Ces dernières années, le développement d’Internet a contribué à l’essor du modèle cloud computing, dans lesquels des fournisseurs mettent à disposition des clients des ressources informatiques en tant que services. Ces ressources, généralement hébergées chez le fournisseur, peuvent être des infrastructures informatiques, des plateformes de développement et d’exécution ou des applications. L’objectif est de favoriser la réduction des coûts de déploiement et d’opération de ressources traditionnellement hébergées dans les locaux des clients. Dans le modèle de service Infrastructure as a Service, les clients peuvent créer et administrer des infrastructures virtuelles entières hébergeant tout ou une partie de leur système d’information. Aux bénéfices du modèle cloud sont associés des problématiques de sécurité, comme dans tout système informatique réparti. La diversité des acteurs mêlée à la variété des technologies dans le cloud implique un grand nombre de menaces et rend la sécurisation des données complexe. Pour prévenir et détecter les attaques, des mécanismes de sécurité réseau sont déployés dans le cloud. Nous nous intéressons au contrôle d’accès réseau et à la détection d’intrusion réseau, respectivement assurés par les pare-feu et les systèmes de détection d’intrusion. Or, il n’est pas aisé pour les administrateurs de déployer correctement ces outils de sécurité sans perturber le fonctionnement du cloud. Il est donc essentiel de rechercher régulièrement les faiblesses, déviances ou incohérences dans le déploiement de ces outils. Dans ce manuscrit, nous décrivons les travaux de thèse où nous avons proposé une approche pour l’évaluation et l’analyse automatisée des mécanismes de sécurité réseau dans les infrastructures virtuelles de cloud computing. Notre objectif est de permettre l’audit de manière expérimentale des contrôles d’accès réseau et des systèmes de détection d’intrusion réseau protégeant une infrastructure virtuelle donnée. Afin de solutionner les problèmes liés à la mise en oeuvre d’une telle approche, nous l’avons décomposée en trois phases. La première phase consiste à créer une copie de l’infrastructure à analyser, de manière à ne pas perturber la production du client durant les opérations d’audit. La deuxième phase concerne l’analyse des contrôles d’accès, où le but est de déterminer les canaux de communications réseau entre machines virtuelles. Nous permettons de la réaliser statiquement, à partir des informations des configurations, et dynamiquement, en injectant du trafic réseau. L’intérêt de pouvoir mener deux analyses différentes est d’identifier d’éventuelles déviances dans les résultats obtenus. Dans la troisième phase, les canaux de communications trouvés sont utilisés pour exécuter des campagnes d’attaque réseau avec du trafic d’évaluation rejoué à partir de modèles que nous avons définis. La réaction des systèmes de détection d’intrusion est alors étudiée pour générer des métriques d’évaluation. L’approche développée a donné lieu à un prototype pour les solutions cloud VMware. Ce prototype, testé sur une plateforme de maquettage et d’expérimentation, a permis de valider les méthodes conçues dans le cadre de l’approche. Les résultats expérimentaux obtenus sont encourageants et donnent confiance dans l’élaboration de nouvelles extensions et perspectives de recherche.