La littérature sur la sécurité du cloud ne manque pas, et c'est au tour de l'agence nationale de la sécurité des systèmes d'information de livrer un rapport sur le sujet accompagné de ses recommandations. "L'ANSSI observe une augmentation des attaques contre les environnements cloud. Ces campagnes d'attaques, menées à des fins lucratives, d'espionnage et de déstabilisation, affectent les fournisseurs de services cloud, en partie ciblés pour les accès qu’ils peuvent offrir vers leurs clients", fait savoir l'agence. L'une des particularités du cloud est d'avoir une surface d'attaque particulièrement étendue avec des risques pouvant venir de nombreux endroits à la fois (portails web et API, OS, hyperviseurs et containers, erreurs de configuration ou permission excessive sur des serveurs de bases de données, stockage, réseau...).

"Malgré l’étendue et la diversité de ces vecteurs d’attaques, il apparaît que certaines techniques sont particulièrement récurrentes pour obtenir un accès initial sur des environnements cloud. Selon Google Cloud, en 2023, 51,1% des accès initiaux sur le cloud ont été obtenus suite à l’exploitation d’interface cloud sans mots de passe ou dotés d’un mot de passe faible, tandis qu’une étude de la société Thales pointe les erreurs humaines et les problèmes de configuration comme premiers responsables de compromissions sur le cloud entre 2023 et 2024 (31% des compromissions), suivis par l’exploitation de vulnérabilités (28% des compromissions)", explique dans son rapport l'ANSSI.

Une typologie d'attaques variées

Les fournisseurs et opérateurs cloud ainsi que les clients finaux recourant à des services cloud sont deux cibles distinctes mais sont visées par des attaques aux finalités identiques motivées tant à des fins lucratives, d'espionnage que de déstabilisation. "Les attaquants poursuivant des finalités lucratives ciblent les opérateurs de services cloud à des fins d’extorsion par rançongiciel mais également dans l’objectif d’accéder à des secrets d’authentification permettant de se latéraliser vers des systèmes d’information en aval", indique l'ANSSI. "Les attaques contre les clients de services cloud peuvent entraîner des compromissions de données sensibles, de l’extorsion via rançongiciel et des perturbations plus ou moins importantes de service. Les outils spécialisés en gestion des accès et des identités ainsi que les applications de messagerie et de travail collaboratif sont particulièrement ciblés."

DU côté des entreprises, l’émergence d’infrastructures hybrides (on-premise et cloud) a augmenté le nombre de vecteurs d’entrées et de latéralisation potentiels souligne l'agence, pointant notamment que des problèmes de configuration, entraînés par ces nouveaux types de SI, sont exploités par des groupes d’attaquants dont les compétences en matière d’intrusion cloud ont également augmenté. Parmi les autres risques affectant les clients de services cloud, on trouve l'espionnage avec une difficulté de taille pour les entreprises : "les attaquants s’emploient à rechercher la furtivité lors de leurs tentatives d’intrusion sur le cloud. L’utilisation de réseaux d’anonymisation et d’outils de tunnelisation de trafic disponibles en sources ouvertes, sont de nouveaux facteurs complexifiant la détection d’intrusion sur le cloud", assure l'ANSSI. Concernant les attaques à vocation de déstabilisation, l'agence a relevé sur l'année écoulée un nombre important d'opérateurs cloud ciblés par du déni de service ayant atteint des niveaux d'intensité toujours plus importants. Ce type d'attaques n'est pas l'apanage des fournisseurs, les entreprises sont également concernées avec des conséquences importantes à la clé : "une intrusion sur un environnement cloud octroie potentiellement à un attaquant un accès complet aux systèmes de l’entité compromise ; la poursuite d’objectifs de déstabilisation, en particulier via la suppression des données de l’environnement, peut donc s’avérer particulièrement dévastatrice pour l’entité ciblée", prévient l'agence.

Des recommandations à suivre

Comme à son habitude, l'ANSSI pousse de nombreuses recommandations aussi bien à destination des fournisseurs cloud que de leurs clients. Pour ces derniers, on retrouve aussi bien des mesures à prendre pour maitriser sa surface d'exposition (cloisonnement, audit d'exposition des services cloud...), assurer une continuité d'activité (PCA/PRA, sauvegardes sécurisées...), protéger les identités, accès et données (gestion des comptes à privilèges, politique de classification et de chiffrement des données, gestion des secrets...). Mais aussi superviser les actifs hébergés dans le cloud, détecter et évaluer les compromissions applicatives par supply chain, et investiguer les changements réalisés dans le cloud en cas d'incident de sécurité.