Rapport CERT-FR : Etat de la menace sur le cloud computing

Le 19 février 2025, l’ANSSI a publié un rapport sur l’état de la menace informatique dans le secteur du cloud. Cette utilisation de ressources informatiques (serveurs, stockage, bases de données, logiciels) permet aux entreprises de bénéficier de services évolutifs, sécurisés et flexibles via Internet, sans avoir à gérer une infrastructure physique. Cependant, cet usage implique des enjeux de cybersécurité et de gouvernance des données.

Le CERT-FR note une augmentation des attaques ciblant les environnements cloud et dont les principales motivations sont les suivantes :

  • Les motivations lucratives : les infrastructures cloud sont exploitées afin de déployer des rançongiciels ou exfiltrer des données sensibles. En 2023, le groupe Scattered Spider cité en exemple avait mené une attaque contre les casinos MGM à partir d’un seul point d’entrée dans un portail mal sécurisé.
  • Les motivations d’espionnage : les infrastructures cloud hébergent une grande quantité de données sensibles et constituent une cible de choix pour des unités dédiées à l’espionnage étatique et industriel. En 2023, le groupe Storm-0558, présumé lié à la République Populaire de Chine, est parvenu à compromettre plusieurs comptes de messagerie gouvernementaux aux USA.
  • Les motivations de déstabilisation : les attaques par déni de service de groupes hacktivistes connaissent une croissance exponentielle et peuvent rendre indisponibles des infrastructures stratégiques.

Les fournisseurs de services cloud (CSP) sont notamment visés en raison des accès qu'ils offrent à leurs clients. Les environnements hybrides, combinant infrastructures locales et cloud, augmentent la surface d'attaque et sont ciblés au même titre. Les attaquants exploitent également de nombreuses vulnérabilités dans des services de bordure à ces environnements, comme les VPN, qui agissent comme de véritables points d’entrée. Les mauvaises configurations et les défauts de sécurisation (permissions excessives, applications obsolètes) sont aussi activement recherchés et scrutés.

Outre l’exploitation des services cloud, la tendance observée la plus préoccupante est l’utilisation de ces services par les acteurs malveillants eux-mêmes. Cette utilisation leur permet d’héberger leurs infrastructures, codes et données exfiltrées, en dissimulant leur activité au sein du trafic légitime des plateformes.

Différents scénarii d’attaques sont déclinés au sein du rapport :

  • Les menaces ciblant les fournisseurs et opérateurs d’infrastructures cloud,
  • Les menaces ciblant les clients de services cloud,
  • Les menaces ciblant les applications de virtualisation et composants de gestion matérielle,
  • Le cloud comme infrastructure des attaquants.

Enfin, le CERT-FR fournit ses recommandations, aussi bien pour les fournisseurs de cloud que pour leurs clients, visant à mettre en place des mesures de sécurité actionnables et des bonnes pratiques. Cette série de recommandations précisent, en fonction du type de SI, de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier.