Cloud computing : l’ANSSI alerte sur l’explosion des cybermenaces et publie ses recommandations

Écrit par le , Modifié le

Le dernier rapport de l’ANSSI sur l’état de la menace dans le cloud est sans appel : les attaques se multiplient et se sophistiquent, ciblant autant les fournisseurs que leurs clients. Entre latéralisation, exploitation de failles de configuration et utilisation du cloud comme base d’attaque, jamais la surface d’exposition n’a été aussi large. Découvrez pourquoi votre stratégie cloud doit impérativement intégrer ces nouvelles menaces — avant qu’il ne soit trop tard.

Des attaques en forte hausse contre les environnements cloud

« Un jour en ligne, le lendemain en faillite. » C’est ainsi qu’on pourrait résumer le cas dramatique de CloudNordic, cet hébergeur danois qui a dû déposer le bilan après une cyberattaque dévastatrice ayant entraîné la perte totale des données de ses clients en 2023. Et ce cas est loin d’être isolé. Vous vous dites peut-être que cela n’arrive qu’aux autres ? Détrompez-vous.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) vient de tirer la sonnette d’alarme dans son rapport publié le 20 février 2025, pointant une augmentation significative des attaques contre les environnements cloud. Ce document, intitulé « Cloud computing – État de la menace informatique », dresse un constat alarmant : le cloud est désormais au cœur des stratégies des cybercriminels.

Les cibles ? À la fois les fournisseurs de services cloud (CSP) et leurs clients. Les motivations ? Lucratives (rançongiciels), d’espionnage ou de déstabilisation. Mais ce qui inquiète particulièrement l’ANSSI, c’est la montée en compétence des attaquants, désormais spécialisés dans les environnements cloud.

Des groupes spécialisés aux compétences avancées

L’ANSSI met en lumière l’émergence de groupes d’attaquants hautement spécialisés dans le ciblage des infrastructures cloud. Des noms comme Mango Sandstorm, Scattered Spider, Nobelium, Storm-0558 ou Storm-0501 reviennent régulièrement dans les incidents analysés.

Ces groupes ont développé des compétences spécifiques qui leur permettent de comprendre et d’exploiter les particularités des environnements cloud. Ils excellent notamment dans la latéralisation, cette technique consistant à rebondir d’un système à l’autre pour atteindre des cibles de plus en plus sensibles. Imaginez un cambrioleur qui entrerait par la cave d’un immeuble pour finalement accéder au coffre-fort du penthouse…

Le cas de Scattered Spider illustre parfaitement cette sophistication. En 2023, ce groupe a réussi à compromettre le géant MGM Casinos en chiffrant 100 hyperviseurs ESXi, causant des pertes quotidiennes estimées à 8,4 millions de dollars. Comment ? En exploitant habilement les failles de configuration entre les systèmes sur site et les environnements cloud.

Le facteur humain, première cause de compromission

Contrairement aux idées reçues, les vulnérabilités techniques ne sont pas la principale porte d’entrée des attaquants. Selon les données citées par l’ANSSI, les erreurs humaines et les problèmes de configuration représentent 31% des compromissions cloud, contre 28% pour l’exploitation de vulnérabilités.

Plus frappant encore, Google Cloud rapporte que 51,1% des accès initiaux sur le cloud en 2023 ont été obtenus suite à l’exploitation d’interfaces sans mot de passe ou dotées d’un mot de passe faible.

Le cas d’Okta, spécialiste de la gestion des identités, est emblématique. En 2022, le groupe Lapsus$ a compromis cette entreprise en affectant 366 de ses clients. Rebelote entre septembre et octobre 2023, lorsqu’un attaquant a accédé au système d’assistance client, volant des jetons de session de 134 clients. Un scénario cauchemardesque que personne ne souhaite vivre, n’est-ce pas ?

Le cloud comme infrastructure d’attaque

L’une des tendances les plus préoccupantes identifiées par l’ANSSI est l’utilisation croissante du cloud comme infrastructure d’attaque. Les cybercriminels ne se contentent plus de cibler le cloud : ils l’utilisent activement pour mener leurs opérations malveillantes.

Cette stratégie prend deux formes principales :

  • La location d’infrastructures chez des opérateurs cloud pour lancer des attaques
  • L’utilisation de plateformes grand public (comme OneDrive ou Google Drive) comme lieu de stockage de malwares ou d’exfiltration de données volées

Selon Netskope, en mars 2023, 58% des codes malveillants observés provenaient d’applications cloud légitimes. Les groupes nord-coréens Kimsuky et StarCruft utilisent régulièrement les services OneDrive et Google Drive comme infrastructures de commande et contrôle (C2).

Cette approche complique considérablement le travail des défenseurs, car les activités malveillantes se dissimulent au sein du trafic légitime des utilisateurs de ces plateformes. C’est un peu comme chercher une aiguille dans une botte de foin… sauf que l’aiguille se déplace et change constamment d’apparence !

Des responsabilités partagées mais souvent mal comprises

L’un des points cruciaux soulevés par l’ANSSI concerne la répartition des responsabilités en matière de sécurité cloud. Contrairement à une idée répandue, le passage au cloud ne dispense pas les organisations de leurs obligations de sécurité.

En fonction du modèle de service adopté (IaaS, PaaS ou SaaS), les responsabilités sont partagées différemment entre le fournisseur et le client. Mais dans tous les cas, la sécurité des données reste la responsabilité du client.

Ce partage des responsabilités est souvent mal compris, ce qui crée des zones grises propices aux erreurs de configuration. L’ANSSI note que la multiplicité des interfaces et des fournisseurs rend ces erreurs plus fréquentes, ouvrant autant de brèches potentielles pour les attaquants. Souvenez-vous : migrer vers le cloud, c’est déléguer l’infrastructure, pas la responsabilité de vos données !

Les recommandations de l’ANSSI pour les fournisseurs et les clients

Face à ces menaces, l’ANSSI formule des recommandations précises tant pour les fournisseurs de services cloud que pour leurs clients.

Pour les fournisseurs de cloud

  • Mettre en œuvre les mesures d’hygiène informatique de base
  • Appliquer les bonnes pratiques de développement sécurisé
  • Cartographier et limiter la surface exposée des services
  • Cloisonner le système de gestion de l’infrastructure
  • Sécuriser les postes des développeurs
  • S’approcher du référentiel SecNumCloud
  • Réaliser régulièrement des sauvegardes sécurisées
  • Mettre en place des mécanismes anti-DDoS et anti-destruction

Pour les clients de services cloud

  • Assurer une politique de cloisonnement entre les systèmes
  • Auditer l’exposition des services cloud
  • Mettre en place un plan de continuité et de reprise d’activité (PCA/PRA)
  • Privilégier les offres SecNumCloud pour les activités sensibles
  • Chiffrer les données sensibles
  • Protéger les identités et les accès (authentification multifacteur, gestion des comptes à privilèges)
  • Superviser en continu les actifs hébergés dans le cloud

SecNumCloud : la réponse française aux enjeux de souveraineté

L’ANSSI insiste particulièrement sur l’importance du référentiel SecNumCloud pour les activités sensibles. Ce label français garantit un niveau élevé d’exigence en matière de sécurité, tant sur le plan technique qu’opérationnel et juridique.

Les principaux avantages de SecNumCloud incluent :

  • Un cloisonnement renforcé entre les clients
  • Des garanties contre les lois extraterritoriales
  • Une protection accrue des moyens d’accès
  • Un chiffrement systématique des données clients

Pour l’agence, ce référentiel représente une réponse concrète aux enjeux de souveraineté numérique, particulièrement dans un contexte où les lois comme le Cloud Act américain peuvent compromettre la confidentialité des données hébergées à l’étranger.

L’hybridation, un nouveau défi de sécurité

L’émergence d’infrastructures hybrides, combinant systèmes sur site (on-premise) et cloud, constitue un défi majeur pour la cybersécurité. Ces environnements complexes multiplient les vecteurs d’entrée et les possibilités de latéralisation pour les attaquants.

L’ANSSI observe une augmentation des tentatives de passage du on-premise vers le cloud et vice-versa. Cette porosité entre les deux mondes exige une approche de sécurité globale et cohérente, avec une attention particulière aux points de jonction. Avez-vous déjà cartographié ces zones de transition dans votre propre infrastructure ?

Comment adapter votre stratégie cloud face à ces menaces

À la lumière de ce rapport, plusieurs axes stratégiques s’imposent pour les organisations utilisant le cloud :

  1. Repenser la gouvernance : clarifier les responsabilités entre équipes IT, métiers et fournisseurs cloud pour éviter les angles morts de sécurité.
  2. Investir dans la formation : puisque l’erreur humaine reste la première cause de compromission, la sensibilisation et la formation des équipes devient cruciale.
  3. Cartographier l’ensemble des ressources cloud : maintenir un inventaire à jour de toutes les ressources cloud, y compris les « API fantômes » souvent oubliées.
  4. Mettre en place une surveillance continue : déployer des solutions de détection spécifiquement conçues pour les environnements cloud.
  5. Penser résilience : développer des plans de continuité adaptés aux spécificités du cloud, avec des sauvegardes indépendantes et régulièrement testées.
  6. Évaluer la pertinence de SecNumCloud : pour les données sensibles, considérer sérieusement les offres labellisées par l’ANSSI.

Conclusion : le cloud, une opportunité qui exige vigilance

Le cloud computing reste un formidable levier de transformation numérique pour les organisations. Mais comme le souligne l’ANSSI, cette opportunité s’accompagne de risques spécifiques qui doivent être correctement évalués et traités.

La menace sur le cloud n’a jamais été aussi forte et sophistiquée qu’en 2025. Face à des attaquants qui maîtrisent parfaitement ces environnements, organisations et fournisseurs doivent repenser leur approche de la sécurité en tenant compte des spécificités du cloud.

Chez Digitemis, nous accompagnons les entreprises dans la sécurisation de leurs environnements cloud, avec une expertise particulière sur l’analyse des risques, la mise en conformité avec les référentiels comme SecNumCloud et l’audit des configurations. Notre approche combine expertise technique et compréhension des enjeux métiers pour une sécurité cloud adaptée à vos besoins spécifiques.

Contactez nos experts en sécurité cloud pour évaluer votre exposition aux risques et mettre en place une stratégie de protection adaptée à votre contexte.

Je partage

Derniers articles

Logo Digitemis

Responsable d’activité en cybersécurité H/F

Entreprise Chez DIGITEMIS, nous avons un objectif : transformer la cybersécurité et la protection des données personnelles en une priorité stratégique pour toutes les entreprises. Grâce à notre équipe d’experts passionnés, nous permettons à nos clients de prendre le contrôle de leur sécurité numérique. Lauréats du Pass French Tech, qualifiés PASSI par l’ANSSI et labellisés CNIL, […]

Lire l'article

Comment la CNIL redessine la protection des données à l’échelle mondiale : stratégie 2025–2028

Face à la transformation numérique mondiale, la CNIL déploie une stratégie 2025–2028 ambitieuse. Objectif : fluidifier la coopération européenne, renforcer les standards internationaux de protection des données et affirmer une régulation équilibrée entre innovation et droits fondamentaux.

Lire l'article