Pourquoi Cloud reste un défi dansCloud
Lire le blog
Vectra AIfigure parmi les leaders du Magic Quadrant de Gartner pour la gestion des réponses aux incidents (NDR) en 2026
Lire le rapport
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Sécurité du Cloud

Pourquoi Cloud reste un défi dansCloud

June 24, 2026
6/24/2026
Aakash Gupta
Chef de produit principal du groupe
Zoey Chu
Product Marketing Manager
Pourquoi Cloud reste un défi dansCloud

Imaginez une cloud moderne cloud : une connexion réussie, une application dotée de droits d'accès excessifs, un jeton qui survit aux mesures correctives et une connexion qui se fond dans cloud normal.

Il ne s’agit pas d’une hypothèse. Microsoft a signalé que Midnight Blizzard, également connu sous les noms d’APT29 et NOBELIUM, a utilisé la technique du « password spraying » pour compromettre un ancien compte de locataire hors production ne disposant pas d’authentification multifactorielle (MFA), puis s’est servi de ce point d’ancrage pour exploiter des applications OAuth, se déplacer latéralement, et accéder aux e-mails d’entreprise afin de les exfiltrer. La NSA et ses partenaires ont averti qu’APT29 cible les infrastructures cloud via des comptes inactifs et automatisés, et qu’il peut utiliser des jetons, l’enregistrement d’appareils et une infrastructure de proxy pour maintenir son accès et dissimuler ses activités.

APT29 n'est pas un cas isolé. Storm-0558 a utilisé des jetons d'authentification falsifiés pour accéder à des messageries cloud, tandis que Storm-0501 montre que des acteurs animés par des motivations financières passent des environnements hybrides au vol cloud et à la perturbation des services.

C'est là tout le cloud en miniature : l'attaque est bien réelle, mais les indices sont dispersés entre l'identité, les autorisations d'accès aux applications, cloud , l'accès aux données et le comportement du réseau.

Depuis des années, cloud repose sur des visions partielles : les journaux du plan de contrôle, la capture de paquets lorsque le déploiement était possible, et les chronologies SIEM reconstituées a posteriori. Chaque approche a son intérêt. Aucune d’entre elles, à elle seule, ne permet aux responsables de la sécurité d’avoir une vision globale de la manière dont une attaque se propage dans le cloud.

Les attaquants ne se déplacent pas en fonction de l'organisation des outils de sécurité. Ils évoluent à travers les identités, les API, les charges de travail, les services et les chemins réseau, ce qui oblige les défenseurs à établir trop de liens, de manière trop manuelle et trop tardivement.

Cloud pose un problème de corrélation

La plupart des entreprises ne manquent pas de données cloud . Elles disposent d'analyses de la posture de sécurité, d'alertes d'identité, cloud natifs cloud , de signaux liés aux charges de travail, de données de télémétrie réseau et d'événements SIEM. Le problème est que ces signaux sont souvent dispersés dans différents outils, relèvent de différentes équipes et utilisent les langages propres à différents cloud .

Cette fragmentation offre aux attaques un terrain propice à la dissimulation. Une identité compromise, une modification d'autorisation, une nouvelle charge de travail ou encore une connexion sortante inhabituelle peuvent chacune apparaître à des endroits différents. Prises isolément, ces anomalies peuvent sembler justifiables. Mais prises dans leur ensemble, elles peuvent révéler une attaque se propageant dans l'environnement.

Pour les responsables des risques et les responsables de la sécurité, cela crée une illusion dangereuse : l’organisation peut voir de nombreuses parties du cloud ne saisit toujours pas comment le risque se développe. Pour les professionnels, cela se traduit par une charge de travail quotidienne consistant à passer d’une console à l’autre, à recouper les chronologies, à interpréter les journaux spécifiques aux fournisseurs et à déterminer si des événements apparemment sans rapport représentent une séquence de comportements d’attaquants correspondant au MITRE ATT&CK . Ce qui peut apparaître comme des signaux isolés représente en réalité des opérations de reconnaissance, d’accès aux identifiants, d’escalade de privilèges, de déplacement latéral ou de persistance se déroulant à travers le cloud. Le problème ne réside pas dans la visibilité en un seul endroit, mais dans l’absence de corrélation entre les différents endroits où les attaquants se déplacent.

cloud le manque de visibilité encore plus difficile à ignorer

La plupart des entreprises n'opèrent pas exclusivement sur un seul cloud. Elles utilisent à la fois AWS et Azure, ont recours à GCP pour l'analyse de données ou l'IA, s'appuient sur OCI pour leurs applications d'entreprise, ou héritent de nouveaux cloud à la suite d'acquisitions.

Chaque cloud son propre modèle d'identité, son format de journalisation, son abstraction réseau et son langage opérationnel, ce qui complique la corrélation manuelle au moment même où les défenseurs auraient besoin qu'elle soit plus rapide. À peine une équipe commence-t-elle à comprendre ce que fait un attaquant dans un cloud donné que l'attaque est peut-être déjà en train de se dérouler ailleurs.

Les pirates exploitent cette faille. On a observé que le groupe UNC3944, également connu sous le nom de Scattered Spider, ciblait les fournisseurs d’identité, les failles de sécurité des solutions SaaS et cloud telles qu’Azure, AWS et GCP, en abusant des autorisations, des plateformes de virtualisation et des outils cloud pour se déplacer latéralement et voler des données.cloud ne sont pas à l’origine du problème. Celui-ci existe déjà.cloud ne font que l’aggraver.  

Exemple de scénariocloud hybride etcloud

cloud hybridecloud respecte rarement cloud organisationnelles ou cloud . Le pirate suit les identités, les autorisations, les charges de travail et les relations de confiance, où qu’elles le mènent. Le défi pour les défenseurs réside dans le fait que l’enquête se retrouve souvent fragmentée entre différents outils cloud, alors même que l’attaque elle-même reste cohérente.

Et ce défi ne fait que s’accentuer à mesure que les attaquants agissent de plus en plus rapidement. Des recherches récentes ont démontré qu’un système d’IA autonome était capable d’exploiter des vulnérabilités, de collecter des identifiants et de se déplacer latéralement dans cloud sans aucune intervention humaine. Des activités qui prenaient autrefois des heures, voire des jours, peuvent désormais s’accomplir en quelques minutes. Les défenseurs ne sont pas seulement confrontés à une visibilité fragmentée ; ils disposent également de moins de temps pour relier les points entre eux.

Découvrez comment les pirates opèrent grâce à notre ebook.

Le plan de contrôle reflète les changements. Les journaux de flux indiquent les mouvements.

cloud commence souvent au niveau du plan de contrôle : une authentification d’identité, une modification de la politique de gestion des identités et des accès (IAM), la création d’une clé, la modification d’un rôle, l’ouverture d’un groupe de sécurité ou le lancement d’une charge de travail. Ces signaux sont importants. Ils indiquent qui a fait quoi, ce qui a changé et quels accès sont désormais possibles. Mais ils ne révèlent pas toujours ce que cet accès permet de faire.

Le plan cloud illustre la manière dont les charges de travail, les services, les applications et les utilisateurs communiquent entre eux : qu'il s'agisse d'une nouvelle charge de travail accédant à une base de données sensible, d'un service contactant une destination inconnue ou d'un trafic circulant entre des environnements qui ne devraient normalement pas interagir.

Dans le cadre d'une enquête, ces éléments doivent être rassemblés rapidement. Une nouvelle clé, une connexion apparemment banale liée à la charge de travail et un flux sortant d'apparence inoffensive peuvent être facilement ignorés pris séparément. Mais, mis en relation dans le temps, ils peuvent révéler qu'une identité est utilisée pour obtenir un accès, se déplacer dans l'environnement et accéder aux données.

Les paquets offrent une visibilité approfondie lorsqu'ils sont pertinents. Cependant, danscloud dynamiques, la collecte à grande échelle de paquets peut s'avérer complexe à mettre en place, à faire évoluer et à maintenir. Les journaux de flux constituent un moyen plus évolutif d'observer le comportement cloud : quels systèmes ont communiqué, via quels ports et protocoles, dans quelle direction, et avec quel volume ou selon quel schéma.

Mais les journaux de flux ne constituent qu'un signal parmi d'autres, à moins d'être mis en relation avec l'identité, l'activité du plan de contrôle, le contexte de la charge de travail et le comportement de l'attaquant. C'est cette corrélation qui permet de transformer cloud en une détection exploitable avant même que l'impact ne se produise.

La prochaine étape consiste à mettre en place cloud et une détection unifiées cloud

Une cloud qui repose sur l’interprétation individuelle de chaque fournisseur par chaque équipe aura du mal à suivre le rythme. Même Zero Trust sur une visibilité interconnectée. Les responsables de la sécurité ont besoin d’une visibilité interconnectée pour vérifier que l’identité, les modifications apportées au plan de contrôle et le comportement des charges de travail correspondent bien à ce qui se passe au niveau cloud , là où les applications communiquent, les services interagissent, les données circulent et où l’activité de l’entreprise se déroule réellement.

La solution ne réside pas dans un nouveau tableau de bord, un flux de journaux bruts ou une nouvelle alerte qui replonge les analystes dans le même cycle d'investigation manuelle. Cloud doit passer de la simple collecte de données télémétriques à l'analyse des comportements.

Les équipes de sécurité doivent savoir, en temps réel, si l’activité liée aux identités, les modifications du plan de contrôle, le comportement des charges de travail et les communications cloud font partie d’une même attaque. Les outils existants sont utiles, mais trop souvent, ils ne fournissent aux défenseurs que des informations fragmentaires : posture de sécurité, identités, trafic et journaux. Dans le cadre d’une cloud évoluant rapidement, ces fragments ne suffisent pas. De plus, les équipes ont également besoin de capacités cloud et de réponse cloud , soutenues par des outils d’investigation basés sur l’IA et des capacités de réponse qui transforment les signaux connectés en contexte, en conseils et en actions à la vitesse exigée par les attaques modernes.

Ce système permet de relier les signaux en temps réel entre les différents plans et fournisseurs, afin que les équipes de sécurité puissent identifier le chemin emprunté par l'attaque tant qu'il est encore temps d'agir.

C'est ce qui est à l'origine des capacités étendues Vectra AI en matière d'observabilité cloud sur Amazon Web Services (AWS), Microsoft Azure, Google Cloud (GCP) et Oracle Cloud (OCI). La Vectra AI associe la visibilité sur le plan de contrôle et cloud, permettant ainsi aux entreprises de détecter cloud comme des comportements interconnectés au sein de leurscloud , et non comme des événements isolés.

Alors que les pirates utilisent l'IA pour raccourcir les délais et passer d'un domaine à l'autre, cloud moderne doit relier les signaux pertinents suffisamment rapidement pour comprendre l'attaque avant qu'elle ne se transforme en violation de données.

Vous souhaitez en savoir plus sur notre Vectra AI ? Découvrez-en davantage surcloud grâce à notre dernier podcast.

Foire aux questions