Cloud
Failles, ransomwares, espionnage : pourquoi l’ANSSI s’inquiète pour le cloud en 2025
Par Thierry Derouet, publié le 24 février 2025
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) vient de publier son état de la menace informatique sur le cloud computing. Cette nouvelle édition, attendue comme le lait sur le feu, dresse un tableau inquiétant : l’augmentation des cyberattaques ciblant les infrastructures cloud et la sophistication croissante des modes opératoires des attaquants.
Imaginez une entreprise qui, du jour au lendemain, voit l’ensemble de ses serveurs cloud chiffrés, ses sauvegardes anéanties et ses opérations mises à l’arrêt. C’est exactement ce qui est arrivé à CloudNordic, hébergeur danois qui, en août 2023, a subi une attaque si dévastatrice qu’elle a entraîné la perte totale des données de ses clients, précipitant la société dans la faillite. Le cloud, tant vanté pour sa résilience et sa flexibilité, peut se transformer en piège lorsqu’il est mal sécurisé.
Un état des lieux sans concession
C’est dans ce contexte que l’ANSSI publie sa nouvelle étude sur l’état de la menace informatique visant le cloud computing. Le diagnostic est sans appel : l’externalisation croissante des données attire la convoitise des cybercriminels, qui ciblent désormais autant les fournisseurs de services cloud que leurs utilisateurs, avec des modes opératoires d’une redoutable efficacité.
Le rapport rappelle que ces campagnes d’espionnage sont facilitées par des vulnérabilités zéro-day ou par la simple négligence. L’ANSSI indique d’ailleurs que 31 % des compromissions cloud sont liées à des problèmes de configuration et des maladresses humaines, un constat renforcé par le fait que 51,1 % des accès initiaux proviendraient de comptes sans mot de passe ou trop faibles. Viennent ensuite les vulnérabilités logicielles (28 %). Il n’est donc guère surprenant que 44 % des organisations aient déjà subi une fuite de données dans le cloud. Les fameux services de confiance comme OneDrive ou Google Drive offrent également une couverture idéale pour héberger des malwares, tandis que les flux, mêlés au trafic légitime, passent sous les radars.
La liste des incidents rapportés au fil du document a de quoi donner le vertige. Des attaques par rançongiciels chiffrent des fermes de serveurs entières pour mieux exiger des rançons gigantesques ; des campagnes d’espionnage s’immiscent dans la moindre faille de configuration pour récolter des trésors de données confidentielles ; des opérations de déstabilisation paralysent infrastructures et plateformes sensibles, faisant du cloud un champ de bataille à part entière.
Le cloud, l’allié involontaire des hackers
L’ANSSI décrit aussi la façon dont le cloud, censé simplifier la vie des DSI, devient l’allié involontaire des hackers. Certains en profitent pour se déplacer discrètement entre les différents pans des systèmes d’information grâce aux passerelles hybrides combinant le on-premise et le cloud. D’autres utilisent le nuage comme base arrière, hébergeant sur des services légitimes (GitHub, Google Drive, OneDrive) leurs malwares et leurs outils de commande, camouflant ainsi leurs agissements au milieu d’un trafic de confiance.
L’étude ne se limite pas à l’énoncé des risques. Elle rappelle combien la responsabilité est partagée : un opérateur de cloud doit garantir un haut niveau de cloisonnement et de supervision, mais l’entreprise cliente conserve la maîtrise de la configuration et de la sécurisation de ses données. L’ANSSI recommande de renforcer la surveillance des accès, d’activer l’authentification multifacteur et d’auditer minutieusement l’exposition des ressources. Elle pointe enfin les enjeux liés aux lois extraterritoriales. Les données hébergées à l’étranger, explique-t-elle, peuvent être soumises à des réglementations invasives, comme le Cloud Act américain ou la loi chinoise sur le renseignement.
Les failles humaines, premier vecteur d’intrusion
Pour autant, la quête de souveraineté ou de certifications telles que SecNumCloud n’est pas une garantie absolue. Les failles humaines demeurent le premier vecteur d’intrusion. Okta, spécialiste de la gestion des identités, en a fait les frais lorsqu’un hacker a usurpé l’identité d’un technicien pour accéder à des comptes clients. Les répercussions ont touché en cascade des entreprises de toutes tailles, illustrant combien la sécurité d’un écosystème se juge aussi par son maillon le plus vulnérable.
Si l’édition 2024 de ce rapport sonnait déjà l’alarme sur l’exploitation de failles d’hyperviseurs ou de mauvaises configurations, la version 2025 met en relief l’accélération et la professionnalisation des attaquants. L’ANSSI souligne la nécessité impérieuse de mettre en place une vision plus globale de la sécurité, qui inclut la mise à jour régulière des équipements, l’activation des journaux de détection, l’anticipation des crises au travers de plans de continuité ou de reprise d’activité, ainsi que la sensibilisation de toutes les équipes à l’ampleur de la menace.
Un signal adressé aux dirigeants
En filigrane, cette étude se veut aussi un signal adressé aux dirigeants, trop souvent tentés de croire que le passage au cloud les dispense des contraintes de cybersécurité. Les chiffres, les exemples et les citations relatés montrent au contraire qu’« une des tendances grandissantes identifiées par l’ANSSI est l’utilisation du cloud comme infrastructure d’attaque », ce qui devrait faire réfléchir toute organisation qui confie ses données et ses traitements à distance. Les pirates ne se contentent plus de frapper : ils investissent les nuages, s’approprient les mêmes ressources que les entreprises et s’abritent derrière la confiance que l’on accorde aux grands hébergeurs.
Si cette édition 2025 s’avère plus exhaustive et plus alarmiste que la précédente, c’est surtout parce que l’ANSSI a recueilli de nombreux retours d’incidents qui démontrent une nette hausse tant sur le plan quantitatif que qualitatif. Le cloud est devenu un catalyseur de la transformation numérique, et, avec lui, un catalyseur de la menace.
À LIRE AUSSI :
5 questions posées à David Chassan d’Outscale, une marque de Dassault Systèmes
Comment aborder la gestion des vulnérabilités dans une mécanique de responsabilité partagée ?
“Chez Outscale, nous fournissons à nos clients une matrice de responsabilités dès leur onboarding. Celle-ci définit clairement les obligations de chaque partie. Notre rôle en tant que cloud provider est de garantir une infrastructure sécurisée (serveurs, protections DDoS, mises à jour, architecture résiliente). De leur côté, les clients doivent assurer la sécurisation de leurs propres applications et données (choix des logiciels, paramétrage des firewalls, accès VPN, gestion des accès). »
Quels sont les vecteurs d’attaque les plus critiques à surveiller ?
« Parmi les vecteurs les plus courants, on retrouve des Virtual Private Cloud mal configurés, exposant des machines directement sur Internet, des identifiants faibles ou compromis et des API non sécurisées facilitant l’exfiltration de données. Nous avons observé une recrudescence des attaques DDoS, en particulier pendant la période du COVID-19, lorsque nous hébergions la plateforme TousAntiCovid. Ces attaques ont été contenues grâce à des systèmes de mitigation performants. Cela illustre bien le fait que, si le cloud n’est pas toujours la cible directe, les attaquants visent avant tout les clients qui y stockent leurs données.»
Quelles stratégies de résilience et de continuité d’activité (PCA/PRA) recommandez-vous ?
« Contrairement à l’hébergement traditionnel, une infrastructure cloud repose sur des régions et des zones de disponibilité (‘Availability Zones’ – AZs). Chez Outscale, nous avons trois AZs par région cloud, garantissant une résilience et une tolérance aux pannes accrues. L’un des avantages du cloud est justement de proposer ces mécanismes de haute disponibilité en natif. Il est donc essentiel que les entreprises exploitent ces fonctionnalités et ne raisonnent plus en mode hébergement classique. »
Face à l’essor des cyberattaques (destruction de données, espionnage ciblé, etc.), comment organiser la défense en profondeur ?
« La maturité en cybersécurité passe par des standards exigeants. C’est tout l’enjeu de SecNumCloud, qui ne se limite pas à une certification, mais correspond à une véritable qualification avec des audits rigoureux. L’ANSSI impose des mesures strictes, notamment une administration isolée, non accessible via Internet, un contrôle RH des administrateurs système, évitant toute exposition à des lois extraterritoriales (Cloud Act, FISA, Patriot Act), et un audit régulier, garantissant la conformité continue aux bonnes pratiques de cybersécurité.
Peut-on réellement faire confiance aux solutions hyperscalers basées sur des technologies américaines (Azure, AWS, Google) même si elles sont implantées en France ?
« Le débat sur la souveraineté est central. L’ANSSI qualifie des acteurs sur la base de critères objectifs, mais il revient aux DSI de faire preuve de discernement.
Certains acteurs, comme Microsoft Azure, via Blue ou Google via S3NS, tentent d’obtenir une qualification SecNumCloud, mais la question de l’indépendance reste posée. Si l’infrastructure repose sur des technologies étrangères, il y a un risque de dépendance, que ce soit au niveau légal ou technologique (hausse des coûts, restrictions d’usage). La souveraineté ne se décrète pas, elle se construit avec des choix technologiques cohérents et des engagements clairs. »
Quand les États trop curieux explorent les nuages
Chine, Russie, Iran : voilà les trois puissances que l’ANSSI pointe du doigt, tant leurs groupes d’attaquants se montrent voraces dès lors qu’il s’agit d’explorer les moindres recoins du cloud.
L’édition 2025 du rapport met en évidence deux affaires. La première concerne Storm-0558, un groupe affilié aux intérêts chinois, qui est accusé d’avoir exfiltré 500 boîtes courriel Microsoft Exchange Online. L’autre est Nobelium, lié aux services secrets russes, connu pour ses attaques de type « password-spraying » visant à compromettre des comptes administrateurs. L’Iran, via Mango Sandstorm, se livre quant à lui à des actions plus agressives encore, n’hésitant pas à détruire entièrement des environnements virtuels.
Leur terrain de chasse favori reste celui des grandes entreprises et des institutions gouvernementales, où circulent des informations stratégiques leur permettant d’influer sur des décisions économiques, diplomatiques ou militaires. Les entreprises de la tech, notamment celles gérant des infrastructures cloud ou des solutions d’authentification, constituent des cibles de choix. Dans la plupart des cas, l’espionnage demeure l’objectif premier : collecter des rapports sensibles, surveiller les courriels échangés, décrypter les secrets d’une recherche-développement. Mais l’ANSSI met aussi en garde contre le prépositionnement, où les attaquants s’installent dans l’ombre pour mieux déclencher, le moment venu, un sabotage ou un chantage au grand jour.
Ce désir étatique de fouiller dans le cloud ne se cantonne pas au vol d’informations : certaines offensives visent la destruction pure et simple de fermes virtuelles ou de référentiels de données, créant un effet de panique chez les victimes et un climat d’instabilité plus large. Les 44 % d’organisations ayant déjà subi une fuite de données dans le cloud montrent qu’aucune n’est véritablement à l’abri, surtout lorsque les configurations hybrides offrent des chemins de latéralisation depuis l’on-premise vers les ressources hébergées.
Dans ce jeu discret de la haute technologie, nul ne saurait ignorer le péril que représentent ces États trop curieux. L’ANSSI recommande à chacun d’analyser et de sécuriser ses dépendances au cloud, car un identifiant mal protégé peut parfois servir les ambitions géopolitiques d’une puissance prête à exploiter les failles pour avancer ses pions.
À LIRE AUSSI :
