Parce que… c’est l’épisode 0x582!

Shameless plug

• 10 au 18 mai 2025 - NorthSec
• 03 au 05 juin 2025 - Infosecurity Europe
• 27 et 29 juin 2025 - LeHACK
• 12 au 17 octobre 2025 - Objective by the sea v8
• 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
• 17 au 20 novembre 2025 - European Cyber Week
• 25 et 26 février 2026 - SéQCure 2026

Description

Ce podcast aborde les défis de sécurité liés à la migration vers l’infonuagique (cloud computing) et les incidents qui en découlent. Cédric Thibault, expert en sécurité cloud chez KPMG, partage son expertise sur les tendances actuelles en matière de cyberattaques ciblant les environnements cloud.

Tendances des incidents infonuagiques

L’augmentation des incidents de sécurité dans l’infonuagique suit logiquement la migration massive des charges de travail vers ces environnements. Selon les statistiques partagées :

• 45% des brèches de données sont désormais liées aux environnements infonuagiques (2024)
• Environ 80% des entreprises ont subi une violation de données dans le cloud au cours des 18 derniers mois
• Les applications SaaS représentent 31% des incidents recensés

Cette tendance s’explique par le fait que les données et les charges de travail se sont massivement déplacées vers le cloud, notamment accélérées par la période de confinement, attirant naturellement l’attention des attaquants.

Le modèle de responsabilité partagée mal compris

Un des problèmes majeurs identifiés est la mauvaise compréhension du modèle de responsabilité partagée. De nombreuses organisations migrent vers le cloud pour des raisons de sécurité mais oublient que les fournisseurs cloud ne sécurisent que leur infrastructure et non ce que les clients y déploient.

Cette confusion est particulièrement prononcée pour les services SaaS où les clients pensent, à tort, que toute la sécurité est prise en charge par le fournisseur. Cédric compare les outils de sécurité cloud à une “boîte à outils” mise à disposition, qui reste inutile si personne ne s’en sert correctement.

Principaux vecteurs d’attaque observés

1. Compromission des identités

L’identité est devenue la nouvelle frontière de sécurité dans le cloud, remplaçant les pare-feu traditionnels. Les problèmes majeurs incluent :

• Surabondance de privilèges (95% des permissions attribuées ne sont jamais utilisées)
• Utilisation de politiques gérées trop permissives
• Équipes de gestion des identités et accès (GIA) mal outillées et formées pour ce nouveau paradigme

Un exemple concret partagé : un client utilisant uniquement M365 s’est fait compromettre via un compte disposant de permissions pour créer des souscriptions Azure, permettant à l’attaquant de déployer des ressources pour du crypto-mining.

2. Erreurs de configuration

Les erreurs de configuration, notamment des stockages cloud (buckets S3, blobs, etc.), restent un vecteur d’attaque important :

• Exposition accidentelle de données sensibles
• Manque de contrôles pour vérifier la sensibilité des données stockées
• Confiance excessive dans le tagging manuel sans vérification automatisée

3. Serveurs exposés et vulnérables

Les serveurs exposés avec des authentifications faibles permettent aux attaquants d’accéder à la couche de gestion cloud, notamment via :

• Serveurs RDP avec mots de passe faibles accessibles depuis Internet
• Identités associées aux serveurs avec trop de privilèges

4. Attaques sur les pipelines CI/CD

Un vecteur émergent concerne les attaques ciblant les pipelines d’intégration et déploiement continus :

• Compromission des identités des développeurs
• Insertion de code malveillant dans les pipelines
• Déploiement d’images de conteneurs compromises
• Persistance garantie via les mécanismes de redémarrage automatique

Exploitation par les attaquants

Les attaquants profitent pleinement des avantages du cloud :

• Automatisation massive (scripts de déploiement multi-régions)
• Cryptomining à grande échelle (déploiement de centaines de conteneurs simultanément)
• Améliorations des techniques de phishing grâce à l’IA générative
• Simplicité d’utilisation des API de gestion cloud pour le mouvement latéral

Recommandations

Cédric suggère plusieurs approches pour améliorer la sécurité :

• Mieux comprendre et appliquer le modèle de responsabilité partagée
• Renforcer la gestion des identités et des privilèges
• Implémenter des mécanismes de découverte automatisée de données sensibles
• Sécuriser les pipelines CI/CD avec des processus de validation rigoureux
• Automatiser la détection et la réponse aux incidents
• Développer une véritable culture de sécurité des données

Cette transition vers le cloud nécessite un changement culturel et une évolution des pratiques de sécurité, au-delà des simples outils techniques.

Notes

• Cédric Thibault

Collaborateurs

• Nicolas-Loïc Fortin
• Cédric Thibault

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: incident, infonuagique, seqcure