Le rapport CERTFR-2025-CTI-001, publié en février 2025 par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), dresse un état des lieux des menaces informatiques liées au cloud computing. Ce document intitulé « Cloud Computing – État de la menace informatique » met en évidence que le cloud, devenu indispensable à la transformation numérique des secteurs public et privé, offre également de nouvelles opportunités d’attaques pour les cybercriminels. En d’autres termes, si de plus en plus d’entreprises – y compris les PME – migrent vers des solutions cloud pour gagner en agilité et en efficacité, les attaquants redoublent d’intérêt pour ces environnements afin d’en exploiter les failles.
Le rapport de l’ANSSI est donc une source précieuse pour comprendre les risques actuels et guider les entreprises dans la protection de leurs données et services en ligne. Son importance réside dans le fait qu’il synthétise les principaux modes d’attaques observés récemment, en identifiant tant les menaces qui pèsent sur les fournisseurs de services cloud (CSP) que celles ciblant les clients du cloud (les entreprises utilisatrices), et propose des recommandations de sécurité. Pour une PME, souvent moins outillée en cybersécurité, comprendre ce panorama des menaces est essentiel pour évaluer son exposition et renforcer sa résilience face aux attaques.
Les principales menaces identifiées
Le rapport met en lumière trois catégories majeures de menaces visant l’écosystème cloud, correspondant aux motivations des attaquants : les attaques à des fins lucratives, celles à des fins d’espionnage et celles cherchant la déstabilisation. Ces menaces peuvent viser aussi bien les fournisseurs de services cloud (hébergeurs, opérateurs de plateformes) que les clients qui utilisent le cloud. Voici un tour d’horizon de ces attaques, avec leur mode opératoire et des exemples concrets.
Attaques à des fins lucratives
Les attaques dites lucratives sont motivées par le gain financier. Les cybercriminels cherchent soit à extorquer de l’argent, soit à voler des ressources monétisables. Dans le contexte du cloud, le rançongiciel (ransomware) est l’une des menaces les plus sérieuses : en chiffrant des données hébergées chez un fournisseur ou une entreprise cliente, les attaquants exigent une rançon pour restaurer l’accès.
En 2023, l’hébergeur danois CloudNordic a subi une attaque dévastatrice : tous ses serveurs (y compris les systèmes de sauvegarde) ont été compromis et chiffrés, entraînant la perte totale des données clients de l’entreprise. L’attaque a été facilitée par une opération interne de migration mal sécurisée, et l’impact fut tel que CloudNordic (ainsi qu’une filiale associée, AzeroCloud) a dû déposer le bilan suite à l’incident. Ce cas illustre concrètement qu’une attaque par ransomware sur un environnement cloud peut anéantir l’activité non seulement du prestataire visé mais aussi de ses clients, qui perdent leurs données. D’autres incidents montrent que les rançongiciels touchent également des solutions cloud utilisées par des PME : en 2024, un fournisseur français de logiciel SaaS pour les professionnels de santé a été infecté par le ransomware LockBit, rendant sa plateforme indisponible plusieurs jours et forçant ses clients à passer en mode dégradé.
Au-delà du chiffrement de données, les attaquants à but lucratif s’intéressent beaucoup aux données d’authentification (identifiants, mots de passe, clés API) car celles-ci donnent accès à diverses ressources cloud. En volant des secrets d’accès, un attaquant peut soit les revendre, soit les utiliser pour infiltrer d’autres systèmes et étendre son attaque. Le rapport souligne que compromettre un fournisseur de services cloud peut servir de pivot vers de nombreuses victimes en aval. Une attaque marquante a visé la société Okta (fournisseur de solutions de gestion des identités) en janvier 2022 : le groupe Lapsus$ a pénétré l’ordinateur d’un ingénieur d’Okta, ce qui lui a permis de réinitialiser les mots de passe et tokens MFA de 366 clients de l’entreprise. En compromettant un acteur central comme Okta, les attaquants ont pu accéder à de multiples entreprises clientes – démontrant le risque de chaîne d’approvisionnement logicielle (supply chain) où la faille d’un prestataire se répercute sur ses clients. Plus récemment, à l’automne 2023, Okta a de nouveau subi une intrusion via son outil de support client, exposant des fichiers de configuration de 134 clients contenant des jetons de session volés. Là encore, les attaquants ont pu exploiter ces secrets pour tenter de se connecter aux environnements de clients d’Okta, comme l’entreprise Cloudflare. Ces exemples illustrent deux tactiques lucratives : l’extorsion directe (par rançon sur données chiffrées ou volées) et l’accès illégitime à des ressources cloud pour en tirer profit. Notons enfin que certaines attaques cherchent à détourner les ressources cloud elles-mêmes : par exemple, déployer des cryptomineurs sur des machines virtuelles ou des conteneurs d’un client afin de miner de la cryptomonnaie aux frais de la victime. Des groupes comme TeamTNT se sont spécialisés dans l’exploitation opportuniste de serveurs exposés pour installer ce type de malware, ce qui ralentit les systèmes touchés et peut coûter cher en ressources consommées.
Attaques à des fins d’espionnage
La deuxième grande catégorie regroupe les attaques motivées par la recherche d’informations sensibles – qu’il s’agisse d’espionnage d’État ou d’espionnage industriel. Les technologies cloud étant utilisées pour stocker des données stratégiques et opérer des services critiques, elles sont naturellement ciblées par des acteurs avancés (APT) cherchant du renseignement. Le rapport cite plusieurs campagnes récentes impliquant des groupes liés à des États. Par exemple, entre 2023 et 2024, les services cloud de Microsoft ont été visés par les groupes Storm-0558 (lié aux intérêts chinois) et Midnight Blizzard aussi connu sous le nom Nobelium (lié au renseignement russe). Dans le cas de Storm-0558, les attaquants sont parvenus à accéder aux messageries de 500 utilisateurs de Microsoft 365, dont des diplomates et officiels américains, en exploitant une clé de signature numérique volée qui leur a permis de forger des tokens d’accès. Cette intrusion particulièrement sophistiquée a mis en évidence des failles de surveillance et de protection chez le fournisseur cloud lui-même (absence d’alertes sur l’utilisation de clés anciennes, journaux insuffisants pour retracer l’attaque).
Les attaquants à but d’espionnage cherchent souvent à infiltrer les services cloud de leurs cibles de manière furtive. Ils peuvent pour cela exploiter des vulnérabilités non corrigées. L’ANSSI relève par exemple qu’en septembre 2022, une vulnérabilité sur un équipement (load balancer) de la société Fujitsu (prestataire cloud japonais) a été exploitée en l’espace d’une semaine avant l’application du correctif, entraînant la compromission de l’entreprise. De même, en 2024, le fournisseur américain Rackspace a été compromis via une faille jour-0 dans un outil tiers de supervision (fourni par ScienceLogic), permettant à l’attaquant d’accéder à trois serveurs web internes et d’en voler des données clients (identifiants, IP, comptes). Ces techniques montrent la capacité des attaquants sophistiqués à profiter de la moindre brèche logicielle pour pénétrer un environnement cloud. Une fois à l’intérieur, leur objectif est d’exfiltrer des données sensibles en toute discrétion ou d’établir une présence persistante. Par exemple, le groupe Nobelium (suspecté russe) a compromis en 2023 les messageries cloud de la société Hewlett Packard Enterprise, notamment celles d’employés experts en cybersécurité, possiblement pour recueillir des informations sur les produits et failles éventuelles d’HPE. Autre cas en 2023 : l’agence spatiale japonaise JAXA a subi une intrusion où les attaquants ont d’abord exploité une faille VPN sur son système d’information, puis se sont latéralisés vers son environnement Office 365 cloud . Ils y ont volé des données internes (informations personnelles du personnel, documents sur des collaborations externes) , illustrant un scénario d’espionnage ciblé mêlant compromission d’infrastructure et de services cloud. Ces opérations d’espionnage s’inscrivent souvent dans la durée : les attaquants veillent à maintenir l’accès le plus longtemps possible (par exemple en ajoutant des adresses de secours, en configurant des redirections de courriels, ou en désactivant des alertes de sécurité), rendant leur détection et leur éradication complexes. Par ailleurs, le rapport note une montée en furtivité de ces acteurs, qui dissimulent leur trafic malveillant au milieu du trafic légitime via des outils d’anonymisation ou de tunnelisation, compliquant encore la tâche des défenseurs.
Attaques à des fins de déstabilisation
La troisième catégorie de menaces concerne les attaques visant à perturber, nuire ou détruire les infrastructures, sans forcément chercher un gain financier immédiat. Il peut s’agir de sabotage, de représailles, ou de préparatifs à un conflit. Deux types d’attaques illustrent cette tendance dans le cloud : les déni de service distribués (DDoS) massifs et les actions de destruction de données.
Les attaques DDoS consistent à submerger une cible de trafic afin de rendre un service indisponible. En 2024, les fournisseurs cloud ont signalé des campagnes DDoS d’une ampleur inédite, atteignant des niveaux de trafic toujours plus élevés. Par exemple, OVHcloud a observé l’utilisation détournée d’équipements de cœur de réseau pour générer un flux de saturation colossal, tandis que Cloudflare a décrit une attaque impliquant plus de 10 000 objets IoT compromis envoyant du trafic malveillant. Ces attaques volumétriques, menées parfois par des botnets, mettent à rude épreuve les défenses classiques. De plus, l’ANSSI constate une augmentation des DDoS ciblant la couche applicative (couche 7 OSI). Ce type de DDoS exploite le fonctionnement même des applications web en envoyant des requêtes qui déclenchent des traitements lourds côté serveur, épuisant les ressources sans nécessiter un énorme volume de bande passante. Or, nombre de clients du cloud méconnaissent ces attaques plus insidieuses et ne les prennent pas suffisamment en compte dans la conception de leurs applications ou dans leurs mesures de sécurité. Le résultat peut être la mise hors service prolongée d’applications en ligne ou de sites web, causant un important manque à gagner et une atteinte à la réputation de l’entreprise ciblée.
Plus préoccupantes encore sont les attaques cherchant à détruire les environnements cloud de la victime. Le rapport cite un cas extrême survenu en juillet 2022 : le groupe Mango Sandstorm (lié à l’Iran) a compromis plusieurs entreprises israéliennes, puis a systématiquement chiffré et supprimé aussi bien leurs serveurs on-premise que leurs infrastructures cloud Azure. Après une intrusion initiale via des serveurs non à jour (notamment exploitant la vulnérabilité Log4Shell), les attaquants ont escaladé sur le cloud en abusant des services de synchronisation d’annuaires (Azure AD Connect) pour finalement procéder à la destruction totale des ressources cloud – machines virtuelles, stockages, comptes, réseaux virtuels – rendant l’environnement inexploitable. Ils ont même utilisé les comptes de messagerie compromis de la victime pour propager des courriels de phishing, élargissant l’attaque à d’autres cibles depuis l’infrastructure détruite. Ce scénario illustre une attaque de déstabilisation majeure où l’objectif est de causer un maximum de dommages. Dans un contexte de tension géopolitique, on peut imaginer qu’un État ou un groupe hacktiviste cherche ainsi à paralyser les systèmes d’une organisation rivale ou à semer le chaos. Une fois qu’un attaquant obtient un accès complet au cloud d’une entité, il peut en effet causer des dégâts irrémédiables en effaçant des données et services critiques – un risque particulièrement dévastateur pour l’entité ciblée, souligne l’ANSSI.
Que ce soit pour l’argent, l’espionnage ou la malveillance pure, les menaces pesant sur le cloud sont multiples et souvent imbriquées. Une même attaque peut combiner plusieurs objectifs (par exemple, voler des données puis demander une rançon, ou espionner puis détruire pour couvrir ses traces). Les PME utilisatrices du cloud, tout comme les fournisseurs, doivent donc se prémunir contre l’ensemble de ces scénarios.
Pourquoi les PME sont particulièrement vulnérables
Le rapport de l’ANSSI met en évidence que toutes les organisations utilisant le cloud sont concernées par ces menaces. Cependant, les petites et moyennes entreprises présentent des vulnérabilités spécifiques face à la cybersécurité du cloud, pour plusieurs raisons :
Moyens limités et expertise réduite :
Contrairement aux grands groupes, les PME disposent rarement d’une équipe dédiée à la cybersécurité. Elles ont moins de ressources pour configurer et surveiller en détail leurs environnements cloud. Par exemple, la mise en place d’une supervision de sécurité 24/7 ou d’audits réguliers peut être hors de portée. Ce manque de surveillance est d’autant plus problématique que l’ANSSI constate fréquemment des compromissions facilitées par des manquements de supervision ou un cloisonnement insuffisant des systèmes cloud/hybride. En clair, si personne ne garde un œil sur les logs ou les configurations, une intrusion peut passer inaperçue jusqu’à causer de gros dégâts.
Méconnaissance du modèle de responsabilité partagée :
Dans le cloud, la sécurité est une responsabilité partagée entre le fournisseur et le client. Or beaucoup de PME l’ignorent ou sous-estiment leur part de responsabilité. Le rapport rappelle que même si le fournisseur protège l’infrastructure, le client reste responsable de la gestion de ses données et identités dans le cloud. Une PME peu formée à ces enjeux risque de laisser des accès trop larges ou des données sensibles sans protection supplémentaire, pensant à tort que “le cloud est sécurisé par défaut”. Ce manque de conscience peut mener à des erreurs comme l’usage de mots de passe faibles, l’absence d’authentification multi-facteur, ou des partages de données non maîtrisés – autant de portes d’entrée pour un attaquant.
Moins de moyens pour des options de sécurité avancées :
Bien que les grands fournisseurs cloud proposent de nombreuses fonctionnalités de sécurité (chiffrement, gestion fine des accès, journaux détaillés, etc.), celles-ci sont parfois réservées aux offres premium. Le coût peut dissuader une PME d’y souscrire. L’ANSSI souligne par exemple que certaines options de sécurité ne devraient pas être limitées aux abonnements les plus onéreux, car cela les rend inaccessibles aux organisations de petite ou moyenne taille. En pratique, une PME sur une offre standard pourrait ne pas bénéficier par défaut de logs complets ou d’alertes avancées, à moins de payer un supplément – ce qu’elle ne fait pas toujours, augmentant son risque sans le vouloir.
Attractivité comme cible indirecte :
Les PME pensent parfois ne pas intéresser les hackers, en raison de leur taille modeste. Hélas, les attaquants ciblent souvent large ou s’en prennent aux maillons faibles. Une PME peut être victime collatérale d’une attaque massive (par exemple une campagne de vol de tokens qui balaie des milliers de comptes cloud sans distinction) ou servir de tremplin vers une cible plus grosse (les pirates compromettent un fournisseur ou un partenaire plus petit pour ensuite accéder à une entreprise plus grande cliente de celui-ci). Dans le cas de l’incident Okta cité plus haut, 366 entités ont été affectées, dont sans doute de nombreuses PME clientes, simplement parce qu’elles utilisaient ce service d’identité. De plus, les attaquants industriels savent que les PME sous-traitantes de grands comptes peuvent détenir des informations intéressantes avec une sécurité moindre.
Impact proportionnellement plus lourd :
Enfin, une cyberattaque réussie peut être fatale pour une PME. Là où une grande entreprise dispose de backups multiples et de réserves financières pour encaisser le choc, une PME pourrait ne jamais s’en relever. Perdre toutes ses données ou rester en panne informatique pendant des semaines peut entraîner la perte de clients, de contrats, et in fine mettre la clé sous la porte. On l’a vu avec l’exemple de CloudNordic/AzeroCloud qui ont fait faillite après une attaque majeure. De même, une PME sans plan B qui subirait l’effacement de son environnement cloud (scénario de déstabilisation) ou une extorsion qu’elle ne peut payer se retrouverait en grande difficulté. Les PME sont donc vulnérables non seulement parce qu’elles sont plus faciles à attaquer, mais aussi parce qu’elles subissent plus durement les conséquences.
Le cloud offre aux PME des opportunités techniques mais comporte des risques sérieux qu’elles ne peuvent ignorer. Leur défi est d’atteindre un niveau de sécurité suffisant malgré des ressources limitées. La bonne nouvelle est que le rapport de l’ANSSI propose des bonnes pratiques adaptées pour y parvenir.
Les recommandations de l’ANSSI adaptées aux PME
Face à ces menaces, l’ANSSI formule dans son rapport une série de recommandations pragmatiques à destination des clients de services cloud (donc des entreprises utilisatrices). Il s’agit de mesures de cybersécurité à mettre en place pour se prémunir contre les attaques évoquées. Toutes les recommandations ne sont pas simples à appliquer pour une petite structure, mais on peut en dégager les priorités clés pour les PME. Elles se regroupent en quatre axes principaux : gestion des identités et des accès, protection des données sensibles, surveillance et détection des menaces, et continuité d’activité en cas d’incident. Chaque PME devrait, selon le rapport, élaborer des politiques dans ces domaines et les appliquer avec assiduité. Voici les bonnes pratiques essentielles à adopter :
Une gestion rigoureuse des comptes et des autorisations est le socle de la sécurité sur le cloud, tout comme elle l’est sur les systèmes classiques. Il faut s’assurer que chaque utilisateur ou service ne dispose que des accès dont il a strictement besoin. Parmi les mesures recommandées :
Gestion des identités et des accès
Une gestion rigoureuse des comptes et des autorisations est le socle de la sécurité sur le cloud, tout comme elle l’est sur les systèmes classiques. Il faut s’assurer que chaque utilisateur ou service ne dispose que des accès dont il a strictement besoin. Parmi les mesures recommandées :
Appliquer le principe du moindre privilège
attribuez à chaque compte le minimum de droits nécessaires à ses tâches. Évitez que des utilisateurs lambdas aient des privilèges d’administrateur par défaut Dans le cloud, cela signifie par exemple segmenter les rôles (administration, développement, consultation) et contrôler finement qui peut faire quoi (démarrer un serveur, modifier une base de données, etc.).
Déployer l’authentification multi-facteur (MFA)
sur tous les comptes, en particulier ceux ayant des privilèges élevés. Un mot de passe seul ne suffit plus pour accéder aux consoles de gestion cloud ou aux applications SaaS critiques. La MFA (par token, appli mobile, SMS, etc.) ajoute une couche de sécurité qui bloque de nombreuses attaques d’accès (phishing, reuse de mots de passe volés, etc.). Il est fortement conseillé d’activer la MFA par défaut pour tous les utilisateurs du tenant cloud de l’entreprise.
Mettre en place des politiques d’accès conditionnel
de nombreux services cloud permettent de restreindre les connexions en fonction de l’adresse IP, du pays, de l’horaire ou d’autres critères. Par exemple, on peut interdire les accès administratifs depuis l’étranger ou en dehors des heures de bureau. Ce type de filtrage limite la surface d’attaque, surtout pour les PME dont les employés travaillent majoritairement sur site ou dans une zone géographique donnée
Sécuriser les comptes administrateurs
pour les comptes les plus sensibles (ceux qui peuvent tout modifier sur l’environnement cloud), adoptez des mesures strictes. L’ANSSI recommande notamment de ne pas réutiliser en cloud des comptes AD locaux via des synchronisations hasardeuses. Il vaut mieux avoir des comptes admin spécifiques au cloud, bien séparés du SI interne, et réservés à cet usage. De plus, ces comptes à privilèges devraient être utilisés uniquement à partir de postes de travail sécurisés dédiés (bastions d’administration), afin d’éviter qu’une compromission de poste utilisateur n’entraîne le vol d’un accès maître. En pratique, une PME peut par exemple avoir un ou deux PC isolés du réseau bureautique, avec MFA et durcissement, pour administrer sa console cloud en toute sécurité.
Protéger les mécanismes d’annuaire hybrides
si votre PME utilise un annuaire local (Active Directory) couplé au cloud (Azure AD Connect, etc.), sachez que ces ponts peuvent être des points faibles. Les outils de synchronisation d’identité stockent souvent des identifiants très sensibles (comptes techniques ayant des droits sur les deux environnements). Il convient donc de les sécuriser comme des éléments critiques : installations à jour, accès restreint, surveillance des connexions. Si possible, évitez les solutions qui transmettent des hashes de mots de passe au cloud et préférez celles qui utilisent des mécanismes plus sécurisés ou du fédéré.
Pour une PME, maîtriser les accès revient à connaître précisément qui peut accéder à quoi sur vos services cloud, et s’assurer que chaque porte d’entrée est bien gardée (par un second facteur, par des restrictions d’usage, et en limitant le nombre de personnes qui ont les clés). Ces mesures empêchent bon nombre d’intrusions ou, si une fuite de mot de passe survient, en limitent l’impact.
Protection des données sensibles
L’enjeu de la protection des données est central pour tirer parti du cloud en toute confiance. Il s’agit de prévenir les fuites ou destructions de données qui pourraient gravement affecter l’entreprise ou ses clients. L’ANSSI recommande aux organisations de formaliser une politique de classification et de chiffrement des donnée . Concrètement, une PME devrait :
Classer ses données par sensibilité
identifiez les catégories de données que vous hébergez (par exemple : données publiques, données internes, données clients confidentielles, secrets industriels, données personnelles réglementées…) et attribuez-leur un niveau de sensibilité. En fonction de cette analyse, déterminez lesquelles peuvent être stockées ou traitées en clair sur le cloud, lesquelles doivent l’être chiffrées, et lesquelles ne devraient jamais transiter par le cloud. Par exemple, une copie de vos données les plus critiques pourrait rester hors cloud (sur un serveur local ultra-sécurisé) si vous jugez le risque trop élevé. Cette réflexion permet de ne pas tout mettre sur un cloud public sans discernement.
Chiffrer les données avant ou pendant l’envoi sur le cloud
idéalement, appliquez un chiffrement côté client avant de stocker des fichiers sensibles dans le cloud (par exemple, chiffrer des archives avant de les mettre sur un stockage en ligne). Si ce n’est pas possible, utilisez les fonctions de chiffrement proposées par votre fournisseur cloud, mais en choisissant celles où vous conservez le contrôle des clés . De plus en plus de services offrent l’option BYOK (Bring Your Own Key) ou le chiffrement géré par le client, ce qui signifie que même si vos données sont dans le cloud, le prestataire ne peut y accéder en clair. Pour une PME, activer ces options peut sembler technique, mais c’est un garde-fou puissant contre la curiosité d’un employé du fournisseur, une réquisition légale étrangère, ou une compromission de la plateforme cloud elle-même.
Mettre en place des sauvegardes régulières et sécurisées
la pérennité de vos données dépend de votre capacité à les restaurer en cas de perte ou d’attaque (ransomware, effacement malveillant, erreur humaine). Il faut donc définir une politique de sauvegarde englobant les données hébergées dans le cloud. Pour les actifs les plus importants, prévoyez une sauvegarde hors-ligne (déconnectée du réseau) afin qu’un attaquant ne puisse pas la supprimer même s’il compromet vos systèmes.Par exemple, vous pouvez conserver une copie sur un support externe stocké en lieu sûr, ou utiliser un service de backup cloud différent isolé de votre infrastructure principale. Assurez-vous également de chiffrer vos sauvegardes elles-mêmes, surtout si elles contiennent des données sensibles – on ne veut pas qu’une sauvegarde volée devienne une fuite de données. Enfin, testez périodiquement la restauration de vos backups pour vérifier qu’ils sont exploitables et complets. Une politique de sauvegarde bien menée protège autant contre les rançongiciels (vous pouvez restaurer sans payer) que contre les destructions volontaires.?
En appliquant ces mesures, même partiellement, une PME réduira fortement le risque de fuite de données et atténuera les conséquences d’un incident. L’objectif est que, même si un attaquant pénètre votre cloud, il ne puisse pas emporter facilement vos “bijoux de famille” ni détruire définitivement vos informations critiques.
Mise en place de mesures de surveillance et de détection
Étant donné la sophistication croissante des attaques, il est crucial de pouvoir détecter rapidement toute activité anormale sur vos environnements cloud. L’ANSSI recommande une approche proactive de supervision, détection et investigation. Pour une PME, cela peut sembler complexe, mais il existe des bonnes pratiques accessibles :
Superviser continuellement vos ressources cloud
Activez et consultez régulièrement les journaux (logs) fournis par vos services cloud. Ceux-ci enregistrent les actions importantes (connexions, modifications de configurations, déploiements de nouvelles ressources, etc.). Selon le rapport, il est nécessaire de surveiller l’état des ressources IaaS (machines virtuelles, stockage…), les accès aux comptes à privilèges, les changements de droits ou de paramètres de sécurité, et toute création/suppression de ressources ou d’utilisateurs. En pratique, une PME peut utiliser les outils intégrés (par exemple, Azure Security Center, AWS CloudTrail/CloudWatch, etc.) pour recevoir des alertes sur des événements critiques : connexion depuis un pays inhabituel, désactivation d’une règle de firewall, pic d’utilisation de CPU inexpliqué, etc. L’important est de ne pas ignorer ces signaux. Si vous n’avez pas de centre de sécurité dédié, définissez au moins une personne (en interne ou un prestataire) qui examinera les alertes de sécurité du cloud et prendra action en cas d’anomalie. Un outil de SIEM (Security Information and Event Management) léger peut centraliser ces logs et faciliter leur analyse, y compris pour une PME.
Maintenir un inventaire à jour
Listez les applications et composants que vous utilisez en lien avec le cloud, et tenez cet inventaire à jour. Pourquoi ? Parce qu’en cas de faille de sécurité publique (zero-day) affectant l’un de vos outils, vous saurez immédiatement si vous êtes concerné. L’ANSSI souligne que garder un inventaire historisé des logiciels et modules connectés à vos services cloud a permis, dans de nombreux cas, d’identifier quelles instances étaient vulnérables ou compromises lors d’attaques de supply chain logicielle. Par exemple, si vous utilisez un connecteur tiers pour synchroniser des données avec un cloud, et qu’on apprend que sa version X contient une porte dérobée, vous pourrez vite vérifier dans votre inventaire si vous aviez cette version et la mettre à jour. Sans inventaire, on cherche une aiguille dans une botte de foin. Pour une PME, un simple tableau listant vos applications SaaS, vos machines virtuelles et les principaux logiciels installés dessus, vos plugins/outils d’intégration, etc., avec leurs versions, peut faire office d’inventaire. Mettez-le à jour lors de chaque changement.
Détecter les signes d’intrusion et investiguer
Malgré toutes les protections, une intrusion peut survenir. Il faut alors pouvoir la détecter rapidement (d’où la supervision évoquée) et l’investiguer pour y mettre fin et en tirer les leçons. En cas de comportement suspect (par ex. un compte qui effectue des actions inhabituelles), investiguez sans attendre. L’ANSSI conseille, en cas d’incident confirmé, de passer en revue tous les changements survenus dans l’environnement cloud : connexions, créations ou suppressions de comptes, modifications de configurations de sécurité, ajouts de nouvelles clés ou rôles, etc.. Avoir activé la journalisation au préalable est crucial pour cela Pour une PME, cela signifie : assurez-vous que vos logs d’activité cloud sont conservés au moins quelques semaines et exploitables. Beaucoup de consoles cloud offrent des vues de ces changements, utilisez-les. Si vous découvrez qu’un compte inconnu a été créé ou qu’une règle a été modifiée sans raison, c’est le signe d’une compromission. Coupez les accès concernés (désactivez le compte, changez les mots de passe, révoquez les tokens) et faites appel à des experts si nécessaire pour analyser l’ampleur de l’intrusion. L’important est de réagir vite pour contenir l’attaque et éviter qu’elle ne se propage (par exemple vers vos systèmes internes si c’est un compte cloud connecté à votre AD qui a été piraté). Enfin, tirez parti de l’expérience : après l’incident, comblez les failles identifiées et améliorez vos contrôles. Chaque tentative déjouée ou attaque subie doit renforcer votre posture de sécurité.
Sécuriser la chaîne CI/CD si vous déployez du code
De plus en plus d’entreprises (même petites) développent leurs propres applications ou scripts et les déploient sur le cloud (fonctions serverless, conteneurs, etc.). Il est alors impératif d’intégrer la sécurité dans le cycle de développement et déploiement (DevSecOps). Le code source que vous poussez sur vos instances cloud pourrait être visé par des attaquants. L’ANSSI recommande de signer numériquement le code ou au minimum d’avoir un contrôle de version strict, afin de détecter toute altération non vouluef. Automatisez des tests de sécurité dans votre pipeline CI/CD (analyse de vulnérabilités, secrets scannés dans le code). Et bien sûr, protégez les accès à vos dépôts de code et outils de déploiement (GitLab, GitHub, etc.) par MFA et droits limités, car compromettre la chaîne d’intégration continue d’une PME peut permettre à un hacker d’insérer du code malveillant dans votre application avant son déploiement. Même si vous ne gérez qu’un simple site web sur le cloud, sécurisez le compte où se trouve le code. Cette vigilance prévient qu’un adversaire ne prenne le contrôle de vos services en empoisonnant vos propres mises à jour logicielles.
Même une PME sans centre SOC peut et doit organiser sa vigilance sur le cloud : activer les alarmes disponibles, être méthodique dans le suivi des actifs et des alertes, et savoir comment réagir en cas d’alerte avérée. Cette capacité de détection précoce peut faire la différence entre une tentative bloquée et une catastrophe.
Stratégies de continuité d’activité
Dernier pilier mais non des moindres : préparer l’entreprise à survivre à une attaque ou une panne majeure du cloud. L’objectif est d’assurer la continuité d’activité, c’est-à-dire pouvoir continuer à fonctionner (même partiellement) pendant l’incident, puis restaurer un fonctionnement normal ensuite. Pour les PME, l’ANSSI recommande de formaliser des plans de continuité et de reprise d’activité, et d’anticiper les scénarios de crise liés au cloud . Concrètement :
Élaborer un PCA/PRA
Élaborer un PCA/PRA : Un Plan de Continuité d’Activité (PCA) et son corollaire le Plan de Reprise d’Activité (PRA) sont des documents (et des processus) qui définissent comment l’entreprise réagit en cas d’incident grave. Par exemple, si votre application cloud critique devient indisponible (à cause d’une attaque ou d’une panne), avez-vous un mode alternatif pour servir vos clients ? Le PCA prévoit peut-être de basculer sur un fonctionnement manuel, ou d’utiliser une solution de secours. Le PRA, lui, détaille comment restaurer l’environnement, à partir de sauvegardes par exemple, et en combien de temps. Une PME devrait au minimum se poser ces questions et y répondre par écrit, puis tester régulièrement les mesures prévues.Cela peut être simple : tester la restauration d’une sauvegarde une fois par trimestre, ou simuler une journée sans accès au logiciel cloud pour voir si l’équipe peut travailler autrement. Ces tests permettent de s’assurer que le plan est actionnable le jour venu et de former les employés à la procédure d’urgence. N’oubliez pas la dimension communication de crise dans ces plans : définissez qui contactera les clients, les fournisseurs ou les autorités en cas d’incident majeur, et par quel moyen. Par exemple, si vos systèmes mails sont out, avez-vous les coordonnées téléphoniques de vos partenaires critiques ? Pour une PME, un bon PCA/PRA, même allégé, peut sauver l’entreprise en minimisant le temps d’arrêt et le chaos le jour d’une attaque.?
Anticiper le risque de DDoS
Les attaques par déni de service peuvent toucher n’importe quelle entreprise disposant d’un service exposé sur internet. Si votre activité dépend d’un site web, d’une boutique en ligne ou d’une application web sur le cloud, prévoyez des mesures de mitigation DDoS. L’ANSSI conseille de faire appel à des prestataires capables d’absorber du DDoS en amont, par exemple en utilisant un réseau de distribution de contenu (CDN) ou un service spécialisé qui filtrera le trafic avant qu’il n’atteigne votre serveur De nombreux fournisseurs cloud intègrent de base une protection contre les attaques volumétriques, mais assurez-vous de comprendre quels types d’attaques sont couverts par leur offre.Une PME peut par exemple utiliser Cloudflare (même en version gratuite ou payante modérée) devant son site web pour se protéger des DDoS courants. Pensez également à limiter l’impact financier : certaines attaques visent à faire consommer des ressources pour générer des coûts (par exemple, multiplier les requêtes à une API payante). Renseignez-vous sur les mécanismes de plafonnement de facturation ou d’alerte en cas d’usage anormalement élevé de votre compte cloud. Mieux vaut prévenir une facture astronomique due à une attaque.
Disposer de sauvegardes isolées
Comme évoqué dans la partie protection des données, la sauvegarde est aussi une composante de continuité. En cas de destruction ou de chiffrement de votre environnement cloud, seule une sauvegarde saine permettra de repartir. Multipliez les copies de secours : par exemple une sauvegarde locale hebdomadaire en plus d’une sauvegarde cloud quotidienne. Veillez à ce qu’un attaquant qui aurait accès à votre infrastructure ne puisse pas effacer toutes les copies (d’où l’importance d’en avoir au moins une hors-ligne). Durant l’attaque de Mango Sandstorm, les entreprises israéliennes touchées qui n’avaient pas de copie externe ont tout perduNe soyez pas dans ce cas de figure. Un investissement modeste dans un disque dur externe chiffré, mis à jour régulièrement et rangé en lieu sûr, peut sauver votre PME. Là encore, testez la restauration pour être certain que vos sauvegardes fonctionnent.
Plan de repli manuel
Pour certains services critiques, envisagez comment vous fonctionneriez sans informatique pendant quelques jours. Ce point sort un peu du cadre purement technique, mais relève de la continuité d’activité : par exemple, si votre application de caisse cloud tombe en panne, avez-vous un moyen de faire des factures manuellement et de les ressaisir plus tard ? Si votre gestion commerciale en ligne n’est plus accessible, pouvez-vous accéder à un export Excel client/fournisseur en local ? Ces solutions de contournement doivent être préparées à l’avance pour ne pas être pris de court. Cela rejoint l’idée d’avoir des éléments nécessaires disponibles hors-ligne (contacts, procédures, documents utiles).
L’objectif n’est pas d’éliminer tout risque d’arrêt (impossible), mais d’être capable de limiter la casse et de reprendre vite le dessus après un incident. Les cyberattaques ne doivent plus être vues comme une fatalité absolue : on peut s’y préparer et en atténuer les impacts, comme on le fait pour un incendie ou une inondation via des assurances et des plans de secours.
Conclusion et perspectives
Le rapport CERTFR-2025-CTI-001 de l’ANSSI offre un panorama clair des menaces informatiques spécifiques au cloud et fournit une feuille de route de sécurité pour les contrer. Pour les PME, la leçon principale est qu’adopter le cloud ne dispense pas d’une bonne hygiène informatique, bien au contraire. Si le cloud apporte flexibilité et puissance technologique, il exige en retour une vigilance renforcée sur les configurations, les accès et les données. Les attaques récentes montrent que personne n’est trop petit pour être ciblé : un pirate peut aussi bien viser une multinationale qu’une PME de province, soit pour l’atteindre directement, soit pour rebondir vers d’autres victimes.
Cependant, les PME ne sont pas impuissantes face à ces risques. En se concentrant sur les actions prioritaires détaillées plus haut – mise en place de la MFA, sauvegardes régulières, cloisonnement des accès, surveillance des logs, préparation aux incidents – elles peuvent éliminer la majorité des menaces courantes ou en limiter fortement les dégâts. Ces mesures sont à la portée de toute organisation volontaire, d’autant que de nombreux outils de sécurisation sont désormais intégrés dans les offres cloud ou disponibles à faible coût (voire gratuits). Il est important de ne pas hésiter à solliciter l’accompagnement de son fournisseur cloud (beaucoup proposent des guides ou un support en architecture sécurisée), ou de faire appel à un prestataire spécialisé pour auditer son installation si les compétences manquent en interne. Par ailleurs, l’ANSSI publie un guide d’hygiène informatique qui recense 42 mesures de base à respecter – un socle que toute PME devrait implémenter en priorité. Ces mesures générales, combinées aux recommandations spécifiques au cloud, forment un plan de défense cohérent.
Enfin, la sensibilisation continue demeure un élément clé : former les utilisateurs aux bonnes pratiques (ne pas réutiliser leurs mots de passe professionnels sur des sites personnels, par exemple, pour éviter des vols d’identifiants comme dans l’affaire Snowflake), rester informé des nouvelles menaces et mises à jour de sécurité, et entretenir une culture où la cybersécurité fait partie intégrante des processus métier. Pour une PME, développer cette culture peut faire la différence entre être une cible facile et un partenaire fiable aux yeux de ses clients. Le paysage des menaces cloud évolue rapidement, mais en s’appuyant sur des rapports comme celui de l’ANSSI et sur les retours d’expérience du terrain, chaque entreprise – petite ou grande – peut améliorer sa posture de sécurité.
La cyber-résilience est un chemin continu : en réalisant des progrès étape par étape, les PME seront mieux armées pour profiter des bénéfices du cloud tout en gardant les risques sous contrôle. En conclusion, le message à retenir est le suivant :
informez-vous, anticipez, protégez-vous et ne baissez jamais la garde.
Le cloud peut être un atout formidable pour votre PME, à condition d’en faire un espace aussi sûr que possible. Avec les bonnes pratiques préconisées par l’ANSSI, vous pouvez transformer la menace en simple risque maîtrisable, et avancer sereinement dans votre transition numérique.
Télécharger le Rapport menaces et incidents du CERT-FR