L’Agence nationale de la sécurité des systèmes d’information (ANSSI) met en garde contre l’augmentation des attaques visant les services cloud, qui touchent aussi bien les fournisseurs que leurs clients. Si le cloud est aujourd’hui incontournable et apporte de nombreux avantages, il représente aussi un terrain propice aux cybermenaces.
Dans son dernier rapport (PDF), l’ANSSI dresse un état des lieux des risques. Elle propose également des recommandations essentielles pour mieux protéger les accès, les identités et les données. Toutes les organisations utilisant le cloud sont concernées, qu’elles aient totalement migré vers ces infrastructures ou qu’elles conservent encore une partie de leurs systèmes en interne.
Une attaque réussie contre un service cloud peut avoir de lourdes conséquences. En plus de voler des données sensibles, les pirates peuvent tenter de s’infiltrer plus profondément. Ils peuvent aussi accéder à d’autres systèmes, y compris ceux des clients de l’entreprise visée. Espionnage, fraude ou perturbation des activités, les motivations sont variées et les risques bien réels.
Cloud : une surface d’attaque étendue
L’ANSSI alerte sur l’augmentation des attaques visant les environnements cloud, exploitées aussi bien pour cibler les entreprises que pour mener des offensives discrètes. Des groupes spécialisés comme Mango Sandstorm, Scattered Spider ou Storm-0558 se sont spécialisés dans ce domaine. Ils orchestrent des campagnes d’extorsion, d’espionnage et de sabotage.
L’interconnexion croissante entre les systèmes d’information et le cloud élargit la surface d’attaque, offrant aux cybercriminels de multiples points d’entrée. Les menaces peuvent venir de nombreuses sources : portails web et API, systèmes d’exploitation, hyperviseurs et containers. Elles peuvent aussi provenir d’erreurs de configuration ou de permissions excessives sur des bases de données et des infrastructures réseau. L’exploitation de failles de sécurité, y compris les vulnérabilités 0-day, reste une méthode redoutable, mais l’ANSSI rappelle qu’une grande partie des compromissions (jusqu’à 51 % selon Google) provient d’erreurs humaines, de mauvaises configurations ou de mots de passe faibles.
Par ailleurs, les attaquants ne se contentent pas de viser le cloud : ils l’utilisent aussi comme un levier. Certains louent des infrastructures chez des fournisseurs classiques pour masquer leurs activités malveillantes dans un trafic légitime, rendant leur détection plus complexe. D’autres détournent ces services pour héberger des malwares, exfiltrer des données ou orchestrer des attaques. Pour l’ANSSI, cette capacité à utiliser le cloud comme une arme constitue l’une des tendances de menace les plus préoccupantes.
Cloud : responsabilités partagées sous pression
L’ANSSI rappelle que la sécurité des services cloud repose sur une responsabilité partagée entre les fournisseurs de services cloud (CSP) et leurs clients. Les données et les configurations restent sous la responsabilité des entreprises utilisatrices. La sécurisation des infrastructures dépend du prestataire, selon le type de service choisi. Dans une offre IaaS (Infrastructure as a Service), le fournisseur gère les serveurs, réseaux et unités de stockage. En PaaS (Platform as a Service), il ajoute la gestion du système d’exploitation, et en SaaS (Software as a Service), il prend en charge l’ensemble de l’applicatif.
Cependant, en pratique, ces frontières sont floues. L’ANSSI souligne que les entreprises bâtissent aujourd’hui des systèmes hybrides en combinant plusieurs services cloud et on-premise, créant ainsi des architectures complexes où les responsabilités se chevauchent. Cette approche « à la carte » accroît le risque d’erreurs de configuration, un vecteur d’attaque majeur exploité par les cybercriminels. L’interconnexion entre les différentes plateformes élargit la surface d’attaque et multiplie les opportunités de latéralisation. Elle permet aux attaquants de se déplacer d’un système à un autre une fois une brèche trouvée.
Les fournisseurs et les clients sont tous deux des cibles pour les cybercriminels, mais avec des motivations parfois différentes. Les opérateurs cloud sont souvent visés pour leurs accès critiques, notamment les secrets d’authentification permettant de pénétrer les systèmes de leurs clients. Les attaques contre les entreprises, quant à elles, visent le vol de données sensibles, l’extorsion par rançongiciel et la perturbation des services. Les outils de gestion des accès, les applications de messagerie et les plateformes collaboratives sont particulièrement ciblés.
Face à ces menaces croissantes, l’ANSSI insiste sur l’importance pour les hébergeurs cloud de renforcer leurs dispositifs de sécurité. L’intégration de technologies avancées, comme l’intelligence artificielle et le machine learning, est essentielle pour détecter les activités anormales et réagir rapidement aux tentatives d’intrusion. Mais la responsabilité des fournisseurs ne s’arrête pas là. Ils doivent aussi proposer à leurs clients des outils performants pour gérer leurs risques. Cela inclut le contrôle des accès, le chiffrement des données et la surveillance des activités suspectes.
Cloud : bonnes pratiques et mesures clés
L’ANSSI conclut son rapport en émettant une série de recommandations pour les fournisseurs de solutions cloud. Elle s’adresse aussi aux clients afin de renforcer la sécurité des environnements cloud.
Pour les fournisseurs, l’agence insiste préconise et recommande :
- La mise en place de son guide d’hygiène numérique comme base fondamentale
- L’adoption des bonnes pratiques de développement, telles que les analyses de risques, la gestion des dépendances, et des tests de sécurité dans des environnements réalistes
- La cartographie et limitation de la surface exposée des services
- Assurer une gestion rigoureuse des secrets
- S’approcher du référentiel SecNumCloud
- On souligne d’autres actions, telles que la sécurisation des postes des développeurs et la réalisation de sauvegardes régulières. On mentionne également la mise en place de protections contre les attaques par déni de service.
Du côté des clients, l’ANSSI propose des conseils pour :
- Assurer la continuité de l’activité, avec des mesures comme la mise en place d’un plan de continuité et de reprise d’activité (PCA/PRA)
- La gestion des accès et des identités, ainsi que la protection des données via le chiffrement et le cloisonnement des services
- Veiller à superviser les actifs hébergés et à détecter les compromissions potentielles liées à la chaîne d’approvisionnement. Il est également important de surveiller toute modification effectuée dans le cloud en cas d’incident.
L’ANSSI insiste également sur l’importance de la sécurité des données sensibles. Elle recommande de privilégier les services cloud conformes au référentiel SecNumCloud. Ce référentiel impose des normes strictes concernant le chiffrement des données. Il inclut aussi la séparation des clients et la protection contre les lois extraterritoriales. Pour limiter les risques d’intrusion, les deux parties – fournisseurs et clients – doivent renforcer la gestion des accès, mettre en place une surveillance proactive, et déployer des outils de détection avancée, notamment en utilisant l’intelligence artificielle. Ces actions sont essentielles pour contrer les menaces croissantes auxquelles le cloud est de plus en plus exposé.
Conclusion
Les menaces, qu’elles soient liées à des failles de sécurité, des erreurs humaines ou des attaques sophistiquées, nécessitent une vigilance accrue et une gestion rigoureuse des risques. Tant les fournisseurs de services cloud que leurs clients doivent adopter une approche proactive. Ils doivent suivre les bonnes pratiques et mettre en œuvre des solutions de sécurisation avancées. Ils doivent aussi assurer une gestion rigoureuse des accès et des données sensibles.
L’intégration de mécanismes de surveillance avancés, comme l’intelligence artificielle, est essentielle. La conformité avec des référentiels tels que SecNumCloud apparaît également comme un élément clé pour répondre aux enjeux actuels. La sécurité du cloud étant une responsabilité partagée, une collaboration étroite entre les acteurs du secteur est essentielle. Cela permet d’anticiper les menaces et de protéger les infrastructures critiques face à un paysage de plus en plus complexe et hostile.
