Cloud et SI sensible : synthèse des recommandations de l’ANSSI
Que ce soit à des fins lucratives, d’espionnage ou encore de déstabilisation, la maîtrise grandissante des attaquants des environnements cloud entraîne l’accroissement des tentatives d’attaques.
Qu’une organisation souhaite migrer vers le cloud ou l’utilise déjà, il lui est nécessaire d’en connaître les menaces et d’en mesurer les risques. Pour cette appréciation des risques, adopter une démarche méthodique est indispensable.
La synthèse publiée en février 2025 par l’ANSSI « Cloud Computing – Etat de la menace informatique » dresse un bilan des menaces pesant sur le Cloud, et propose des recommandations de sécurité pour y remédier. Elle s’inscrit dans la continuité du guide « Recommandations pour l’hébergement des SI dans le cloud » publié par le même organisme en juillet 2024.
À quels enjeux répondent ces publications de l’ANSSI ?
La publication « Cloud Computing – État de la menace informatique » publié par l’ANSSI en février 2025 s’inscrit dans un cadre juridique international complexe où la protection des données sensibles est soumise à diverses régulations et menaces.
A ce titre, il prône le renforcement de la souveraineté numérique et l’indépendance des infrastructures afin qu’elles soient conformes aux réglementations européennes, tout en étant solides face à la menace cyber et préservées des tentatives d’ingérence étrangère et des risques liés à l’extraterritorialité du droit.
Dans le détail, la règlementation européenne, par le règlement (UE) n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), impose des obligations strictes concernant le traitement et le transfert des données personnelles au sein de l’Union européenne et vers des pays tiers. Toute organisation utilisant des services cloud doit s’assurer que ses pratiques sont conformes au RGPD.
Or, en application des articles 44 du RGPD, à défaut de mécanisme juridique ad hoc, les transferts de données à caractère personnel ne sont pas licites lorsque les données sont transférées ou accessibles depuis des pays en dehors de l’UE n’assurant pas un niveau de protection suffisant en matière de protection des données, lequel peut néanmoins être formellement reconnu par une »décision d’adéquation » adoptée par la Commission européenne.
Ainsi, lors du choix de son prestataire cloud, l’organisation doit être d’autant plus attentive que certaines entreprises sont soumises à des lois extraterritoriales telle que Le Clarifying Lawful Overseas Use of Data Act ou CLOUD Act américain. En effet, cette législation permet aux autorités américaines d’exiger l’accès à des données stockées par des fournisseurs de services cloud soumis à la juridiction des États-Unis, et ce même si ces données sont hébergées en dehors du territoire américain.
Dans tous les cas, l’Arrêt Shrems II de la CJUE du 16 juillet 2020 précise que quel que soit le véhicule de transfert utilisé, il revient désormais à l’exportateur des données d’évaluer la législation du pays de destination, afin de déterminer si les garanties fournies par les clauses contractuelles ou autres outils de transfert mis en place peuvent être respectées dans la pratique. Autrement dit, l’exportateur doit vérifier que le niveau de protection requis par le droit européen y est respecté.
Le guide met en avant un enjeu majeur : la sécurité des environnements cloud. Aujourd’hui, de plus en plus d’organisations, tant publiques que privées, s’appuient sur le cloud pour héberger leurs services et données, cependant cette transition entraîne une augmentation significative de la surface d’attaque. Qu’elle soit intra ou extra communautaire, la menace pèse particulièrement sur les infrastructures cloud qui centralisent des volumes importants de données sensibles. Cyber espionnage, vol de données, perturbation du service… les menaces sont multiples.
Le document insiste sur l’importance de bien comprendre le principe de la responsabilité partagée entre le fournisseur de services cloud et ses clients, chacun jouant un rôle clé pour garantir une protection globale des systèmes d’information.
Les recommandations de l’ANSSI tiennent compte de cet environnement dangereux et recommandent une sécurisation accrue des SI qui doivent garantir la disponibilité, l’intégrité, et la confidentialité des données dans le Cloud. Elle rappelle à travers ce guide son rôle d’accompagnement des organisations dans leur transformation numérique via le rappel des bonnes pratiques de sécurité et des conseils pour une sensibilisation accrue des équipes.
Le guide souligne également la nécessité de gérer efficacement les risques liés aux compromissions qu’il s’agisse de ransomwares, de vols d’identifiants ou d’attaques DDoS et aborde les défis posés par les législations extraterritoriales, qui peuvent impacter la confidentialité des données hébergées à l’étranger.
Quelles précisions sur les menaces ?
La publication de février 2025 fait état de la menace cloud et la différencie selon qu’elle vise les fournisseurs et opérateurs d’infrastructures cloud, les clients de services cloud ou les applications de virtualisation et composants de gestion matérielle.
Pour chacune de ces entités, elle fait état des diverses attaques qu’elles sont susceptibles de subir :
- celles qui visent les fournisseurs et opérateurs à des fins lucratives, d’espionnage, ou de déstabilisation,
- celles qui ciblent les clients en exploitant notamment une mauvaise configuration,
- celles visant les Applications de Virtualisation via les vulnérabilités dans les hyperviseurs et systèmes de gestion à distance.
- Et bien sûr pour finir, la menace de l’utilisation malveillante du cloud comme d’une infrastructure d’attaque.
Quel est votre regard sur le sujet ?
Le cloud est un outil puissant, permettant de fournir de nombreux services dans tous les domaines. Ce guide et les précisions apportées dans la description des menaces nous semblent être très utiles dans l’évaluation du risque de nos propres solutions cloud, internes mais aussi celles que nous fournissons à nos clients. Dans une démarche de management de la sécurité de l’information, la description des menaces, les scénarios de risques et les recommandations qui sont faites dans ce guide peuvent servir de lignes directrices à intégrer à une politique de sécurité des systèmes d’information sur le périmètre du « cloud ». Des publications à utiliser comme références donc.