Rapport publié par l’ANSSI le 20 février 2025
Le cloud computing constitue aujourd’hui une composante essentielle des infrastructures numériques modernes, offrant flexibilité, évolutivité et optimisation des coûts. Toutefois, le recours au cloud computing soulève des enjeux majeurs en matière de cybersécurité notamment en raison de la complexité accrue des environnements cloud, de l’hybridation entre ces derniers et les systèmes d’information (SI) locaux, ainsi que, dans certains cas, de la dépendance envers les fournisseurs de services cloud.
Dans ce contexte, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) vient de publier un rapport dressant un état des lieux des principales menaces pesant sur les infrastructures cloud, et proposant des recommandations concrètes à l’attention des fournisseurs de services et de leurs clients.
Etat des lieux des menaces
Le rapport de l’ANSSI met en évidence le fait que tous les acteurs de l’écosystème cloud sont exposés aux cybermenaces, qu’il s’agisse des fournisseurs de services ou de leurs clients.
De nombreux exemples réels d’attaques sont décrits par l’ANSSI appartenant à trois principales catégories :
- Les attaques à des fins lucratives : les cybercriminels peuvent exploiter les vulnérabilités des infrastructures cloud pour déployer des rançongiciels ou voler des données sensibles à des fins de revente ou d’extorsion. Par exemple, en 2023, le groupe Scattered Spider a démontré à quel point un seul accès vulnérable peut compromettre toute une infrastructure cloud en réussissant à s’infiltrer via un simple portail client mal sécurisé, pour ensuite déployer son rançongiciel.
- Les attaques à des fins d’espionnage : les infrastructures cloud hébergent des données stratégiques pour de nombreuses organisations, notamment gouvernementales. À ce titre, elles constituent des cibles de choix pour l’espionnage industriel et étatique. L’ANSSI cite notamment l’attaque du groupe Storm-0558, associé à la Chine, qui aurait compromis en 2023 plusieurs comptes de messagerie gouvernementaux américains.
- Les attaques à des fins de déstabilisation : les attaques par déni de service (DDoS) connaissent une croissance exponentielle en intensité et en fréquence, rendant indisponibles des services critiques et impactant des infrastructures stratégiques.
L’ANSSI détaille également les scénarios d’attaques visant les applications de virtualisation et les composants de gestion matérielle, qui sont des éléments critiques de l’infrastructure cloud.
Enfin, l’ANSSI met en lumière une menace grandissante : l’exploitation du cloud par les cybercriminels eux-mêmes. Ces derniers utilisent les ressources cloud pour héberger des infrastructures malveillantes, piloter des campagnes de phishing ou encore orchestrer des attaques DDoS.
Recommandations de l’ANSSI
Face à ces risques, l’ANSSI dresse une liste de 36 recommandations dont la moitié s’adresse aux fournisseurs de services cloud et l’autre à leurs clients. Parmi ces recommandations, il peut notamment être souligné s’agissant des clients des services cloud :
- L’application des 42 mesures du guide d’hygiène de l’ANSSI, qui constituent le socle fondamental en matière de sécurité des systèmes d’information.
- La mise en place de politiques de cloisonnement entre les systèmes hébergés dans le cloud et les SI locaux, afin de limiter la propagation des attaques.
- La définition d’une stratégie de continuité et de reprise d’activité, qui devrait être documentée, ainsi que l’application de certaines bonnes pratiques en matière de prévention des attaques DDoS.
- Le renforcement de la gestion des identités et des accès, en appliquant des principes de sécurité éprouvés tels que l’authentification multi-facteur et le principe du moindre privilège.
- La surveillance et l’évaluation continues des risques, ainsi qu’une investigation approfondie des incidents de sécurité pour améliorer la détection et la réponse aux menaces.
L’ANSSI insiste également sur le rôle des fournisseurs : ils doivent proposer à leurs clients des infrastructures et des outils leur permettant de mettre en œuvre leurs propres mesures de sécurité (en tenant compte des recommandations de l’ANSSI). L’autorité met également en avant son label SecNumCloud, qui représente le plus haut niveau de certification en France pour les services cloud.
Les conséquences d’une cyberattaque peuvent être multiples et particulièrement lourdes : pertes financières, atteinte à la réputation, mais également engagement de la responsabilité en raison de violations des obligations réglementaires, en constante évolution (RGPD, NIS2, DORA, etc.). Ce rapport souligne l’impératif d’une adaptation continue des mesures de sécurité aux nouvelles architectures des systèmes d’information ainsi qu’à l’évolution des menaces. Il devrait constituer une ressource utile pour l’ensemble des acteurs du cloud, qu’il s’agisse des entreprises utilisatrices ou des fournisseurs de services.
