Teknik - L'IA dans le contexte d'un CtF (Northsec)
16 mai 2025
Parce que... c'est l'épisode 0x590!
Spécial - Cybersécurité dans le secteur de la santé
08 avril 2025
Parce que... c'est l'épisode 0x589!
SéQCure/Spécial - Histoires d’erreurs
08 avril 2025
Parce que... c'est l'épisode 0x588!
Spécial - Souveraineté numérique - part 2
07 mai 2025
Parce que... c'est l'épisode 0x587!
Teknik - Revue de code - ChatGPT face aux vulnérabilités OWASP Top 10
08 avril 2025
Parce que... c'est l'épisode 0x586!
Spécial - Cyberchill numéro 4 - Des questions
24 avril 2025
Parce que... c'est l'épisode 0x585!
Teknik - Cyberdéfense en profondeur - Naviguer dans les défis de cybersécurité des technologies multi-environnements
08 avril 2025
Parce que... c'est l'épisode 0x584!
SéQCure/H'main - Vous avez dit IA? Et si nous parlions plutôt d'IH? - Récit d'une ex-CPO
28 mars 2025
Parce que... c'est l'épisode 0x583!
SéQCure/Teknik - Analyse et enseignements d’attaques sur le Cloud
27 mars 2025
Parce que... c'est l'épisode 0x582!
Parce que… c’est l’épisode 0x582!
Shameless plug
- 10 au 18 mai 2025 - NorthSec
- 03 au 05 juin 2025 - Infosecurity Europe
- 27 et 29 juin 2025 - LeHACK
- 12 au 17 octobre 2025 - Objective by the sea v8
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2065
Description
Ce podcast aborde les défis de sécurité liés à la migration vers l’infonuagique (cloud computing) et les incidents qui en découlent. Cédric Thibault, expert en sécurité cloud chez KPMG, partage son expertise sur les tendances actuelles en matière de cyberattaques ciblant les environnements cloud.
Tendances des incidents infonuagiques
L’augmentation des incidents de sécurité dans l’infonuagique suit logiquement la migration massive des charges de travail vers ces environnements. Selon les statistiques partagées :
- 45% des brèches de données sont désormais liées aux environnements infonuagiques (2024)
- Environ 80% des entreprises ont subi une violation de données dans le cloud au cours des 18 derniers mois
- Les applications SaaS représentent 31% des incidents recensés
Cette tendance s’explique par le fait que les données et les charges de travail se sont massivement déplacées vers le cloud, notamment accélérées par la période de confinement, attirant naturellement l’attention des attaquants.
Le modèle de responsabilité partagée mal compris
Un des problèmes majeurs identifiés est la mauvaise compréhension du modèle de responsabilité partagée. De nombreuses organisations migrent vers le cloud pour des raisons de sécurité mais oublient que les fournisseurs cloud ne sécurisent que leur infrastructure et non ce que les clients y déploient.
Cette confusion est particulièrement prononcée pour les services SaaS où les clients pensent, à tort, que toute la sécurité est prise en charge par le fournisseur. Cédric compare les outils de sécurité cloud à une “boîte à outils” mise à disposition, qui reste inutile si personne ne s’en sert correctement.
Principaux vecteurs d’attaque observés
1. Compromission des identités
L’identité est devenue la nouvelle frontière de sécurité dans le cloud, remplaçant les pare-feu traditionnels. Les problèmes majeurs incluent :
- Surabondance de privilèges (95% des permissions attribuées ne sont jamais utilisées)
- Utilisation de politiques gérées trop permissives
- Équipes de gestion des identités et accès (GIA) mal outillées et formées pour ce nouveau paradigme
Un exemple concret partagé : un client utilisant uniquement M365 s’est fait compromettre via un compte disposant de permissions pour créer des souscriptions Azure, permettant à l’attaquant de déployer des ressources pour du crypto-mining.
2. Erreurs de configuration
Les erreurs de configuration, notamment des stockages cloud (buckets S3, blobs, etc.), restent un vecteur d’attaque important :
- Exposition accidentelle de données sensibles
- Manque de contrôles pour vérifier la sensibilité des données stockées
- Confiance excessive dans le tagging manuel sans vérification automatisée
3. Serveurs exposés et vulnérables
Les serveurs exposés avec des authentifications faibles permettent aux attaquants d’accéder à la couche de gestion cloud, notamment via :
- Serveurs RDP avec mots de passe faibles accessibles depuis Internet
- Identités associées aux serveurs avec trop de privilèges
4. Attaques sur les pipelines CI/CD
Un vecteur émergent concerne les attaques ciblant les pipelines d’intégration et déploiement continus :
- Compromission des identités des développeurs
- Insertion de code malveillant dans les pipelines
- Déploiement d’images de conteneurs compromises
- Persistance garantie via les mécanismes de redémarrage automatique
Exploitation par les attaquants
Les attaquants profitent pleinement des avantages du cloud :
- Automatisation massive (scripts de déploiement multi-régions)
- Cryptomining à grande échelle (déploiement de centaines de conteneurs simultanément)
- Améliorations des techniques de phishing grâce à l’IA générative
- Simplicité d’utilisation des API de gestion cloud pour le mouvement latéral
Recommandations
Cédric suggère plusieurs approches pour améliorer la sécurité :
- Mieux comprendre et appliquer le modèle de responsabilité partagée
- Renforcer la gestion des identités et des privilèges
- Implémenter des mécanismes de découverte automatisée de données sensibles
- Sécuriser les pipelines CI/CD avec des processus de validation rigoureux
- Automatiser la détection et la réponse aux incidents
- Développer une véritable culture de sécurité des données
Cette transition vers le cloud nécessite un changement culturel et une évolution des pratiques de sécurité, au-delà des simples outils techniques.
Notes
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: incident, infonuagique, seqcure
Tweet
