Gestion du cloud : comment gérer les environnements multicloud sans perdre le contrôle

La plupart des entreprises ne prévoient pas de mettre en place des environnements multicloud. Elles se retrouvent avec ce type d'environnement parce que différentes équipes ont pris des décisions divergentes à des moments différents. Le service marketing a adopté une plateforme SaaS sur AWS. Le service de développement a déployé ses applications sur Azure. Le fournisseur de l'ERP utilise Google Cloud. L'infrastructure de sauvegarde repose sur le Datto Cloud. Il en résulte un environnement multicloud dépourvu de modèle de gouvernance unifié et dont aucune équipe n'assume la responsabilité.

Selon le rapport « State of the MSP » 2026 de Kaseya, les services cloud et d’hébergement représentent 34 % du chiffre d’affaires des MSP, ce qui montre à quel point la gestion du cloud est désormais au cœur de leur portefeuille de services. Le rapport « State of the Cloud » de Flexera révèle que plus de 87 % des entreprises ont désormais une stratégie multicloud, la plupart gérant des charges de travail réparties entre plusieurs fournisseurs. Le défi ne réside pas dans l'adoption de plusieurs clouds, mais dans leur gouvernance cohérente une fois qu'ils sont en place. La plateforme de Kaseya accompagne plus de 50 000 MSP et équipes informatiques qui gèrent précisément ces environnements à travers le monde.

Pourquoi la gouvernance multicloud est plus complexe que la gestion d'un cloud unique

La gestion multi-cloud est plus complexe que la gestion mono-cloud, non pas parce que chaque cloud pris individuellement est difficile à gérer, mais parce que le problème global de visibilité et de gouvernance est considérable. Chaque fournisseur dispose de sa propre console, de son propre format de journalisation, de sa propre structure de facturation, de son propre modèle d'IAM et de ses propres contrôles de sécurité. Les gérer individuellement conduit à une visibilité fragmentée. Pour les gérer de manière cohérente, il faut une couche de gouvernance qui permette de faire abstraction de ces différences propres à chaque fournisseur.

La distinction entre le multicloud accidentel et le multicloud délibéré revêt une importance opérationnelle. Gartner définit le multicloud accidentel comme le résultat d'une gouvernance insuffisante, de fusions et acquisitions, ou de décisions prises de manière indépendante par des équipes, plutôt que d'une stratégie coordonnée. Les environnements multicloud accidentels ont généralement pour caractéristiques l'absence d'un modèle d'identité unifié, des normes de sécurité incohérentes, des coûts invisibles et des dépendances entre charges de travail non documentées. Les environnements multicloud délibérés présentent la même complexité, mais disposent de structures de gouvernance conçues pour y faire face dès le départ.

La plupart des PME et des entreprises de taille intermédiaire gérées par des MSP se retrouvent dans une situation de multicloud par défaut. Le travail de gouvernance s'effectue a posteriori. Un MSP qui prend en charge un nouveau client doit s'attendre à trouver des charges de travail cloud réparties entre plusieurs fournisseurs, sans stratégie de balisage unifiée, de multiples comptes d'administrateur dotés de droits excessifs, aucune politique de sauvegarde inter-fournisseurs et une facturation que personne n'a vérifiée depuis des mois. C'est la norme, et non l'exception.

Une surveillance unifiée entre les différents prestataires

Les alertes provenant d'AWS CloudWatch, d'Azure Monitor et de Google Cloud Operations sont présentées différemment, transmises par des canaux distincts et ne disposent d'aucune couche de corrélation native entre elles. Un MSP gérant des clients chez ces trois fournisseurs ne peut, dans la pratique, surveiller séparément la console de chaque fournisseur pour chaque client. Ce n'est tout simplement pas faisable.

Une couche de surveillance unifiée regroupe les données télémétriques provenant de plusieurs fournisseurs de services cloud, ainsi que celles issues de l'infrastructure sur site et des terminaux, pour les intégrer dans un flux d'alertes et une console de gestion uniques. Kaseya Intelligence et met en corrélation ces données télémétriques, en appliquant une reconnaissance automatique des schémas afin d'identifier les anomalies et les dérives de configuration dans les environnements hybrides, sans qu'un technicien ait à examiner manuellement les événements de chaque fournisseur.

Pour les MSP, la visibilité multi-locataires est une exigence opérationnelle : une console unique qui affiche simultanément l'état des alertes, l'intégrité des sauvegardes et la conformité des configurations pour l'ensemble des clients et de tous les environnements cloud. Un MSP qui doit se connecter à 30 consoles AWS distinctes pour vérifier l'intégrité des environnements cloud de 30 clients n'offre pas un service évolutif.

Gouvernance des identités dans les environnements multicloud

Dans les environnements cloud, l'identité constitue le périmètre de sécurité ; or, dans un environnement multicloud, la gouvernance des identités représente le défi de sécurité le plus complexe. Chaque fournisseur dispose de son propre modèle IAM. AWS utilise des rôles et des politiques. Azure utilise Entra ID et le RBAC. Google Cloud utilise son propre système IAM. Les utilisateurs et les comptes de service ont souvent besoin d'accéder à plusieurs de ces environnements, ce qui crée un paysage identitaire tentaculaire où les risques de mauvaise configuration des autorisations sont multiples.

Les risques concrets : des utilisateurs disposant de droits excessifs dans l'environnement d'un fournisseur, car ces droits ont été copiés depuis un autre environnement sans avoir été vérifiés. Des comptes de service dont les identifiants n'ont pas été renouvelés. Des comptes administrateur créés pour un projet et qui n'ont jamais été supprimés. Des configurations IAM qui semblent correctes dans la console de chaque fournisseur, mais qui, prises dans leur ensemble, accordent davantage d'accès que ce qu'un examen individuel aurait approuvé.

La gouvernance dans cet environnement nécessite de savoir précisément qui a accès à quoi, tous fournisseurs confondus, ainsi que l'application automatisée des politiques de « privilèges minimaux ». Kaseya 365 offre une couche de gestion des identités et des accès pour Microsoft 365 et les environnements cloud connectés, avec l'application de l'authentification multifactorielle et la surveillance des identifiants via Dark Web ID détecter les identifiants compromis avant qu'ils ne soient exploités.

Des revues régulières des accès IAM doivent être programmées pour chaque environnement cloud géré : au moins une fois par trimestre, et une fois par mois pour les environnements traitant des données sensibles. Les revues d'accès ne sont pas le genre de tâches qui se font d'elles-mêmes. Elles doivent être inscrites au calendrier et donner lieu à un rapport écrit.

Visibilité des coûts et FinOps

La facturation multi-cloud constitue le problème de gouvernance le plus immédiatement perceptible. La multiplicité des fournisseurs, des modèles de facturation et des formats de factures, associée à l'absence d'une couche d'agrégation native, implique que la visibilité des coûts nécessite un effort délibéré. Sans cela, les dépenses liées au cloud s'accumulent de manière que personne ne comprend pleinement, jusqu'à ce qu'une facture nettement plus élevée que prévu arrive dans la boîte aux lettres.

Le FinOps consiste à exploiter les données de facturation du cloud pour prendre des décisions éclairées en temps réel concernant les ressources, plutôt que d'analyser les coûts de manière réactive à la fin du mois. Les principes fondamentaux du FinOps s'appliquent directement au défi que représente la gestion multicloud.

Étiquetage et attribution. Les ressources qui ne sont pas étiquetées ne peuvent pas être attribuées à une équipe, à un projet ou à un client. Une stratégie d'étiquetage cohérente, mise en place dès la création des ressources et appliquée par le biais de règles, constitue la base de la visibilité des coûts entre les différents fournisseurs. Sans étiquettes, les données de coûts ne sont qu'un chiffre global, sans ventilation exploitable.

Identification des ressources inutilisées. Les volumes de stockage inutilisés, les instances de calcul inactives, les équilibreurs de charge orphelins et les environnements de test oubliés sont présents dans presque tous les environnements multicloud en service depuis plus de six mois. Un examen mensuel des ressources inutilisées chez tous les fournisseurs est une pratique courante dans les environnements bien gérés.

Capacité réservée. La tarification à la demande est le modèle d'exploitation le plus coûteux pour les charges de travail stables. Les instances réservées AWS, les instances de machine virtuelle réservées Azure et les solutions équivalentes proposées par les différents fournisseurs offrent des remises qui nécessitent un engagement d'utilisation. Déterminer quelles charges de travail sont suffisamment stables pour justifier un tel engagement et acheter la capacité réservée en conséquence constitue un service de conseil récurrent que les MSP peuvent proposer dans le cadre de la gestion du cloud.

Alertes d'anomalies. Les pics de coûts imprévus sont presque toujours détectables avant même qu'ils n'apparaissent sur la facture. Les alertes budgétaires et la détection des anomalies dans AWS Cost Explorer et Azure Cost Management permettent de prévenir à temps, évitant ainsi qu'une erreur de provisionnement ou un processus incontrôlé ne se transforme en un événement coûteux.

Gestion de la posture de sécurité

Les normes de configuration de sécurité varient d'un fournisseur à l'autre, et garantir un niveau de sécurité homogène dans un environnement multicloud nécessite une gestion des politiques couvrant l'ensemble de la pile. Les failles de sécurité les plus courantes dans les environnements multicloud ne sont pas des défaillances propres à un fournisseur. Il s'agit plutôt de défaillances de gouvernance : des contrôles correctement configurés dans un environnement mais absents dans un autre, faute d'un mécanisme unifié d'application des politiques.

Les cinq principes de sécurité de base qui doivent être vérifiés dans chaque environnement cloud d'un portefeuille géré :

1. La journalisation d'audit est activée dans toutes les régions. AWS CloudTrail et Azure Monitor Activity Logs constituent la source de référence pour les enquêtes sur les incidents. Sans eux, vous travaillez à l'aveuglette.

2. Chiffrement au repos sur toutes les ressources de stockage. Le chiffrement par défaut doit être activé au niveau du compte ou de l'abonnement afin que les nouvelles ressources soient chiffrées, sauf si cette option est explicitement désactivée.

3. Aucun blocage d'accès public n'est désactivé. Les blocages d'accès public S3 et les paramètres équivalents d'Azure doivent être activés au niveau du compte afin d'éviter toute exposition publique accidentelle.

4. Authentification à deux facteurs (2FA) pour tous les comptes privilégiés. L'authentification à deux facteurs doit être obligatoire pour tous les comptes administrateur, quel que soit le fournisseur. Aucune exception.

5. Pas de groupes de sécurité ni de règles de pare-feu trop permissifs. Un accès entrant sans restriction (0.0.0.0/0) sur les ports de gestion est systématiquement identifié lors des évaluations de sécurité du cloud et est systématiquement présent lorsque les environnements n’ont pas fait l’objet d’un examen formel.

La solution SIEM de Kaseya intègre les données de télémétrie provenant des principales plateformes cloud, ainsi que les données relatives aux terminaux et aux e-mails, normalisant ainsi les événements de sécurité de tous les fournisseurs au sein d'une couche de détection unique. Kaseya Intelligence une réponse automatisée aux anomalies détectées, bouclant ainsi la boucle entre la détection et la correction sans attendre qu'un technicien examine la situation et intervienne.

Gouvernance des sauvegardes dans l'environnement multicloud

La solution de sauvegarde native de chaque fournisseur de cloud couvre ses propres charges de travail au sein de son propre écosystème. La gouvernance de la sauvegarde inter-fournisseurs, qui garantit que toutes les données, quel que soit le cloud, sont sauvegardées, vérifiées et récupérables vers un emplacement indépendant, nécessite une couche de gestion de la sauvegarde qui s'étend à l'ensemble des fournisseurs.

Les outils de sauvegarde natifs présentent trois lacunes spécifiques dans les environnements multicloud. Premièrement, ils n'offrent pas de visibilité inter-fournisseurs : un MSP ne peut pas visualiser l'état des sauvegardes des charges de travail AWS et Azure à partir d'une seule console. Deuxièmement, ils stockent les sauvegardes au sein de l'écosystème du fournisseur, ce qui signifie qu'un compte compromis ou un incident du côté du fournisseur affecte à la fois les données primaires et les sauvegardes. Troisièmement, ils ne prennent pas en charge les données SaaS, qui nécessitent une protection distincte via une sauvegarde de cloud à cloud.

La gamme de solutions de sauvegarde de Datto couvre ces trois scénarios : Datto SIRIS Datto Endpoint Backup reprise après sinistre pour les charges de travail sur site et les serveurs répliqués vers le cloud Datto indépendant, Datto Backup for Microsoft Azure la protection des machines virtuelles Azure et des fichiers Azure en dehors de l'écosystème Azure, et Datto SaaS Protection les données Microsoft 365 et Google Workspace. Toutes ces solutions sont visibles depuis la page d'état de sauvegarde unifiée du portail des partenaires Datto, offrant ainsi aux MSP une vue d'ensemble de l'état des sauvegardes pour tous les types de charges de travail et tous les clients.

Pour une présentation complète de l'architecture de sauvegarde dans les trois cas d'utilisation du cloud, consultez le guide « Sauvegarde dans le cloud : un guide pratique pour les équipes informatiques et les MSP ».

Gestion de la documentation et de la configuration

Les environnements multicloud dépourvus de documentation sont vulnérables sur le plan opérationnel. Le nombre de ressources, de fournisseurs, de configurations et de dépendances impliqués dans un environnement multicloud typique d'une PME est suffisamment important pour que le fait de se fier à la mémoire collective plutôt qu'à des documents écrits fasse peser un risque considérable. Lorsque la personne qui a mis en place l'environnement quitte l'entreprise, ou lorsqu'un incident nécessite une intervention rapide à 2 heures du matin, la documentation fait toute la différence entre une réponse structurée et une approche au petit bonheur la chance.

IT Glue l'infrastructure de documentation nécessaire aux environnements multicloud : identifiants d'accès aux fournisseurs avec isolation par client, schémas d'architecture, documentation sur la structure IAM, guides opérationnels pour les scénarios de reprise courants, ainsi qu'une intégration avec Compliance Manager GRC la génération automatisée de preuves de conformité. Les mêmes règles de documentation qui s'appliquent à l'infrastructure sur site s'appliquent également aux environnements cloud, et le rythme des changements dans ces derniers rend leur mise à jour à la fois plus difficile et plus importante.

La dérive de configuration, c'est-à-dire l'accumulation de modifications non validées qui s'écartent de l'état prévu de l'environnement, est à l'origine de la plupart des incidents de sécurité dans le cloud. Un compartiment de stockage correctement configuré lors du déploiement, mais rendu public par inadvertance trois mois plus tard à la suite d'une modification que personne n'a documentée, est un scénario bien réel et courant. La surveillance continue de la configuration via Kaseya Intelligence ces écarts avant qu'ils ne se transforment en incidents.

Comment Kaseya facilite la gestion multicloud pour les MSP

Kaseya 365 Datto RMM étendent la surveillance par agent, la gestion des correctifs et l'automatisation aux machines virtuelles hébergées dans le cloud ainsi qu'aux terminaux sur site, le tout à partir d'une seule console multi-locataires.

Kaseya SIEM regroupe les données de télémétrie de sécurité provenant d'AWS, d'Azure et de Google Cloud, ainsi que les données relatives aux terminaux et aux e-mails, au sein d'une couche de détection unifiée.

Kaseya Intelligence applique la reconnaissance automatique des modèles et la réponse automatisée dans les environnements cloud gérés, détectant les dérives de configuration et les activités anormales sans intervention manuelle.

Kaseya 365 assure la gestion des identités et des accès dans Microsoft 365 et les environnements cloud connectés, notamment l'application de l'authentification multifactorielle (MFA) et la surveillance Dark Web ID .

IT Glue stocke la documentation relative à l'environnement cloud avec une isolation par client, un historique des versions et une intégration directe avec Compliance Manager GRC.

La gamme de solutions de sauvegarde de Datto offre des sauvegardes autonomes et immuables pour les charges de travail sur site, l'infrastructure Azure et les applications SaaS, avec une visibilité unifiée sur l'état des sauvegardes depuis une seule console du portail des partenaires Datto.

Découvrez les solutions de Kaseya pour la gestion des opérations informatiques et du cloud