MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Tenable, la société de gestion de l’exposition au risque cyber, annonce que 9 % des stockages cloud accessibles publiquement contiennent des données sensibles, selon son dernier rapport sur les risques de sécurité liés au cloud. Celui-ci révèle également que 97 % de ces données sont classées comme restreintes ou confidentielles, représentant des cibles de choix et faciles à exploiter pour les cybercriminels.
Selon le Cloud Security Risk Report 2025 de Tenable, les environnements clouds sont confrontés à une hausse importante des risques due à l’exposition de données sensibles, à des configurations défaillantes, à des vulnérabilités non corrigées et à une gestion inadéquate des clés d’accès (mots de passe, clés API, identifiants). Malgré les progrès réalisés en matière de sécurité cloud, les mauvaises pratiques persistent : droits excessifs, accès mal contrôlés et configurations laxistes exposent toujours les organisations à des attaques, soulignant l’urgence d’une gestion unifiée et proactive des risques cloud.
L’analyse publiée par l’équipe de recherche de Tenable met en évidence plusieurs domaines critiques où les mauvaises configurations créent une exposition généralisée dans le cloud :
Des données sensibles accessibles publiquement révèlent une exposition non maîtrisée. Les recherches de Tenable pointent que 9 % des ressources de stockage cloud accessibles publiquement contenaient des données sensibles, dont 97 % classées comme restreintes ou confidentielles. Cette intersection critique entre accès public et contenu à haute valeur représente une cible immédiate et idéale pour les acteurs malveillants, mettant en lumière des angles morts importants dans la posture de sécurité de nombreuses organisations.
Une gestion des clés d’accès non sécurisée crée des chemins d’attaque directs. Une constatation fréquente est le stockage non sécurisé de secrets critiques. Plus de la moitié des organisations (54 %) stockent des secrets directement dans les définitions de tâches AWS ECS (Elastic Container Service), avec des problèmes similaires sur GCP Cloud Run (52 %) et les workflows Azure Logic Apps (31 %). De plus, 3,5 % de toutes les instances AWS EC2 (Elastic Compute Cloud) contiennent également des secrets dans les données utilisateur. Ces pratiques exposent des chemins d’attaque directs, démontrant une défaillance critique dans la sécurisation des configurations des services cloud fondamentaux.
Des risques liés aux identités persistent malgré l’adoption des IdP. Bien que 83 % des organisations AWS aient adopté des fournisseurs d’identité (IdP), cette bonne pratique ne suffit pas à éliminer les risques de sécurité liés aux identités. Des configurations par défaut trop permissives, des droits excessifs et des permissions persistantes continuent de laisser les organisations exposées aux menaces basées sur les identités. Cela souligne la nécessité d’une approche axée sur l’identité en matière de sécurité cloud, qui valide en continu les permissions et les accès, au-delà de la simple adoption d’un IdP.
Les workloads exposés au "trio toxique cloud" restent un risque majeur. Malgré une baisse de 9 % par rapport à 2024 (38 %), 29 % des organisations sont encore confrontées à au moins un workload combinant ces trois facteurs : à la fois exposé publiquement, contenant une vulnérabilité critique et fonctionnant avec des droits d’accès ou des autorisations très élevés. Cette configuration représente un schéma de risque immédiat qui peut avoir des conséquences importantes.
Associés, ces constats révèlent un problème de fond. Ce ne sont pas les outils de sécurité qui manquent, mais une vision trop fragmentée et une gestion défaillante des configurations cloud, à l’origine d’une exposition généralisée des environnements.
« Malgré les incidents de sécurité survenus ces dernières années, de nombreuses organisations continuent d’exposer des ressources cloud critiques, qu’il s’agisse de données sensibles ou d’accès, à travers des erreurs de configuration pourtant évitables », déclare Ari Eitan, Directeur de la recherche en sécurité cloud chez Tenable.
« Le chemin emprunté par les attaquants est souvent simple : exploiter un accès public, dérober des clés d’accès intégrées ou abuser d’identifiants aux privilèges excessifs. Pour combler ces failles, les équipes de sécurité ont besoin d’une visibilité complète sur leur environnement, ainsi que de la capacité à hiérarchiser et automatiser les remédiations avant que les menaces ne s’aggravent. Le cloud exige une gestion des risques continue et proactive, et non des interventions réactives ponctuelles. »
Le rapport de Tenable sur les risques liés à la sécurité cloud repose sur les observations de l’équipe Tenable Cloud Research, issues de l’analyse de la télémétrie de charges de travail déployées dans différents environnements cloud publics et d’entreprise, entre octobre 2024 et mars 2025.
