En février 2025, l’ANSSI a publié un rapport alarmant : les cyberattaques contre les environnements cloud explosent. Erreurs de configuration, identités compromises, ransomwares ciblés… Les attaquants maîtrisent désormais parfaitement ces environnements. Ce guide vous donne les clés pour comprendre les risques et protéger efficacement vos données et applications dans le cloud.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Le modèle de responsabilité partagée : qui sécurise quoi ?
- Les principales menaces qui ciblent le cloud en 2025
- Les outils de sécurité : CSPM, CNAPP, SIEM, EDR
- Les bonnes pratiques recommandées par l’ANSSI
- Comment évaluer et réduire votre surface d’attaque
Prérequis : connaissances de base sur le cloud computing. Si vous débutez, commencez par le guide Introduction au cloud.
Le modèle de responsabilité partagée
Section intitulée « Le modèle de responsabilité partagée »Le malentendu le plus dangereux
Section intitulée « Le malentendu le plus dangereux »Beaucoup d’entreprises pensent que migrer vers le cloud revient à déléguer la sécurité au fournisseur. C’est une erreur qui coûte cher.
Réalité : Le fournisseur cloud sécurise l’infrastructure (datacenters, réseau, hyperviseurs). Vous restez responsable de la sécurité de ce que vous y faites : configuration des accès, protection des données, sécurisation des applications.
Qui sécurise quoi ?
Section intitulée « Qui sécurise quoi ? »Le partage des responsabilités varie selon le modèle de service :
| Responsabilité | IaaS | PaaS | SaaS |
|---|---|---|---|
| Données | Client | Client | Client |
| Applications | Client | Client | Fournisseur |
| Middleware / Runtime | Client | Fournisseur | Fournisseur |
| OS | Client | Fournisseur | Fournisseur |
| Virtualisation | Fournisseur | Fournisseur | Fournisseur |
| Infrastructure physique | Fournisseur | Fournisseur | Fournisseur |
En clair :
- IaaS (Infrastructure as a Service) : vous gérez tout sauf l’infrastructure physique
- PaaS (Platform as a Service) : vous gérez les données et le code applicatif
- SaaS (Software as a Service) : vous gérez uniquement vos données et les accès
Les menaces qui ciblent le cloud
Section intitulée « Les menaces qui ciblent le cloud »Ce que révèle le rapport ANSSI 2025
Section intitulée « Ce que révèle le rapport ANSSI 2025 »Le rapport « Cloud computing – État de la menace informatique » (CERT-FR, février 2025) identifie plusieurs tendances préoccupantes :
| Tendance | Impact |
|---|---|
| Erreurs de configuration | 31% des compromissions cloud |
| Identités compromises | 51% des accès initiaux (interfaces sans MFA ou mots de passe faibles) |
| Groupes spécialisés | Attaquants maîtrisant parfaitement les environnements cloud |
| Cloud comme arme | 58% des malwares hébergés sur des plateformes cloud légitimes |
Les 5 principales menaces
Section intitulée « Les 5 principales menaces »Erreurs de configuration
Une mauvaise configuration suffit à exposer des millions de dossiers. Exemples courants :
- Bucket S3 public contenant des données sensibles
- Ports ouverts inutilement (SSH, RDP)
- Permissions trop larges (« * » sur les ressources)
- Clés d’API exposées dans le code source (GitHub)
Comment se protéger :
- Utiliser des outils CSPM (Cloud Security Posture Management)
- Auditer régulièrement les configurations
- Appliquer le principe du moindre privilège
Compromission des identités
Selon Google Cloud, 51% des accès initiaux en 2023 ont été obtenus via des interfaces sans mot de passe ou avec des mots de passe faibles.
Le cas Okta (2022-2023) est emblématique : le spécialiste de l’authentification a été compromis deux fois, affectant des centaines de clients.
Comment se protéger :
- Activer le MFA (authentification multifacteur) partout
- Supprimer les comptes inutilisés
- Auditer les accès privilégiés
- Utiliser un gestionnaire d’identités (IAM) centralisé
Ransomwares ciblés
Les groupes comme Scattered Spider ciblent spécifiquement les infrastructures cloud. En 2023, ce groupe a chiffré 100 hyperviseurs ESXi de MGM Casinos, causant des pertes de 8,4 millions de dollars par jour.
Les ransomwares cloud exploitent :
- Les snapshots et sauvegardes accessibles
- La latéralisation entre on-premise et cloud
- Les API de gestion (console, CLI)
Comment se protéger :
- Sauvegardes isolées et testées régulièrement
- Segmentation réseau stricte
- Détection des comportements anormaux
Latéralisation on-premise / cloud
Les environnements hybrides créent des passerelles entre systèmes internes et cloud. Les attaquants l’ont bien compris : ils compromettent un poste local pour atteindre les ressources cloud, ou inversement.
Exemple : Compromission d’un poste développeur → accès aux credentials AWS → pivot vers les bases de données cloud.
Comment se protéger :
- Cloisonner strictement les environnements
- Utiliser des comptes distincts (pas de SSO entre prod et dev)
- Surveiller les accès cross-environment
Le cloud comme infrastructure d’attaque
Les attaquants utilisent le cloud pour :
- Héberger des malwares sur OneDrive, Google Drive (trafic « légitime »)
- Lancer des attaques DDoS depuis des instances cloud
- Établir des serveurs C2 (Command & Control)
En mars 2023, 58% des malwares provenaient d’applications cloud légitimes (Netskope).
Comment se protéger :
- Filtrer le trafic sortant (pas seulement entrant)
- Surveiller les connexions vers les services cloud grand public
- Bloquer les domaines suspects au niveau DNS
Les groupes d’attaquants spécialisés
Section intitulée « Les groupes d’attaquants spécialisés »L’ANSSI identifie plusieurs groupes ayant développé une expertise cloud :
| Groupe | Spécialité | Incidents notables |
|---|---|---|
| Scattered Spider | Ingénierie sociale, cloud hybride | MGM Casinos (2023) |
| Storm-0558 | Compromission Microsoft | Clé MSA volée, accès aux emails gouvernementaux |
| Lapsus$ | Vol d’identifiants | Okta, Microsoft, Nvidia |
| Nobelium | Espionnage étatique | SolarWinds, supply chain |
Les outils de sécurité cloud
Section intitulée « Les outils de sécurité cloud »Vue d’ensemble
Section intitulée « Vue d’ensemble »Le paysage des outils de sécurité cloud s’est complexifié. Voici les principales catégories :
| Catégorie | Rôle | Exemples |
|---|---|---|
| CSPM | Audit des configurations cloud | Checkov, Prowler, AWS Config |
| CWPP | Protection des workloads (VMs, conteneurs) | Kubescape, NeuVector |
| CIEM | Gestion des identités cloud | IAM Access Analyzer |
| SIEM | Corrélation des événements de sécurité | Wazuh, ELK, Splunk |
| EDR | Détection sur les endpoints | Osquery, Velociraptor |
| CNAPP | Plateforme unifiée (CSPM + CWPP + CIEM) | Prisma Cloud, Lacework |
| IDS/IPS | Détection/prévention d’intrusion | Snort, Suricata |
| Scanner vulnérabilités | Analyse des images et dépendances | Trivy, Grype |
CSPM : surveiller votre posture de sécurité
Section intitulée « CSPM : surveiller votre posture de sécurité »Un CSPM (Cloud Security Posture Management) analyse en continu vos configurations cloud et détecte les écarts par rapport aux bonnes pratiques.
Ce que fait un CSPM :
- Détecte les buckets S3 publics
- Identifie les ressources sans chiffrement
- Vérifie la conformité (CIS Benchmarks, RGPD, HDS)
- Alerte sur les dérives de configuration
Outils open source recommandés :
| Outil | Cloud supporté | Points forts |
|---|---|---|
| Checkov | Multi-cloud | Analyse IaC (Terraform, CloudFormation) |
| Trivy | Multi-cloud | Scanner polyvalent (images, IaC, secrets) |
| Prowler | AWS, Azure, GCP | Conformité CIS, audits complets |
| ScoutSuite | Multi-cloud | Rapports HTML détaillés |
CNAPP : la plateforme unifiée
Section intitulée « CNAPP : la plateforme unifiée »Un CNAPP (Cloud-Native Application Protection Platform) regroupe plusieurs outils en une seule plateforme :
- CSPM (posture de sécurité)
- CWPP (protection des workloads)
- CIEM (identités)
- Sécurité des conteneurs
- Détection runtime
Avantage : Une vue unifiée au lieu de jongler entre 5 outils différents.
SIEM et EDR pour la détection
Section intitulée « SIEM et EDR pour la détection »SIEM (Security Information and Event Management) : collecte et corrèle les logs de tous vos systèmes pour détecter les anomalies.
EDR (Endpoint Detection and Response) : surveille les endpoints (serveurs, postes) pour détecter les comportements suspects.
Combinaison recommandée (open source) :
- Wazuh : SIEM complet avec détection d’intrusion
- Osquery : interrogation SQL des endpoints
- Velociraptor : réponse aux incidents et forensics
- CrowdSec : protection collaborative contre les attaques
- Snort / Suricata : détection d’intrusion réseau (IDS)
Bonnes pratiques : les recommandations ANSSI
Section intitulée « Bonnes pratiques : les recommandations ANSSI »Pour les utilisateurs de services cloud
Section intitulée « Pour les utilisateurs de services cloud »L’ANSSI formule des recommandations claires dans son rapport 2025 :
-
Protéger les identités et les accès
- Activer le MFA sur tous les comptes, sans exception
- Supprimer les comptes inutilisés et les permissions excessives
- Utiliser des comptes de service distincts (pas de comptes personnels pour les applications)
- Auditer régulièrement les accès privilégiés
-
Chiffrer les données sensibles
- Chiffrement au repos (volumes, bases de données)
- Chiffrement en transit (TLS 1.3)
- Gestion des clés avec un service dédié (AWS KMS, HashiCorp Vault)
- Ne jamais stocker les clés dans le code
-
Cloisonner les environnements
- Séparer dev/staging/prod dans des comptes distincts
- Limiter les flux réseau (VPC, security groups)
- Pas de SSO entre environnements de production et hors-production
-
Superviser en continu
- Activer les journaux d’audit (CloudTrail, Azure Monitor, GCP Logging)
- Centraliser les logs dans un SIEM
- Configurer des alertes sur les événements critiques
- Conserver les logs suffisamment longtemps (min. 1 an)
-
Préparer la continuité d’activité
- Sauvegardes régulières, isolées et testées
- Plan de reprise d’activité (PRA) documenté et testé
- Procédures de réponse aux incidents
-
Choisir des offres qualifiées pour les données sensibles
- SecNumCloud pour les données critiques
- HDS pour les données de santé
- Évaluer les risques liés aux lois extraterritoriales
Le modèle Zero Trust
Section intitulée « Le modèle Zero Trust »Le Zero Trust (« ne jamais faire confiance, toujours vérifier ») est le paradigme de sécurité adapté au cloud :
| Principe | Application cloud |
|---|---|
| Vérifier explicitement | Authentifier chaque requête, même interne |
| Moindre privilège | Accès minimum nécessaire, durée limitée |
| Supposer la brèche | Segmenter, chiffrer, détecter |
Implémentation concrète :
- Authentification forte (MFA) sur toutes les ressources
- Autorisation basée sur le contexte (identité + device + localisation + comportement)
- Microsegmentation réseau
- Inspection du trafic Est-Ouest (pas seulement Nord-Sud)
- Chiffrement de bout en bout
Évaluer votre surface d’attaque
Section intitulée « Évaluer votre surface d’attaque »Checklist d’auto-évaluation
Section intitulée « Checklist d’auto-évaluation »Utilisez cette checklist pour évaluer rapidement votre posture de sécurité cloud :
| Question | Oui | Non |
|---|---|---|
| Le MFA est-il activé sur tous les comptes ? | ✓ | ✗ |
| Les permissions suivent-elles le principe du moindre privilège ? | ✓ | ✗ |
| Les données sensibles sont-elles chiffrées au repos ? | ✓ | ✗ |
| Les journaux d’audit sont-ils activés et centralisés ? | ✓ | ✗ |
| Les sauvegardes sont-elles isolées et testées ? | ✓ | ✗ |
| Un outil CSPM est-il déployé ? | ✓ | ✗ |
| Les environnements dev/prod sont-ils cloisonnés ? | ✓ | ✗ |
| Un plan de réponse aux incidents existe-t-il ? | ✓ | ✗ |
Interprétation :
- 8/8 ✓ : Bonne posture, maintenez la vigilance
- 5-7 ✓ : Des améliorations nécessaires, priorisez les points manquants
- < 5 ✓ : Risque élevé, action urgente requise
Par où commencer ?
Section intitulée « Par où commencer ? »Si vous partez de zéro, voici un ordre de priorité :
-
MFA partout (impact immédiat, effort faible)
-
Audit des permissions avec un outil CSPM
-
Chiffrement des données sensibles
-
Centralisation des logs dans un SIEM
-
Sauvegardes isolées et tests de restauration
À retenir
Section intitulée « À retenir »-
La sécurité cloud est une responsabilité partagée : le fournisseur sécurise l’infrastructure, vous sécurisez ce que vous y faites.
-
Les erreurs de configuration sont la première cause de compromission (31%), devant les vulnérabilités techniques.
-
51% des accès initiaux passent par des interfaces sans MFA ou avec des mots de passe faibles.
-
Les attaquants maîtrisent le cloud : des groupes spécialisés exploitent les spécificités de ces environnements.
-
Le cloud est utilisé comme arme : 58% des malwares sont hébergés sur des plateformes légitimes.
-
Commencez par un CSPM : Checkov ou Prowler donnent rapidement une vision de votre posture.
-
Zero Trust est le modèle adapté : vérifier explicitement, moindre privilège, supposer la brèche.
-
SecNumCloud pour les données sensibles : c’est la recommandation de l’ANSSI pour les données critiques.
Prochaines étapes
Section intitulée « Prochaines étapes »A venir …