce domaine, l’apprenant sera capable de :

🎯 1. Mettre en œuvre un processus de développement sécurisé

• Intégrer la sécurité dès la conception
• Identifier les risques applicatifs
• Réduire les vulnérabilités dès le développement

🎯 2. Comprendre le rôle clé de l’architecture

• Identifier les architectures à risque
• Concevoir des applications cloud sécurisées
• Limiter la surface d’attaque

🎯 3. Automatiser la sécurité avec DevSecOps

• Intégrer la sécurité dans le SSDLC
• Automatiser :
  • tests de sécurité
  • scans de dépendances
  • contrôles de conformité
• Réduire les erreurs humaines

✅ Résumé

La sécurité des applications cloud est un domaine complexe, en constante évolution, fortement influencé par :

• le cloud computing
• les microservices
• DevOps et l’automatisation

👉 Dans le cloud, la sécurité applicative :

• commence dès la conception
• repose sur l’architecture
• doit être intégrée tout au long du cycle de vie via DevSecOps

Comprendre ces enjeux est essentiel pour concevoir, déployer et maintenir des applications cloud sécurisées, en particulier dans des environnements comme Microsoft Azure.