La Cloud Security est le sous-domaine de cybersécurité qui couvre la protection de l'infrastructure et des services cloud public (AWS, Azure, GCP, OVHcloud, Scaleway), IAM, network, encryption, posture management, conformité, runtime protection. C'est la discipline cybersécurité à plus forte croissance depuis 2020 : selon Gartner, le marché cloud security mondial atteint 69 € milliards en 2026 (+15-20%/an), avec 90%+ des incidents cloud = misconfig client (Wiz Cloud Security Index 2024). Le marché FR 2026 paie Cloud Security Engineer 50-130 k€ selon séniorité, avec ~600 postes ouverts à un instant T (LinkedIn fin 2025), pénurie 2x plus aiguë que DevSecOps généraliste sur profils combinant AWS + Azure + Terraform + K8s. Cet article documente les 7 priorités à comprendre : Shared Responsibility Model, IAM zero-trust, CSPM/CIEM/CWPP/CNAPP, Landing Zones, top 5 misconfigs exploitées, stack outillage 2026 (Wiz vs Prowler+Falco+Trivy OSS), et salaires détaillés FR.
Pour le contexte général : voir DevSecOps c'est quoi vraiment. Pour le pipeline : voir pipeline CI/CD sécurisé exemple.
Le bon mental model : Cloud Security = configuration > exploitation
Beaucoup de candidats abordent la cloud security comme du pentest cloud, chercher des failles d'hyperviseur ou des 0-day AWS/Azure. C'est l'angle le plus inutile pour 95% des cas. Les fournisseurs cloud (AWS, Microsoft, Google) ont des équipes de 2 000-5 000 ingénieurs sécu dédiés ; trouver une faille de leur stack est statistiquement quasi-impossible et hors scope client. Le vrai job Cloud Security 2026 = traquer et corriger les misconfigs côté client, qui causent 90%+ des breaches.
Mythe Cloud Security vs Réalité Cloud Security 2026
───────────────────────────────────── ────────────────────────────────────
Pentester l'hyperviseur AWS → Hors scope, AWS s'en charge (équipe 5 000 ingés)
Faille = 0-day AWS/Azure → 95% des breaches = misconfig client
1 outil cloud security suffit → Stack 4-5 outils empilés (CSPM + CIEM + CWPP + IaC scan)
Cloud sécu auto-magique → Shared Responsibility, 70% à toi le client
Encryption at rest = sécurisé → Tu gères les clés (KMS), AWS gère storage
IAM = mots de passe → IAM = qui peut faire quoi avec quelles ressources
Bucket privé par défaut → AWS S3 : oui depuis 2023, mais legacy à audit
Position 1 : la valeur d'un Cloud Security Engineer en 2026 vient de sa maîtrise de l'IAM en profondeur (politiques fines, deny statements, ABAC, condition keys) et de sa capacité à automatiser la détection des misconfigs (CSPM + IaC scan + Landing Zone). Pas de sa capacité à pentester l'infra cloud du fournisseur, qui est inutile commercialement.
Position 2 : la mode 2024-2025 du « multi-cloud par défaut » (par peur du vendor lock-in) complexifie la sécurité de 3-5x sans gain business pour 80% des entreprises FR. Stratégie pragmatique 2026 : mono-cloud principal (AWS dominant FR à 50%, Azure 30%, GCP 10%) + plan B documenté + 1 service critique secondaire en backup. Multi-cloud actif = grandes banques + scale-ups SaaS premium uniquement.
Priorité 1, Shared Responsibility Model AWS/Azure/GCP en pratique
Le Shared Responsibility Model est la grille de lecture fondamentale. Mal compris = breach garanti.
| Couche | AWS responsable | Client responsable |
|---|---|---|
| Datacenter physique, alimentation | ✓ | - |
| Hardware réseau, hyperviseur | ✓ | - |
| Couche bas réseau (DDoS volumétrique L3/L4) | ✓ Shield Standard | - |
| OS sur EC2 / VM Azure | - | ✓ patches, hardening |
| OS sur Lambda / Functions / managed services | ✓ | - |
| IAM (qui peut faire quoi) | - | ✓ entièrement |
| Network policies (Security Groups, NSG, NACL) | - | ✓ entièrement |
| Encryption at rest (data) | ✓ infrastructure | ✓ activation + clés (KMS, Key Vault) |
| Encryption in transit (TLS) | ✓ option | ✓ activation + cipher |
| Application code | - | ✓ entièrement |
| Data (S3 public/privé, RDS auth, secrets) | - | ✓ entièrement |
| Compliance (PCI, ISO, RGPD) | ✓ certifications fournisseur | ✓ usage conforme côté client |
# Exemple matrice responsabilité par service AWS (à savoir lire et faire en 2026)
shared_responsibility = {
"EC2 (IaaS)": {
"AWS": ["Hyperviseur", "Hardware", "Datacenter", "Network bas niveau"],
"Client": ["OS patches", "Network firewall (SG)", "App", "Data", "IAM", "Logs CloudTrail"],
},
"S3 (managed storage)": {
"AWS": ["Storage durabilité", "Replication", "Hardware"],
"Client": ["Bucket policy", "Public access block", "Encryption KMS", "Versioning", "Lifecycle"],
},
"RDS (managed database)": {
"AWS": ["DB engine patches", "Backup automation", "Hardware"],
"Client": ["DB password", "Network access (SG)", "Encryption activation", "Audit logs"],
},
"Lambda (serverless)": {
"AWS": ["OS, runtime patches", "Scaling", "Hardware"],
"Client": ["Code Lambda", "IAM execution role", "Env vars secrets", "Logs"],
},
"Cognito (managed auth)": {
"AWS": ["Auth service uptime", "Token signing infra"],
"Client": ["Pool configuration", "MFA policy", "Password policy", "Triggers code"],
},
}Position 3 : tout architecte cloud 2026 doit pouvoir réciter par cœur la responsabilité par service utilisé. La majorité des breaches cloud = client qui pense que « AWS s'occupe de tout » ou inverse, et oublie un volet.
Priorité 2, IAM cloud : la couche la plus exploitée en 2024-2025
# Exemple politique IAM AWS least-privilege 2026 (à savoir écrire)
# ANTI-PATTERN, wildcard
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "*", # CWE-732, privilèges excessifs
"Resource": "*"
}]
}
# PATTERN CORRECT, least privilege + conditions ABAC
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowS3ReadOwnTeam",
"Effect": "Allow",
"Action": ["s3:GetObject", "s3:ListBucket"],
"Resource": [
"arn:aws:s3:::data-bucket-team-${aws:PrincipalTag/team}",
"arn:aws:s3:::data-bucket-team-${aws:PrincipalTag/team}/*"
],
"Condition": {
"Bool": {"aws:MultiFactorAuthPresent": "true"},
"DateGreaterThan": {"aws:CurrentTime": "2026-01-01T00:00:00Z"},
"IpAddress": {"aws:SourceIp": ["10.0.0.0/8"]}
}
},
{
"Sid": "DenyDeleteUnlessAdmin",
"Effect": "Deny",
"Action": ["s3:DeleteBucket", "s3:DeleteObject"],
"Resource": "*",
"Condition": {
"StringNotEquals": {"aws:PrincipalTag/role": "admin"}
}
}
]
}| Sujet IAM | Pratique 2026 | Anti-pattern |
|---|---|---|
| Permissions accordées | Least-privilege + ABAC (Attribute-Based Access Control) | RBAC seul + wildcards |
| MFA | Obligatoire console + API critiques (FIDO2 / WebAuthn) | SMS MFA (NIST déprécié 2017) |
| Rôles vs users | Rôles temporaires + STS AssumeRole + OIDC pour CI/CD | Long-lived access keys |
| Auditing | CloudTrail + Athena + alerting + IAM Access Analyzer | Logs non activés |
| Secrets services AWS | Secrets Manager / Parameter Store + rotation auto 30-90j | Hardcoded env vars |
| Service accounts K8s | IRSA (IAM Roles for Service Accounts) sur EKS | Pod-level credentials hardcoded |
| Cross-account access | OIDC Trust Policy + external ID | Wildcard cross-account |
| Privilege creep detection | AWS IAM Access Analyzer + Wiz CIEM hebdo | Audit annuel manuel |
Référence : 99% des cloud users ont au moins un rôle IAM avec privilèges excessifs (Datadog State of Cloud Security 2024). CWE-732 (Incorrect Permission Assignment) reste #22 du CWE Top 25 MITRE 2024.
Priorité 3, CSPM, CIEM, CWPP, CNAPP, choisir sa stack
| Catégorie | Acronyme | Ce qu'elle détecte | Outils OSS | Outils commerciaux dominants 2026 |
|---|---|---|---|---|
| CSPM Cloud Security Posture Management | Misconfigs cloud (S3 public, SG ouvert, IAM faible) | Prowler, Steampipe, CloudSploit (gratuits) | Wiz, Prisma Cloud (Palo Alto), Lacework | |
| CIEM Cloud Infrastructure Entitlement Management | Privilèges IAM excessifs, privilege creep | AWS IAM Access Analyzer (gratuit AWS) | Wiz CIEM, Sonrai Security, Permiso | |
| CWPP Cloud Workload Protection Platform | Protection runtime VMs/containers (anomalies eBPF) | Falco (CNCF), Tetragon | Aqua Security, Sysdig, Wiz Runtime | |
| CNAPP Cloud-Native Application Protection Platform | Convergence CSPM + CIEM + CWPP + CIEM + DSPM | (pas d'OSS unifié) | Wiz (leader 2024-2025), Prisma Cloud, Orca Security, CrowdStrike Falcon Cloud | |
| DSPM Data Security Posture Management (émergent) | Découverte + classification + protection data cloud | Open Source Privacy Engineering | Wiz DSPM, Cyera, Dig Security (acquis Palo Alto 2023) |
# Stack Cloud Security OSS minimum 2026 (équipe < 50 personnes, ~0 € budget)
# === CSPM ===
pip install prowler
prowler aws --severity high critical # AWS audit complet 200+ checks
# Alternative : Steampipe + CloudSploit
# === Multi-cloud query engine ===
brew install steampipe
steampipe plugin install aws azure gcp
steampipe query "select arn, public_access from aws_s3_bucket where public_access"
# === Container scan ===
brew install trivy
trivy image --severity HIGH,CRITICAL my-image:latest
# === IaC scan ===
brew install checkov tfsec
checkov -d ./terraform --quiet
# === Runtime CWPP (K8s) ===
helm install falco falcosecurity/falco --namespace falco --create-namespace
# === IAM analysis (AWS natif) ===
aws iam generate-service-last-accessed-details --arn arn:aws:iam::123456789012:role/my-role
aws accessanalyzer list-findings --analyzer-arn <arn>
# === Stack équivalente commercial Wiz ===
# Wiz 27 €-100/workload/mois selon tier, agentless via API cloud
# Justifié si >100 workloads et compliance régulateur exigeantePosition 4 : la stack OSS (Prowler + Steampipe + Trivy + Falco + Checkov) est suffisante pour 80% des équipes FR <100 workloads cloud. Wiz devient justifié à 200+ workloads, multi-cloud actif, compliance régulateur (DORA, NIS2, PCI DSS 4.0) avec audit fréquent. Coût Wiz : ~27 €-100/workload/mois → 100 workloads = 2.7 €-10k/mois (~32 €-120k/an).
Priorité 4, Top 5 misconfigs cloud les plus exploitées 2024-2025
| Misconfig | Service | Exemple incident | Détection | Fix |
|---|---|---|---|---|
| S3/Storage public avec données sensibles | AWS S3, Azure Blob Storage | Capital One 2019, Twitch 2021, MGM Resorts 2023 | Prowler, Wiz, AWS Macie | Block Public Access + bucket policy + encryption |
| IAM privilèges excessifs | IAM, RBAC Azure, GCP IAM | 90%+ des accounts (Datadog 2024) | IAM Access Analyzer, Wiz CIEM | Least-privilege + ABAC + reviews trimestriels |
| Public-facing API/services sans auth | EKS API server, RDS public, Elasticsearch | Mongodb leaks récurrents 2023-2024 | Prowler, Steampipe, Shodan reverse | Network policies, security groups, private subnets |
| IMDSv1 (SSRF metadata service) | EC2 IMDSv1 legacy | Capital One 2019 (SSRF + métadata = creds) | AWS Trusted Advisor | Enforce IMDSv2 obligatoire (option AWS depuis 2023) |
| Logs non activés (CloudTrail off, no GuardDuty) | CloudTrail, GuardDuty, Azure Monitor | Détection breach +200 jours en moyenne (IBM 2024) | Prowler, AWS Config | CloudTrail multi-region + GuardDuty + Azure Sentinel |
# Détection top misconfigs avec Prowler 2026 (à lancer mensuellement minimum)
prowler aws --checks-folder /path/to/custom/checks \
--severity high critical \
--compliance cis_3.0_aws \
--output-modes csv,html,json
# Exemples checks critiques :
# - check11 : Avoid using root user
# - check22 : Ensure MFA is enabled for root
# - check313 : Ensure CloudTrail is enabled in all regions
# - check21 : S3 buckets should not be publicly accessible
# - check24 : EC2 instances should require IMDSv2Priorité 5, Landing Zones AWS / Azure / GCP
Une Landing Zone = environnement cloud multi-comptes/multi-subscriptions pré-configuré sécurisé, avec gouvernance, baseline, network, IAM, logging, monitoring déployés en IaC. C'est la fondation 2026 d'un usage cloud sérieux.
| Cloud | Landing Zone offerte | Code IaC |
|---|---|---|
| AWS | AWS Control Tower + AWS Organizations | terraform-aws-landing-zone, AWS Config |
| Azure | Azure Landing Zones (ALZ, anciennement CAF) | Bicep / Terraform azurerm |
| GCP | Cloud Foundation Toolkit (CFT) | Terraform terraform-google |
| OVHcloud | (pas de Landing Zone native, à custom) | Terraform OVH provider |
# Exemple structure AWS multi-account (à mettre en place dès 50+ workloads)
# org/
# ├── accounts/
# │ ├── log-archive/ # CloudTrail logs centralisés (immutable S3 + S3 Object Lock)
# │ ├── audit/ # Security Hub + GuardDuty central + IAM Access Analyzer
# │ ├── shared-services/ # Transit Gateway + Route53 Resolver + AD Connector
# │ ├── prod/ # Workloads prod
# │ ├── staging/ # Workloads staging (réplique iso prod)
# │ ├── dev/ # Workloads dev
# │ └── sandbox/ # Bac à sable développeurs (isolation forte)
# └── policies/
# ├── scp-deny-root.json # Service Control Policy : interdire usage root
# ├── scp-require-mfa.json # SCP : MFA obligatoire pour actions destructives
# ├── scp-deny-public-s3.json # SCP : empêcher public access S3
# └── scp-require-encryption.json # SCP : encryption at rest forcée
resource "aws_organizations_policy" "deny_root" {
name = "DenyRootUserActions"
type = "SERVICE_CONTROL_POLICY"
content = jsonencode({
Version = "2012-10-17"
Statement = [{
Sid = "DenyAllRoot"
Effect = "Deny"
Action = "*"
Resource = "*"
Condition = {
StringLike = {"aws:PrincipalArn" = "arn:aws:iam::*:root"}
}
}]
})
}Position 5 : déployer du cloud sans Landing Zone formelle au-delà de 50 workloads = dette technique sécu insurmontable à 12-24 mois. Investissement initial Landing Zone : 2-4 semaines équipe Cloud Security + DevOps. ROI : 10x sur 3 ans en évitant breach + audits compliance simplifiés.
Priorité 6, Mapping Cloud Security ↔ frameworks compliance 2026
| Référentiel | Apport pour Cloud Security | Mapping clé |
|---|---|---|
| CIS AWS Foundations Benchmark v3.0 (mai 2024) | Audit posture AWS | 60+ contrôles, 4 niveaux |
| CIS Azure Benchmark v3.0 | Audit posture Azure | 100+ contrôles |
| CIS GCP Benchmark v3.0 | Audit posture GCP | 75+ contrôles |
| NIST SP 800-53 Rev. 5 | Contrôles fédéraux US | Mappable AWS Config Rules |
| NIST SP 800-204 (Microservices) | Cloud-native security | mTLS, identity, API gateway |
| PCI DSS 4.0 (mars 2022, applicable mars 2025) | Compliance paiement | Req. 1, 2, 7, 8 mappables IAM/network |
| ISO/IEC 27017 | Cloud-specific extension ISO 27001 | Annexe A.5-18 cloud |
| NIS2 (transposée FR octobre 2024) | OIV/OSE FR | Article 21 mesures techniques cloud |
| DORA (applicable 17 janvier 2025) | Finance UE | RTS sur cloud third-party |
| EU Cyber Resilience Act (entrée vigueur 11 décembre 2024) | Produit logiciel UE | Annexe I cloud-native |
| HDS (Hébergeurs Données Santé) | Santé FR | Certification HDS pour data healthcare cloud |
| SecNumCloud (ANSSI) | Cloud souverain FR | Qualification SecNumCloud (OVHcloud, Outscale, S3NS) |
Position 6 : en France 2026, les architectures cloud santé (Doctolib, Alan, Lyf) doivent HDS + RGPD. Architectures finance (Lydia, Spendesk) doivent PCI DSS 4.0 + DORA + NIS2. Architectures gov/secteur souverain doivent SecNumCloud ou C5 (Allemagne), limite usage AWS/Azure/GCP US à des cas non-souverains.
Priorité 7, Salaires Cloud Security Engineer FR 2026 + trajectoire
| Niveau | Paris | Lyon/Toulouse/Bordeaux | Remote province | Niche premium |
|---|---|---|---|---|
| Junior 0-2 ans | 50-60 k€ | 42-52 k€ | 38-48 k€ | (non junior pur typique) |
| Confirmé 3-5 ans | 65-80 k€ | 58-72 k€ | 55-68 k€ | +10-15 k€ |
| Senior 5-8 ans | 80-100 k€ | 72-88 k€ | 68-82 k€ | +15-25 k€ |
| Lead/Architect 8+ ans | 100-130 k€ | 88-110 k€ | 82-100 k€ | +20-35 k€ |
| Specialist multi-cloud / niche | 95-130 k€ | 88-110 k€ | 82-100 k€ | LLM Security 1 500-2 500€/jour TJM |
Top employeurs Cloud Security FR 2026
| Tier | Type | Exemples | Salaire senior | Spécificités |
|---|---|---|---|---|
| 1 | Pure players cyber globaux | Wiz France (depuis 2024), Datadog, Snyk, Lacework | 95-130 k€ + RSU | Stack cloud premium |
| 2 | Scale-ups SaaS premium cloud-native | Doctolib, Mirakl, Back Market, Alan, Qonto | 80-105 k€ + BSPCE | AWS/GCP profond |
| 3 | FinTech / banques digitales | Lydia, Spendesk, Younited Credit | 75-95 k€ | PCI DSS + DORA |
| 4 | Cloud-native consultancies | Padok, WeScale, Sokube, Devoteam G Cloud | 70-90 k€ | Multi-clients |
| 5 | Banque/assurance grands groupes | BNP Paribas (CIB cloud), SocGen, Crédit Agricole, AXA | 75-90 k€ + bonus | Hybrid + legacy |
| 6 | Industrie / défense | Thales, Airbus, Naval Group | 70-85 k€ | SecNumCloud, habilitation |
| 7 | Cloud souverain FR | OVHcloud, Outscale, Scaleway, S3NS (Thales+Google) | 65-85 k€ | SecNumCloud |
| 8 | ESN cyber spécialisées | Wavestone Cyber Solutions, Synetis, I-Tracing | 70-85 k€ | Mix consulting + interne |
Position 7 : la combinaison AWS Security Specialty + Azure SC-100 + Terraform + K8s + 1 niche débloque les postes senior 95-110 k€ rapidement (3-5 ans XP). Investir dans un seul cloud pendant 5 ans plafonne à 75-85 k€, multi-cloud expertise est le levier salaire principal Cloud Security 2026.
Erreurs fréquentes Cloud Security 2026
| Erreur | Symptôme / risque | Fix |
|---|---|---|
| S3 / Storage public legacy non audité | Capital One-style breach | Block Public Access global + audit Prowler mensuel |
IAM wildcards Action: "*" | Privilege escalation | Least-privilege + ABAC + IAM Access Analyzer |
| Pas de Landing Zone formelle au-delà 50 workloads | Dette technique sécu | AWS Control Tower / Azure Landing Zones / GCP CFT |
| MFA SMS au lieu de FIDO2/WebAuthn | SIM swap exploit (NIST déprécié) | FIDO2 / WebAuthn obligatoire admins |
| IMDSv1 actif EC2 legacy | SSRF exploit (Capital One) | Enforce IMDSv2 (option AWS depuis 2023) |
| Long-lived access keys | Leak = compromission | Rôles temporaires + STS AssumeRole + OIDC |
| CloudTrail / Audit logs non activés | Détection breach +200j (IBM 2024) | CloudTrail multi-region + GuardDuty + Sentinel |
| Multi-cloud par défaut sans besoin | Complexité × 3-5 sans gain | Mono-cloud principal + plan B documenté |
| Encryption at rest inactivée | Data leak en clair | KMS / Key Vault + encryption forcée par SCP |
| Pas de network isolation | East-West attaques | VPC + private subnets + service mesh mTLS |
| Empiler 4 certifs cloud sans pratique | Profil théorique | 1 cert + 1 Landing Zone + 5 articles publics |
| Ignorer compliance régionale (HDS, SecNumCloud) | Audit régulateur échoue | Mapping compliance dès design architecture |
Pour aller plus loin
- DevSecOps c'est quoi vraiment, concept englobant et anti-patterns.
- DevSecOps c'est quoi priorités 2026, 7 réalités opérationnelles métier.
- Devenir DevSecOps priorités 2026, top 7 priorités du parcours.
- Roadmap DevSecOps priorités 2026, parcours 24 mois en 8 paliers.
- Salaire DevSecOps priorités 2026, 7 leviers salariaux.
- Pipeline CI/CD sécurisé exemple, pipeline complet annoté.
- Sécurité API priorités 2026, sécurité des APIs cloud-native.
- AppSec définition priorités 2026, programme AppSec global.
Points clés à retenir
- Cloud Security = sous-domaine cybersécurité dédié à la protection cloud public (AWS, Azure, GCP). Marché mondial 69 € milliards en 2026 (Gartner). 90%+ des breaches cloud = misconfig client (Wiz Cloud Security Index 2024).
- Mental model 2026 : Cloud Security = configuration > exploitation. 95% des incidents = misconfigs IAM/network/storage côté client, pas failles fournisseur. Hyperviseur AWS/Azure/GCP géré par 2 000-5 000 ingés sécu fournisseur.
- Shared Responsibility Model : fournisseur couvre datacenter+hyperviseur+network bas niveau. Client couvre IAM+config services+data+app+OS sur IaaS. À mémoriser par service utilisé.
- 4 catégories outillage 2026 : CSPM (posture misconfig, Prowler/Wiz), CIEM (privilèges IAM, AWS IAM Access Analyzer/Wiz CIEM), CWPP (runtime, Falco/Aqua), CNAPP (convergence, Wiz/Prisma Cloud).
- Stack OSS Cloud Security minimum 2026 (~0 €) : Prowler + Steampipe + Trivy + Falco + Checkov. Suffit pour <100 workloads. Wiz justifié à 200+ workloads, multi-cloud, compliance régulateur (DORA, NIS2, PCI).
- Top 5 misconfigs exploitées 2024-2025 : S3/Storage public, IAM excessive privileges, public-facing services sans auth, IMDSv1 legacy (SSRF), CloudTrail/audit logs off. Représentent 60-70% breaches.
- IAM cloud = couche la plus exploitée. Pratique 2026 : least-privilege + ABAC + MFA FIDO2/WebAuthn obligatoire admins + rôles STS temporaires + OIDC pour CI/CD + auditing CloudTrail + AWS IAM Access Analyzer hebdo.
- Landing Zones (AWS Control Tower, Azure Landing Zones, GCP CFT) = fondation 2026 cloud >50 workloads. Investissement 2-4 semaines, ROI 10x sur 3 ans.
- Certifications ROI optimal : AWS Security Specialty (270 €, FR dominant 50%), Azure SC-100 (148 €, 30%), GCP Pro Cloud Security Engineer (180 €). CISSP sur-côté junior, CompTIA Cloud+ à éviter FR.
- Salaires Cloud Security Engineer FR 2026 : junior 50-60 k€, confirmé 65-80 k€, senior 80-100 k€, architect 100-130 k€. Specialist multi-cloud + niche : 95-130 k€. Top employeurs : Wiz France, Datadog, Doctolib, Mirakl, BNP, OVHcloud.
- Compliance FR 2026 obligatoire selon secteur : HDS (santé), PCI DSS 4.0 (paiement, applicable mars 2025), SecNumCloud (souverain), DORA (finance, applicable janvier 2025), NIS2 (transposée FR octobre 2024).
- Anti-pattern majeur : multi-cloud par défaut sans besoin → complexité × 3-5 sans gain business pour 80% entreprises FR. Stratégie pragmatique : mono-cloud principal + plan B documenté + 1 service critique secondaire backup.
