L'étape Posture cloud & infrastructure (IaaS / conteneurs) de la chaîne logicielle regroupe 17 vecteurs d'attaque, ancrés dans MITRE ATT&CK Cloud & Containers. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.
Persistance par ajout d'identifiants / rôles / comptes cloud
Abus d'élévation temporaire (JIT)
Vol de données dans le stockage cloud
Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.
Vecteurs d'attaque
Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.
V-CLD-1Persistance par ajout d'identifiants / rôles / comptes cloud
L'attaquant crée des identifiants, rôles ou comptes cloud supplémentaires pour conserver un accès durable, même après remédiation de l'intrusion initiale (ATT&CK T1098). La persistance s'ancre dans l'IAM du tenant.
V-CLD-2Abus d'élévation temporaire (JIT)
Un mécanisme d'élévation juste-à-temps (JIT) est détourné pour obtenir des privilèges au-delà du besoin, le temps d'agir. La commodité du JIT devient un chemin d'élévation (ATT&CK T1548.005).
V-CLD-3Vol de données dans le stockage cloud
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530).
V-CLD-4Exfiltration vers un compte cloud attaquant
Les données sont copiées vers un compte ou abonnement cloud contrôlé par l'attaquant, contournant les contrôles de sortie classiques. L'exfiltration reste interne au cloud, difficile à repérer (ATT&CK T1537).
V-CLD-5Snapshot / clone pour exfiltration
L'attaquant crée un instantané ou clone d'un disque, d'une base ou d'une image et le partage vers son compte pour en extraire les données. La fonctionnalité de sauvegarde sert de canal d'exfiltration (ATT&CK T1578.001).
V-CLD-6Vol de secrets dans le coffre cloud
Les secrets stockés dans un coffre cloud (Secrets Manager, Key Vault) sont lus grâce à des droits excessifs ou un rôle compromis. Le coffre concentre la valeur : un accès indu y donne les clés du royaume (ATT&CK T1555.006).
V-CLD-7Désactivation / altération de la journalisation cloud
L'attaquant désactive ou altère la journalisation (CloudTrail, Audit Logs) pour effacer ses traces et aveugler la détection. La perte de journaux compromet l'investigation et la preuve (ATT&CK T1562).
V-CLD-8Contournement / désactivation du MFA
Le MFA est contourné ou désactivé (enregistrement d'un facteur attaquant, exceptions) pour pérenniser un accès aux comptes. L'authentification forte annulée rouvre les comptes (ATT&CK T1556.006).
V-CLD-9Détournement de ressources (cryptominage)
L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496).
V-CLD-10Rançongiciel cloud (destruction / chiffrement)
Données et sauvegardes cloud sont chiffrées ou détruites pour extorsion ou sabotage, en exploitant des droits étendus sur le stockage et les clés. La résilience (sauvegardes immuables hors périmètre) conditionne la survie (ATT&CK T1486 / T1490).
V-CLD-11Régions cloud inutilisées pour évasion
L'attaquant opère dans des régions cloud non utilisées ni surveillées par l'organisation pour échapper à la détection. Les angles morts géographiques deviennent une base arrière (ATT&CK T1535).
V-CLD-12Modification de l'infrastructure compute
L'attaquant modifie la configuration du compute (images, instances, groupes) pour persister ou affaiblir la posture. L'infrastructure mutable devient un point d'ancrage (ATT&CK T1578).
V-CLD-13Déploiement de conteneur malveillant
Un conteneur malveillant est déployé dans le cluster ou le service cloud pour exécuter du code dans le périmètre de confiance. Les droits de déploiement détournés introduisent la charge (ATT&CK T1610).
V-CLD-14Évasion de conteneur vers l'hôte (K8s)
Un conteneur exploite une mauvaise configuration ou une faille pour s'échapper vers le nœud hôte du cluster et atteindre d'autres charges. Le cloisonnement du cluster est rompu (ATT&CK T1611).
V-CLD-15Commande d'administration de conteneur (exec)
L'attaquant utilise les API d'administration (kubectl exec, équivalents) pour exécuter des commandes dans des conteneurs en place. Les droits d'exec mal restreints donnent un accès direct aux charges (ATT&CK T1609).
V-CLD-16Mouvement latéral cluster → cloud
Depuis un cluster Kubernetes, l'attaquant pivote vers le plan cloud sous-jacent via l'IMDS ou des identités de nœud, étendant l'accès au tenant. La frontière cluster / cloud est un chemin d'escalade (OWASP K08, ATT&CK T1552.005).
V-CLD-17Accès légal extraterritorial (réquisition par une autorité étrangère)
Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond.