La voie de la moindre résistance : pourquoi la défense en profondeur est la meilleure réponse aux menaces du cloud

By Phil Muncaster • 9 avril 2026 • 6 min de lecture

Les acteurs malveillants sont avant tout ingénieux. Lorsqu'ils constatent qu'un chemin est bloqué, ils ne baissent pas les bras. Au contraire, ils en cherchent simplement un autre. Il suffit de jeter un œil aux dernières informations de Google. Rapport sur les horizons des menaces dans le cloud Pour le premier semestre 2026, Google Cloud a intégré à sa plateforme un ensemble de bonnes pratiques rigoureuses afin de minimiser les risques d'usurpation d'identité et d'abus. Alors, qu'ont fait les cybercriminels au cours du second semestre 2025 ? Ils ont tout simplement modifié leurs méthodes d'accès initiales, passant du vol d'identifiants à l'exploitation de vulnérabilités.

Il s'agit là de l'une des nombreuses observations intéressantes du rapport qui pourraient aider les RSSI dans leurs efforts pour améliorer en permanence leur posture de sécurité.

Des bugs aux violations de données

Deux graphiques illustrent parfaitement le caractère dynamique du paysage actuel des menaces : l’un détaille les vecteurs d’accès initiaux exploités dans Google Cloud, et l’autre est indépendant de toute plateforme. Dans Google Cloud, les identifiants faibles ou absents n’ont été responsables que de 27 % des violations au second semestre 2025, contre 47.1 % au cours des six mois précédents. En revanche, l’exploitation des vulnérabilités des logiciels tiers a représenté 45 % des violations, contre seulement 3 % au premier semestre 2025.

Bien que ces dernières attaques soient « plus sophistiquées et coûteuses » pour les cybercriminels, ces derniers les maîtrisent de mieux en mieux. Le délai entre la divulgation d'une vulnérabilité et son exploitation massive est passé de plusieurs semaines à quelques jours, voire quelques heures, selon Google. React2Shell a été l'une des cibles les plus populaires d'exploitation l'année dernière, ce qui a entraîné une violation majeure chez LexisNexis, parmi plusieurs autres entreprises.

Cependant, si l'on considère l'ensemble des plateformes, l'usurpation d'identité s'impose à nouveau comme le principal vecteur d'attaque pour les incidents impliquant les environnements cloud et SaaS majeurs, représentant 83 % des accès initiaux. L'exploitation des vulnérabilités ne représentait que 2 % l'année dernière. Concernant plus spécifiquement l'usurpation d'identité, le vishing (17 %) était plus répandu que le phishing par e-mail (12 %). Mais l'utilisation d'identifiants volés (21 %) et la compromission de relations de confiance avec des tiers (21 %), comme la tristement célèbre campagne Salesforce Drift OAuth, étaient encore plus fréquentes.

Soyez plus Google

Le rapport offre non seulement un aperçu utile des tendances actuelles en matière de menaces, mais il montre également ce qui fonctionne en matière de défense. Dans un monde idéal, les RSSI pourraient s'en inspirer. La défense en profondeur de Google Cloud et une approche de sécurité par défaut visant à bloquer autant de voies d'accès initiales que possible. Du point de vue de l'identité, cela signifie :

Appliquer le principe du moindre privilège et auditer/supprimer régulièrement les permissions excessives
Remplacer les règles de pare-feu permissives par des proxys centrés sur l'identité, afin de protéger les interfaces d'administration contre l'exécution de code à distance (RCE) et les mots de passe volés.
Mise en œuvre d'une authentification multifacteur (MFA) contextuelle et résistante au phishing (par exemple, clés matérielles ou mots de passe)
Limiter les données auxquelles les applications tierces peuvent accéder (par exemple via l'intégration OAuth)
Mettre en place des protocoles de vérification stricts pour le personnel du service d'assistance informatique (par exemple, exiger une vérification visuelle lors d'un appel vidéo ou l'approbation d'un responsable secondaire) afin d'atténuer les tentatives d'hameçonnage vocal.

Le principe de « sécurité par défaut » est l'un des moyens les plus efficaces de réduire les risques dans les environnements cloud modernes, affirme Peter Clapton, directeur technique de Vysiion.

« Les plateformes devraient intégrer des protections de base robustes pour la gestion des identités, de l'authentification et des privilèges, afin que les organisations n'aient pas à compter sur les administrateurs pour configurer correctement de nombreux contrôles avant d'être protégées », explique-t-il à IO (anciennement ISMS.online). « Dans les environnements cloud, où l'infrastructure peut être déployée rapidement et à grande échelle, ces garde-fous par défaut réduisent considérablement le risque qu'une mauvaise configuration devienne une porte d'entrée pour les attaquants. »

Cependant, la sécurité par défaut doit être considérée comme un minimum. « L’identité est devenue le périmètre de sécurité moderne ; les organisations ont donc toujours besoin d’une gouvernance robuste, d’une surveillance efficace et de politiques d’accès au moindre privilège pour l’ensemble des utilisateurs, des comptes de service et des intégrations tierces afin de gérer efficacement les risques », explique Clapton.

Les RSSI pourraient également suivre les recommandations de Google concernant la réduction des risques d'exploitation des vulnérabilités, telles que décrites dans le rapport. Cela inclut la mise à jour de la politique de correctifs afin de garantir que les CVE soient protégées quasiment sous 24 heures et entièrement corrigées sous 72 heures. L'analyse automatisée des vulnérabilités contribuera à ces efforts en détectant les logiciels non corrigés.

« Les équipes de sécurité devraient prioriser les vulnérabilités en fonction de leur exploitabilité, de leur exposition et de leur criticité pour les ressources, plutôt que de se fier uniquement aux scores CVSS », conseille Clapton. « Il est essentiel d'intégrer l'analyse des vulnérabilités aux processus de développement et de maintenir une visibilité sur les ressources cloud en constante évolution. »

La différence ISO

Cependant, Shane Barney, CISO de Keeper Security, soutient que, si la posture de sécurité par défaut de Google Cloud est excellente pour ses clients, la plupart des entreprises opèrent dans des environnements hybrides et multicloud où ces contrôles ne s'étendent pas de manière cohérente.

« La priorité des RSSI ne devrait pas être de reproduire le modèle d'un seul fournisseur, mais de garantir des résultats de sécurité cohérents dans tous les environnements. Cela implique de mettre en œuvre des contrôles de sécurité axés sur l'identité et qui accompagnent l'utilisateur, plutôt que la plateforme elle-même », explique-t-il à IO.

« Une approche « sécurisée par défaut » n’est efficace que si elle est renforcée par un modèle de confiance zéro qui part du principe qu’aucune identité ni aucun système ne peut être implicitement digne de confiance, applique le principe du moindre privilège pour éliminer les autorisations permanentes et met en œuvre une vérification continue et une surveillance des sessions pour détecter et contenir les abus en temps réel, notamment sur les comptes privilégiés. »

Heureusement, les RSSI ont un allié de taille : les normes et cadres de bonnes pratiques comme l’ISO 27001.

« Des référentiels comme l’ISO/IEC 27001 constituent un socle essentiel en formalisant les contrôles relatifs à la gestion des vulnérabilités, à la gouvernance des identités et des accès, ainsi qu’à la sensibilisation à la sécurité », poursuit Barney. « Ils traduisent les intentions réglementaires en pratiques structurées et auditables pour la gestion des risques liés à l’information, intégrant des contrôles pour la gestion des accès, la correction des vulnérabilités et la réponse aux incidents, et ce, dans des environnements complexes basés sur le cloud. »

Javvad Malik, conseiller principal en matière de sécurité de l'information chez KnowBe4, est également partisan de telles approches formalisées de bonnes pratiques, à condition que l'objectif ne soit pas une simple conformité de façade.

« Les normes telles que l’ISO 27001 sont utiles car elles peuvent guider les organisations afin qu’elles mettent en place les éléments fondamentaux tels que la gestion des actifs, les correctifs, le contrôle d’accès, la réponse aux incidents, les risques humains, etc. », explique-t-il à IO.

« Prises isolément, les normes peuvent avoir une valeur limitée, surtout si les organisations ne les appliquent que par souci de conformité. Elles devraient servir à instaurer une gouvernance solide, être intégrées aux opérations quotidiennes et sous-tendre la culture de sécurité globale afin que les choix sécurisés deviennent la norme et les choix privilégiés. »

Élargissez vos connaissances

Podcast: Phishing for Trouble Épisode n° 05 : Qui détient les clés de votre entreprise ?

Webinaire (anglais seulement): Sécuriser votre environnement cloud

Blog: De la sécurité périmétrique à l'identité comme sécurité

La voie de la moindre résistance : pourquoi la défense en profondeur est la meilleure réponse aux menaces du cloud

Des bugs aux violations de données

Soyez plus Google

La différence ISO

Élargissez vos connaissances

Phil Muncaster

Articles connexes

Ce que le cadre politique national de la Maison Blanche en matière d'IA signifie pour la conformité

Respecter la loi sur l'utilisation et l'accès aux données en toute confiance : pourquoi la boucle ISO 27001, 27701 et 42001 est efficace

Cybermenaces dans un contexte de tensions accrues au Moyen-Orient : à quoi peuvent s’attendre les RSSI britanniques

Plus d'articles de Phil Muncaster

Cybermenaces dans un contexte de tensions accrues au Moyen-Orient : à quoi peuvent s’attendre les RSSI britanniques

Le NCSC demande aux infrastructures critiques d’« agir maintenant » : qu’est-ce que cela signifie ?

Une échéance cruciale concernant la loi européenne sur l'IA approche : voici ce que les entreprises doivent savoir