La migration vers le cloud et l’adoption rapide de l’intelligence artificielle transforment les entreprises en apportant des gains visibles en termes de rapidité et d’efficacité. Cependant, cette même dynamique augmente la surface d’attaque et sophistique les cybercriminels : ils combinent outils innovants et tactiques anciennes pour exploiter la porte dérobée, se déplacer latéralement et provoquer des perturbations coûteuses pour les opérations et la réputation. La question essentielle n’est plus de savoir s’il y aura un incident, mais si l’organisation sera capable de le absorber et de continuer à fonctionner. Selon le rapport « Cybermenaces dans le cloud : stratégies face à la disruption numérique », la clé est d’intégrer la gestion du risque dès la conception, plutôt que de l’ajouter en dernier recours comme un simple correctif.
Trois idées clés pour comprendre la problématique
1) Efficacité à double tranchant. Le cloud et l’IA permettent de faire plus avec moins, mais ils concentrent aussi des actifs précieux et des identifiants dans des plateformes exposées à Internet par défaut. Plus la concentration et la connectivité augmentent, plus l’attractivité pour les attaquants croît.
2) Des adversaires en constante évolution. Les groupes de ransomware, les entités soutenues par des États et la fraude d’entreprise ont modernisé leur arsenal : ils utilisent l’ingénierie sociale assistée par l’IA, les deepfakes et les kits d’attaques intermédiaires. Ils maintiennent cependant ce qui fonctionne, comme le phishing, la mauvaise gestion des identifiants ou l’exploitation de configurations faibles.
3) Résilience conçue dès la base. La continuité d’activité ne se certifie pas, elle se construit. Des identités robustes, la segmentation, le chiffrement avec une gestion de clés adéquate, une télémétrie pertinente, des sauvegardes immuables et des plans de crise régulièrement testés sont des fondamentaux, pas des options.
Cloud et IA : efficacité à prix d’exposition
Le déplacement massif de charges et données vers des cloud publics, privés ou hybrides n’est pas sans friction : il modifie le profil des menaces. Près de la moitié des données d’entreprise hébergées en cloud sont sensibles, et la messagerie d’entreprise via SaaS reste une voie privilégiée pour les campagnes de compromission de comptes (BEC). D’un autre côté, l’IA générative réduit les coûts, rendant plus rapides la détection et la riposte pour la défense, tout en permettant aux attaquants de produire des campagnes de phishing sur-mesure, des imitacions vocales et d’images plus convaincantes, ainsi que des scripts de malware plus adaptables. La conséquence : une courbe d’incidents en hausse, avec surtout une augmentation des attaques aboutissant à des interruptions opérationnelles.
Ransomware + phishing : la double vulnérabilité du modèle cloud
Le ransomware a affiné son modèle économique : il ne se limite pas au chiffrement, il exfiltre aussi les données et menace de leur publication. Il exploite également volontiers le cloud pour augmenter son impact. Par ailleurs, le phishing demeure le vecteur le plus rentable, notamment avec la variante Adversary-in-the-Middle (AITM) qui vole des tokens de session et contourne la MFA faible ou héritée, permettant aux intrus d’éviter même l’authentification à double facteur. La répétition du scénario est claire : credentiels compromis, mouvement latéral silencieux, exfiltration vers des buckets externes, puis chiffrement au moment critique pour la victime.
Tiers et chaîne d’approvisionnement : du risque ponctuel à l’impact systémique
Externaliser accélère la réalisation de projets, mais engendre également un risque corrélé : de nombreuses entreprises dépendent de peu de fournisseurs en matière de logiciels, d’identité, de CDN ou de sécurité. Un incident chez un tiers peut se répercuter sur des dizaines de milliers de systèmes, et une erreur dans une mise à jour critique peut entraîner des interruptions à l’échelle globale, même en l’absence de cyberattaques directes. La leçon est dure : il ne suffit pas de protéger le périmètre interne ; il faut comprendre et gérer les dépendances techniques et opérationnelles, exiger la transparence, et prévoir des voies d’évasion en cas de rupture d’un maillon de la chaîne.
Cas récents à ne pas oublier
- Okta (2023) : accès non autorisé aux systèmes de support et exfiltration de tokens de session ont touché des dizaines de clients. Cela a montré que le soutien technique et les accès tiers sont des vecteurs critiques, et que le principe du moindre privilège doit aussi s’appliquer hors du cœur IT.
- DDoS sur des services périmétriques (2024) : des interruptions de plusieurs heures dans des clouds ont rappelé que sans ingénierie du trafic multisite et routages alternatifs, la disponibilité peut s’effondrer comme un château de cartes.
- Agents IA mal configurés (2025) : des prototypes ont montré qu’un agent avec trop de permissions peut exécuter des actions destructrices sans malware. La conclusion : la sécurité IA ne doit pas être une façade ; elle requiert des contrôles d’identité et d’autorisation rigoureux.
- Ransomware sur des fournisseurs de mail et d’hébergement (2022–2024) : credentiels compromis, vulnérabilités exploitées et absence de segmentation ont causé de longues pannes, des litiges coûteux et une perte de confiance. La segmentation et l’isolement fonctionnel ne sont pas optionnels.
Passer du “se conformer” au “résister” : la résilience intégrée dès la conception
Cloud et IA exigent de passer du simple check-list à un conception de la résilience :
- Clarté sur l’appétit de risque : la gouvernance doit déterminer quels services sont critiques et pour combien de temps. Sans ce cadre, la sécurité devient floue, et les dépenses dispersées.
- Identités protégées : MFA robuste (FIDO2/WebAuthn), privilèges JIT (just-in-time) pour les administrateurs, PAM pour les comptes à haut risque, coffre-fort pour secrets de service. Éviter le MFA par SMS sauf en dernier recours.
- Segmentation et principe du moindre privilège dans le cloud : comptes séparés par environnement (prod, préprod, dev), politiques deny-by-default, micro-segmentation, filtres egress et contrôles fins d’accès pour le stockage, les files d’attente et les fonctions serverless.
- Chiffrement contrôlé et gestion des clés : chiffrer en transit et au repos est élémentaire; la différence réside dans le contrôle des clés (KMS) et leur localisation. Dans certains secteurs, la gestion locale limite les risques réglementaires et extraterritoriaux.
- Hygiene de configuration continue : audits réguliers, patchings dans les fenêtres, images immuables, infrastructure en tant que code avec gardes-fous et validations avant déploiement. La configuration, c’est du code, il faut la traiter comme telle.
- Détection et riposte intégrées : télémétrie pertinente (logs, métriques, traces), analyse avec IA pour repérer anomalies de session et privilèges, et runbooks testés. Sans exercices, la théorie ne prépare personne.
- Backups 3-2-1-1-0 : trois copies, deux supports, une en dehors du site, une immuable/offline, et des restaurations vérifiées sans erreur. Mesurer le RTO et le RPO comme si un véritable sauvetage dépendait d’eux (c’est le cas).
- Gouvernance des tiers : inventaire vivant des dépendances SaaS/PaaS, questionnaires évaluant la télémétrie, SLA de notification, plans de continuité, sous-traitants. Clauses d’évasion, exportation de données et dégradé contractuels.
- Simulations de crise : scénarios de défaillance d’un fournisseur, perte d’identités, DDoS ou compromission des emails. Mesurer le MTTD/MTTR, les délais de bascule, ainsi que la communication interne et externe.
- Assurance cyber conforme à la réalité : elle ne remplace pas les contrôles, elle les complète. Beaucoup de contrats exigent MFA robuste, EDR, backups immuables et segmentation pour être valides.
Les indicateurs clés pour le comité de direction
La résilience se prouve par des chiffres, pas par des slides. Quelques métriques concrètes :
- MTTD/MTTR par type d’incident et par fournisseur impacté.
- Respect des patchs selon criticité et fenêtres fixées.
- Pourcentage de sessions privilégiées JIT et durée moyenne.
- Couverture du chiffrement par classification de données.
- Taux de restaurations réussies versus RTO/RPO promis.
- Carte des dépendances critiques avec plan alternatif vérifié (incluant routage manuel ou mode dégradé).
Dix actions immédiates pour demain
- Activer MFA résistant au phishing et désactiver les méthodes héritées.
- Inventorier les applications SaaS, supprimer connecteurs orphelins et réviser les permissions excessives.
- Appliquer accès conditionnels par risque, avec blocage géographique/dispositif si nécessaire.
- Forcer JIT pour les administrateurs et enregistrer les sessions élevées.
- Isoler backups en immutabilité et réaliser des tests de restauration mensuels.
- Revoir règles de messagerie et domaines de typosquatting liés à la marque.
- Simuler une attaque AITM contre la suite de productivité et ajuster les détections.
- Effectuer un exercice de plan de continuité en cas de défaillance d’un SaaS critique.
- Exiger des tiers des délais de notification, une télémétrie partageable et des canaux d’urgence.
- Former les dirigeants aux décisions sous pression et aux protocoles de communication.
Culture et gouvernance : de la prévention à la résilience
La technologie influence le rythme, mais la culture en définit la cadence. Les organisations qui résistent le mieux ont des rôles et responsabilités clairs, des comités qui parlent le même langage (risque, métier, technologie), des budgets orientés impact, et une saine obsession d’apprendre de l’incident. L’objectif n’est pas d’éliminer le risque — ce qui est impossible dans un monde hyperconnecté — mais de gérer l’exposition et de réduire le temps de récupération lorsque quelque chose doit échouer.
Questions fréquentes
Quelles sont les meilleures pratiques pour arrêter le ransomware dans un environnement multicloud en 2025 ?
Identités avec MFA résistant au phishing, segmentation par environnement et comptes séparés, principe du moindre privilège, patching avec SLA selon criticité, backups 3-2-1-1-0 immuables, télémétrie unifiée, et runbooks testés. Ajoutez des contrôles contre l’exfiltration (egress), des sessions courtes, et la révocation des tokens volés.
Qu’est-ce qu’une attaque AITM (Adversary-in-the-Middle) et comment la mitiger dans une suite de productivité ?
C’est l’interception de session entre utilisateur et service pour voler des tokens et contourner l’authentification. Elle se lutte avec FIDO2/WebAuthn, des contrôles conditionnels basés sur le risque, la détection d’anomalies de session, la re-authentification pour opérations sensibles, et une bonne hygiène des applications OAuth.
Comment évaluer le risque lié à des fournisseurs SaaS sans se limiter à une checklist ?
Cartographiez les dépendances réelles (données, identités, processus), exigez télémétrie et SLA de notification, examinez les sous-traitants et leur juridiction, demandez des preuves de backups immuables et de plans de continuité, et définissez des routages opératifs de secours (exportation/dégradation).
Quelles métriques clés pour un comité de direction en matière de résilience ?
MTTD/MTTR, réussite des restaurations vs RTO/RPO, couvre-feu du chiffrement par type de donnée, pourcentage d’administrateurs JIT, temps de bascule multisite, résultats des tests de crise en fréquence, détection, et corrections effectuées.
Source : QBE España
Cybermenaces dans le cloud : comment concevoir la résilience avant la prochaine interruption
La migration vers le cloud et l’adoption rapide de l’intelligence artificielle transforment les entreprises en apportant des gains visibles en termes de rapidité et d’efficacité. Cependant, cette même dynamique augmente la surface d’attaque et sophistique les cybercriminels : ils combinent outils innovants et tactiques anciennes pour exploiter la porte dérobée, se déplacer latéralement et provoquer des perturbations coûteuses pour les opérations et la réputation. La question essentielle n’est plus de savoir s’il y aura un incident, mais si l’organisation sera capable de le absorber et de continuer à fonctionner. Selon le rapport « Cybermenaces dans le cloud : stratégies face à la disruption numérique », la clé est d’intégrer la gestion du risque dès la conception, plutôt que de l’ajouter en dernier recours comme un simple correctif.
Trois idées clés pour comprendre la problématique
1) Efficacité à double tranchant. Le cloud et l’IA permettent de faire plus avec moins, mais ils concentrent aussi des actifs précieux et des identifiants dans des plateformes exposées à Internet par défaut. Plus la concentration et la connectivité augmentent, plus l’attractivité pour les attaquants croît.
2) Des adversaires en constante évolution. Les groupes de ransomware, les entités soutenues par des États et la fraude d’entreprise ont modernisé leur arsenal : ils utilisent l’ingénierie sociale assistée par l’IA, les deepfakes et les kits d’attaques intermédiaires. Ils maintiennent cependant ce qui fonctionne, comme le phishing, la mauvaise gestion des identifiants ou l’exploitation de configurations faibles.
3) Résilience conçue dès la base. La continuité d’activité ne se certifie pas, elle se construit. Des identités robustes, la segmentation, le chiffrement avec une gestion de clés adéquate, une télémétrie pertinente, des sauvegardes immuables et des plans de crise régulièrement testés sont des fondamentaux, pas des options.
Cloud et IA : efficacité à prix d’exposition
Le déplacement massif de charges et données vers des cloud publics, privés ou hybrides n’est pas sans friction : il modifie le profil des menaces. Près de la moitié des données d’entreprise hébergées en cloud sont sensibles, et la messagerie d’entreprise via SaaS reste une voie privilégiée pour les campagnes de compromission de comptes (BEC). D’un autre côté, l’IA générative réduit les coûts, rendant plus rapides la détection et la riposte pour la défense, tout en permettant aux attaquants de produire des campagnes de phishing sur-mesure, des imitacions vocales et d’images plus convaincantes, ainsi que des scripts de malware plus adaptables. La conséquence : une courbe d’incidents en hausse, avec surtout une augmentation des attaques aboutissant à des interruptions opérationnelles.
Ransomware + phishing : la double vulnérabilité du modèle cloud
Le ransomware a affiné son modèle économique : il ne se limite pas au chiffrement, il exfiltre aussi les données et menace de leur publication. Il exploite également volontiers le cloud pour augmenter son impact. Par ailleurs, le phishing demeure le vecteur le plus rentable, notamment avec la variante Adversary-in-the-Middle (AITM) qui vole des tokens de session et contourne la MFA faible ou héritée, permettant aux intrus d’éviter même l’authentification à double facteur. La répétition du scénario est claire : credentiels compromis, mouvement latéral silencieux, exfiltration vers des buckets externes, puis chiffrement au moment critique pour la victime.
Tiers et chaîne d’approvisionnement : du risque ponctuel à l’impact systémique
Externaliser accélère la réalisation de projets, mais engendre également un risque corrélé : de nombreuses entreprises dépendent de peu de fournisseurs en matière de logiciels, d’identité, de CDN ou de sécurité. Un incident chez un tiers peut se répercuter sur des dizaines de milliers de systèmes, et une erreur dans une mise à jour critique peut entraîner des interruptions à l’échelle globale, même en l’absence de cyberattaques directes. La leçon est dure : il ne suffit pas de protéger le périmètre interne ; il faut comprendre et gérer les dépendances techniques et opérationnelles, exiger la transparence, et prévoir des voies d’évasion en cas de rupture d’un maillon de la chaîne.
Cas récents à ne pas oublier
Passer du “se conformer” au “résister” : la résilience intégrée dès la conception
Cloud et IA exigent de passer du simple check-list à un conception de la résilience :
Les indicateurs clés pour le comité de direction
La résilience se prouve par des chiffres, pas par des slides. Quelques métriques concrètes :
Dix actions immédiates pour demain
Culture et gouvernance : de la prévention à la résilience
La technologie influence le rythme, mais la culture en définit la cadence. Les organisations qui résistent le mieux ont des rôles et responsabilités clairs, des comités qui parlent le même langage (risque, métier, technologie), des budgets orientés impact, et une saine obsession d’apprendre de l’incident. L’objectif n’est pas d’éliminer le risque — ce qui est impossible dans un monde hyperconnecté — mais de gérer l’exposition et de réduire le temps de récupération lorsque quelque chose doit échouer.
Questions fréquentes
Quelles sont les meilleures pratiques pour arrêter le ransomware dans un environnement multicloud en 2025 ?
Identités avec MFA résistant au phishing, segmentation par environnement et comptes séparés, principe du moindre privilège, patching avec SLA selon criticité, backups 3-2-1-1-0 immuables, télémétrie unifiée, et runbooks testés. Ajoutez des contrôles contre l’exfiltration (egress), des sessions courtes, et la révocation des tokens volés.
Qu’est-ce qu’une attaque AITM (Adversary-in-the-Middle) et comment la mitiger dans une suite de productivité ?
C’est l’interception de session entre utilisateur et service pour voler des tokens et contourner l’authentification. Elle se lutte avec FIDO2/WebAuthn, des contrôles conditionnels basés sur le risque, la détection d’anomalies de session, la re-authentification pour opérations sensibles, et une bonne hygiène des applications OAuth.
Comment évaluer le risque lié à des fournisseurs SaaS sans se limiter à une checklist ?
Cartographiez les dépendances réelles (données, identités, processus), exigez télémétrie et SLA de notification, examinez les sous-traitants et leur juridiction, demandez des preuves de backups immuables et de plans de continuité, et définissez des routages opératifs de secours (exportation/dégradation).
Quelles métriques clés pour un comité de direction en matière de résilience ?
MTTD/MTTR, réussite des restaurations vs RTO/RPO, couvre-feu du chiffrement par type de donnée, pourcentage d’administrateurs JIT, temps de bascule multisite, résultats des tests de crise en fréquence, détection, et corrections effectuées.
Source : QBE España
Info Cloud
le dernier
Cybermenaces dans le cloud : comment concevoir la résilience avant la prochaine interruption
La Chine inaugure le premier centre de données sous-marin alimenté par l’éolien : moins de terrain, zéro eau douce et un PUE cible de 1,15
ATLAS : les câbles sous-marins des Canaries deviennent des capteurs pour protéger l’Atlantique avec la détection de cétacés et des alertes sismiques
CISPE s’attaque au « 75 % souverain » : il demande une définition claire et binaire du cloud souverain face au nouveau cadre de la Commission européenne
Xerox inaugure l’ère Proficio : nouvelles presses numériques PX300 et PX500 pour le segment couleur de production moyenne
NVIDIA et Oracle construiront à Argonne le plus grand superordinateur d’IA du Département de l’énergie des États-Unis : 100 000 GPU Blackwell pour une science « agentique »