Le cloud computing a permis le passage d'un paradigme d'obligation de moyen à celui d'obligation de résultat, mais cette transition montre ses limites dans le domaine de la sécurité. En effet, la sécurité effective d'un système informatique est notoirement difficile à mesurer. L'évolution constante de la menace, par exemple via la publication de nouvelles vulnérabilités, peut profondément changer le risque auquel est soumis un système d'information, sans que la moindre modification ait été apportée à ce système. Dans ces travaux, nous souhaitons évaluer la pertinence d'un modèle économique où un fournisseur de cloud d'infrastructure garantit, dans une fenêtre de temps contractualisée, le déploiement de contre-mesures pour toutes les nouvelles vulnérabilités publiques pouvant impacter ses clients, assorti d'une pénalité financière en cas de manquement. Nous montrons ainsi qu'il est possible pour un fournisseur de cloud de quantifier la probabilité d'avoir à payer une pénalité, et ainsi garantir un bénéfice économique sur le long terme.