cloud expliquée : détection unifiée des menaces sur AWS, Azure et GCP

La plupart des entreprises n'utilisent plus un seul cloud. Elles en utilisent deux, trois, voire davantage — et chaque fournisseur propose son propre modèle d'identité, son propre langage de politiques et son propre format de journaux d'audit. Selon Cloud « State of the Cloud 2025 » de Flexera, environ 70 % des organisations ont recours à un environnement hybride oucloud, avec en moyenne 2,4 fournisseurs publics chacune. C'est précisément dans cette fragmentation que les attaquants trouvent leur terrain de prédilection. D'après l'étude « Cost of a Data Breach » du Ponemon Institute, les violations de données touchant plusieurs environnements sont celles qui coûtent le plus cher et qui ont pris le plus de temps à contenir dans le rapport de 2024.

Cette page explique ce qu'estcloud , en quoi elle diffère du cloud hybride, pourquoi la fédérationcloud constitue le principal risque, et comment la détection unifiée permet de visualiser unecloud comme un événement unique. C'est cette profondeur que la « liste de contrôle des capacités » standard ne prend pas en compte.

Qu'est-ce quecloud ?

cloud consiste à protéger les charges de travail, les données et les identités réparties entre deux ou plusieurs cloud public — tels qu'AWS, Azure et Google Cloud en les considérant comme une seule et même surface d'attaque, tout en appliquant des politiques, une visibilité et une détection des menaces cohérentes, même si chaque fournisseur exploite un plan de contrôle distinct. Cette approche considère les fournisseurs comme un seul et même environnement, et non comme plusieurs environnements distincts.

Les entreprises adoptentcloud des raisons tout à fait valables : les meilleurs services proposés par chaque fournisseur, la résilience face à une panne chez un seul fournisseur, la flexibilité en matière de localisation des données et l'absence de dépendance vis-à-vis d'un fournisseur.cloud également renforcer la résilience en matière de sécurité, car cloud seul cloud n'entraîne pas la panne de l'ensemble du système. En contrepartie, cela implique une certaine complexité — et le défi en matière de sécurité réside dans les lacunes entre les fournisseurs, et non dans cloud en particulier.

Cette complexité est désormais la norme plutôt que l'exception. L'étude « Thales 2025 Cloud Study », réalisée auprès d'environ 3 200 répondants, estime à 2,1 le nombre moyen de fournisseurs publics par organisation. Les chiffres relatifs à l'adoption varient considérablement selon que l'enquête prend en compte uniquement les fournisseurs publics ou inclut les solutions hybrides — des estimations plus anciennes atteignaient jusqu'à 98 % (Oracle/451 Research, 2023) — mais les données actuelles pour 2025 convergent vers un modèle opérationnel standard comprenant au moins deux fournisseurs. La conclusion est simple : si vous utilisez plusieurs cloud, cloud n'est plus une option, et le défi consiste à maintenir une protection cohérente entre des fournisseurs qui n'ont jamais été conçus pour interagir.

Pour en savoir plus sur les outils qui permettent d'y parvenir — et sur la manière dont la gestion de la posture cloud , la protection des charges de travail et la gestion des droits s'articulent entre elles —, consultez notre guide sur cloud et la réponsecloud .

cloud cloud hybride

cloud souventcloud cloud hybride », alors qu'il s'agit d'architectures distinctes présentant chacune leurs propres failles.cloud deux ou plusieurs fournisseurs publics fonctionnant en parallèle. Le modèle de menace est de type fournisseur à fournisseur : gestion des identités et des accès (IAM) incohérente, journaux fragmentés et confiance fédérée qu'un attaquant peut exploiter pour passer d'un cloud un autre. cloud hybride cloud une infrastructure sur site combinée au cloud, où les principales préoccupations sont la visibilité est-ouest et le pont d'identité entre les annuaires sur site et les fournisseurs cloud .

Cette distinction est importante, car elle détermine les contrôles dont vous avez besoin. Un programme hybride mise fortement sur la surveillance de l'interface entre le centre de données et le cloud. Uncloud vise à normaliser la télémétrie et à corréler l'activité des identités entre les différents fournisseurs qui génèrent des données de nature différente.

Tableau : cloud entrecloud cloud hybride en termes de portée et de modèle de menace.

Cette page présente le modèle à deux fournisseurs ou plus. Pour ce qui concernecloud » — la détection est-ouest et le pontcloud —, consultez la section « Détection cloud hybride ».

Risques et défis liés àcloud

cloud les plus courantscloud n'ont rien d'exceptionnel. Il s'agit des conséquences prévisibles de l'interconnexion de fournisseurs qui gèrent différemment les identités, les politiques et la journalisation. Les défis récurrents sont les suivants :

• Fragmentation de la visibilité : les journaux d'audit de chaque fournisseur utilisent un schéma différent et sont transmis avec des délais de latence variables.
• Incohérence du modèle IAM : les rôles, les politiques et les relations de confiance varient d'un fournisseur à l'autre.
• Dérive de configuration : les valeurs par défaut et les langages de stratégie divergent, ce qui entraîne un décalage des paramètres.
• La complexité liée au partage des responsabilités : la ligne de responsabilité varie en fonction de chaque prestataire et de chaque service.
• Chevauchement des outils : la présence d'outils en double ou partiellement configurés entraîne l'apparition de joints et d'espaces.
• Comptes orphelins : les comptes oubliés ou inutilisés, quel que soit le fournisseur, deviennent des points d'entrée discrets.

La fragmentation de la visibilité mérite d'être définie, car elle est à l'origine de bien d'autres problèmes : il s'agit de l'angle mort en matière de sécurité qui apparaît lorsque chaque fournisseur gère ses journaux et ses rapports de manière différente, ne laissant aucun endroit unique où visualiser ce qui se passe chez l'ensemble d'entre eux. cloud oubliés présentent un risque pour une raison similaire : un compte inutilisé, doté de droits d'accès excessifs et que personne ne surveille constitue un point d'ancrage idéal pour un attaquant, et dans uncloud , ces comptes se multiplient à raison d'un par fournisseur.

cloud sont-ils donc plus vulnérables aux cyberattaques ? Pas en soi.cloud pas moins sécurisé par nature, mais une visibilité fragmentée et une gestion des identités et des accès (IAM) incohérente prolongent la période pendant laquelle un attaquant peut agir sans être détecté. Les données sur les coûts le démontrent clairement. Selon l'étude « Cost of a Data Breach » (Coût d'une violation de données) du Ponemon Institute, dans le rapport de 2024, les violations touchant plusieurs environnements sont les plus coûteuses — 5,05 millions de dollars — et ont nécessité 283 jours pour être identifiées et maîtrisées, 40 % des violations touchant plusieurs environnements. L'édition 2025 estime le coût moyen mondial d'une violation à 4,44 millions de dollars, ce qui représente la première baisse en cinq ans. La leçon à en tirer est la même d'une édition à l'autre : lorsqu'une violation touche plusieurs environnements, elle coûte plus cher et dure plus longtemps — car aucune console ne permet d'avoir une vue d'ensemble.

Pour en savoir plus sur les principes fondamentaux du modèle de responsabilité partagée et sur les pratiques de base indispensables à tout cloud , consultez notre guide cloud .

Comment fonctionne la détection unifiéecloud

C'est justement ce que les pages pilier standard omettent. Le fait de citer le CSPM, le CWPP et le CIEM comme des « fonctionnalités » vous indique quoi acheter, mais pas comment obtenir une détection cohérente alors que les journaux AWS CloudTrail, Azure Activity et Entra, ainsi que les journaux Cloud Google Cloud , diffèrent en termes de schéma, de latence et de modèle d'identité. La détection unifiée normalise les données télémétriques de chaque fournisseur en un seul modèle, de sorte qu'unecloud apparaît comme un scénario corrélé unique, et non comme une succession d'événements dispersés.

Le processus suit un schéma récurrent :

1. Collecter les données de télémétrie par fournisseur pour chaque cloud.
2. Normalisez les données selon un schéma commun.
3. Appliquer un seul modèle de détection à l'ensemble des prestataires.
4. Intégrez les données dans une solution SIEM, XDR ou NDR unifiée.
5. Mettre en corrélation les activités entrecloud.
6. Faites le tri et répondez une seule fois.

‍

Le processus commence par la réalité du plan de contrôle. Chaque fournisseur procède à l'audit et à l'authentification à sa manière, et un modèle de détection qui fonctionne dans un cloud être reproduit tel quel dans un autre. Le tableau ci-dessous présente les différences qu'une couche unifiée doit concilier.

Tableau : Différences au niveau du plan de contrôle et de la journalisation par fournisseur qu'un modèle de détection unifié doit normaliser.

Une fois la télémétrie normalisée, la question est de savoir où elle est stockée. Un système SIEM traditionnel offre des fonctionnalités éprouvées de corrélation et de reporting, mais peut s’avérer coûteux face à des volumescloud . Un lac de données de sécurité offre une conservation moins onéreuse et des requêtes flexibles, mais impose à votre équipe davantage de travail d’ingénierie en matière de détection. De nombreuses entreprises utilisent les deux : un lac de données pour l'étendue et la conservation, et une couche de détection unifiée pour la corrélation en temps réel. détection et réponse aux incidents NDR) ainsi que la détection et la réponse étendues (XDR) comblent les lacunes d'une vue basée uniquement sur les journaux : en exploitant les événements cloud parallèlement à la télémétrie de flux et de comportement, elles mettent en évidencecloud qu'une console de fournisseur unique ne peut pas détecter.

La couche réseau joue un rôle essentiel à cet égard et mérite qu'on s'y attarde plus en détail — pour l'inspection et la segmentation du trafic entre différents fournisseurs, voir la section consacrée à la sécuritécloud . Cependant, l'investissement à lui seul ne suffit pas à combler le fossé. Une enquête menée en 2026 sur le secteurcloud a révélé que 41 % des entreprises indiquent que les enquêtes sur les violations de sécurité prennent désormais plus de temps, alors même que 93 % d'entre elles avaient acquis de nouveaux outils de détection et de visibilité. Multiplier les outils sans les harmoniser ne fait qu'accroître le bruit, et non la clarté.

Fédérationcloud : le risque principal

L'identité est le principal vecteurcloud , et la fédération en est la cause. Lorsqu'un fournisseur d'identité central — Entra ID ou un service d'authentification unique tiers — est fédéré avec AWS, Azure et GCP, la compromission d'un seul fournisseur d'identité peut se traduire parcloud . Un identifiant ou un jeton volé chez un fournisseur donne accès à un autre fournisseur, et pour la console de chaque fournisseur, cela apparaît comme un événement distinct et sans rapport. C'est là que réside la faille. Deux consoles voient deux connexions. Seule une couche capable de corréler l'activité des identités entre les différents fournisseurs perçoit une seule attaque.

L'étude de Thales Cloud en 2025 révèle que des identités compromises sont impliquées dans plus de 70 % des cloud , et 68 % des entreprises citent le vol d'identifiants ou de secrets comme la tactique d'attaque qui connaît la croissance la plus rapide. Pourquoi la gestion des identités est-elle si difficile danscloud ? Parce que chaque fournisseur modélise l'identité différemment, qu'il est facile de surestimer la portée de la confiance fédérée et que la prolifération des identités — trop de comptes, de rôles et d'autorisations répartis entre les clouds — rend difficile de savoir à quoi ressemble une situation normale.

Le risque n'est pas purement théorique. L'avis conjoint AA24-057A de la CISA et du NCSC-UK, publié en février 2024, a mis en évidence que des acteurs du SVR russe (APT29) adaptaient leurs tactiques pour cloud initial cloud : ils exploitent des comptes inactifs, volent des jetons et contournent l'authentification multifactorielle pour s'introduire et s'implanter durablement dans cloud . Ces techniques constituent la base d'un pivotcloud . L'activité actuelle confirme ce schéma : une phishing par code d'appareil OAuth menée en 2026 a touché plus de 340 organisations Microsoft 365, et comme un jeton généré par un fournisseur d'identité central fédéré à AWS ou GCP acloud , un seul jeton volé peut ouvrir l'accès à plusieurs clouds. Il est crucial de noter que l'authentification multifactorielle (MFA) n'a offert aucune protection dans cette campagne, et que le jeton de rafraîchissement a persisté après que la victime a réinitialisé son mot de passe (Cloud Alliance Labs; FBI IC3 PSA).

La réponse défensive est spécifique. Il convient de révoquer les jetons d'actualisation plutôt que de se contenter de réinitialiser les mots de passe, car une simple réinitialisation laisse le jeton volé actif. Il faut considérer le flux de code de l'appareil comme un point de contrôle d'accès conditionnel et en limiter l'accès ou le champ d'application. Il convient de surveiller l'émission des jetons et de rechercher toute anomalie. chez différents prestataires, et non pas un cloud la fois. Dans MITRE ATT&CK , lecloud correspond à T1550.001 (Jeton d'accès à l'application) pour les mouvements latéraux et T1606.002 (Jetons SAML) pour l'accès aux identifiants. Des études indépendantes sont parvenues à la même conclusion : la prolifération des identités et l'authentification unique fédérée permettentcloud d'échapper aux vues offertes par une console unique (InformationWeek).

‍

Combler cette lacune relève de la détection des menaces liées à l'identité. Pour en savoir plus sur la détection et la réponse aux attaques ciblant l'identité, consultez la section « Détection et réponse aux menaces liées à l'identité » (ITDR); pour la définition de profils comportementaux permettant de signaler une connexion fédérée anormale, consultez la section « Analyse de l'identité » ; et pour la taxonomie complète des techniques, consultez MITRE ATT&CK.

cloud : un problème de preuve impliquant plusieurs fournisseurs

Danscloud, la conformité relève moins d'une simple liste de contrôle que d'un problème de justification. La difficulté réside dans la nécessité de démontrer une couverture cohérente des contrôles chez tous les fournisseurs, qui produisent chacun des justificatifs natifs différents, dans des formats variés. Quel est l'impactcloud sur les audits de conformité et le reporting ? Ils multiplient la charge de travail : chaque contrôle doit être justifié séparément pour chaque fournisseur, à moins d'unifier les justificatifs.

C'est le cas pour la journalisation unifiée qui va au-delà de la simple détection. Lorsque la télémétrie est centralisée en un seul endroit, vous pouvez tester un contrôle une seule fois et produire des preuves d'audit inter-fournisseurs à partir d'une source unique — « tester une fois, se conformer à plusieurs reprises ». Quel cadre est le plus couramment utilisé pour la conformitécloud ? Dans la pratique, les organisations s'appuient sur le cadre de cybersécurité du NIST et la norme ISO/IEC 27001:2022 comme références, les opérateurs de l'UE y ajoutant la directive NIS2.

Tableau : Tableau de correspondance entrecloud et les principaux référentiels.

Pour les opérateurs de l'UE et du Royaume-Uni, le compte à rebours a commencé. La directive NIS2 est désormais pleinement applicable et, conformément aux recommandations techniques de l'ENISA relatives à sa mise en œuvre, la date limite pour le premier audit a été repoussée au 30 juin 2026. Uncloud capable de produire des preuves unifiées avant cette date limite se trouve dans une position bien plus favorable qu'un programme consistant à rassembler manuellement les rapports de chaque fournisseur. Pour une vue d'ensemble du programme, consultez la section « Conformité » et, pour les spécificités relatives à la protection des données, la section « RGPD ».

Réduire la prolifération des outils et les coûts

La gestion d'une pile distincte de solutions de détection gérée, SIEM ou NDR pour chaque point de contrôle est coûteuse et crée précisément les failles que les attaquants exploitent. Le principe de la consolidation est simple : recenser les outils de chaque fournisseur que vous utilisez actuellement, identifier les chevauchements et regrouper les outils ponctuels redondants au sein d'une couche de détection unifiée. Il en résulte une réduction du nombre de consoles, une diminution des angles morts et une baisse du coût total.

L'argument du coût et celui de la sécurité reviennent au même. Selon l'étude « Cost of a Data Breach » (rapport 2024) de l'Institut Ponemon, les violations de données touchant plusieurs environnements ont coûté 5,05 millions de dollars et ont duré 283 jours — une situation due en partie au manque de visibilité généré par la prolifération des outils. La consolidation réduit cette fenêtre, d'où proviennent les économies. C'est pourquoi le problème du chevauchement des outils relève autant d'une discussion budgétaire que d'une discussion sur la sécurité.

La protection des données est un domaine connexe qui mérite un traitement à part entière plutôt qu'un simple paragraphe ici ; pour en savoir plus sur les spécificités de la sécurité cloud , consultez la ressource dédiée.

Approches modernes decloud

Que faut-il rechercher dans une approche modernecloud ? Les fonctionnalités essentielles correspondent directement aux lacunes mentionnées ci-dessus :

• cloud unifiéecloud , afin que chaque fournisseur contribue à une vue d'ensemble cohérente.
• Une détection axée sur l'identité qui considère l'identité fédérée comme la principale voie d'attaque.
• Une ingestion consolidée des données SIEM, XDR et NDR, plutôt que des silos par fournisseur.
• Un triage assisté par IA qui met en corrélationcloud et réduit le bruit des alertes.
• Une cohérence des politiques et des preuves de conformité chez tous les prestataires.

Les acheteurs s'attendront également à des fonctionnalités liées à cloud : gestion de la posture cloud (CSPM), protection cloud (CWPP) et gestion des droits cloud (CIEM). Il s'agit là d'éléments indispensables, et les définitions de ces catégories figurent dans notre guide cloud et la réponsecloud ; nous ne les redéfinirons donc pas ici.

Plusieurs tendances vont façonner les 12 à 24 prochains mois. L'IA se retrouve désormais des deux côtés du barrière : elle permet de créer phishing plus convaincants tout en aidant les défenseurs à trier et à corréler les informations. L'identité est passée du statut de risque parmi tant d'autres à celui de principale voie d'attaque, les failles d'identité étant citées dans environ 90 % des enquêtes de réponse aux incidents menées en 2025 (étude Unit 42). Et les vulnérabilités du plan de contrôle par fournisseur continuent d’apparaître à un rythme soutenu ; le rapport de mai 2026Zero Day a répertorié une vague de CVE critiques affectant cloud Azure, rappelant qu’uncloud doit suivre simultanément l’exposition sur le plan de contrôle de chaque fournisseur. Un Zero Trust — vérification explicite, application du principe du moindre privilège — constitue la base architecturale qui rend le reste fonctionnel. Pour un exemple d’outils de détection natifs chez un fournisseur unique, voir la détection des menaces AWS; pour la couche des charges de travail et des conteneurs, voir la sécurité Kubernetes.

Vectra AI en matière decloud

Vectra AI d'un principe simple : le réseau moderne constitue une surface d'attaque unique qui englobe les environnements sur site,cloud, les identités et le SaaS. La résilience repose donc sur une observabilité unifiée, des signaux d'attaque générés par l'IA et des actions éclairées, plutôt que sur une énième console propre à un fournisseur. Conformément à la philosophie « Assume Compromise », l'objectif n'est pas d'affirmer que les attaquants ne parviendront jamais à s'introduire, mais de garantir que, lorsqu'uncloud fédéré se produit, Attack Signal Intelligence le Attack Signal Intelligence comme un scénario d'attaque corrélé unique plutôt que comme deux événements de console sans rapport — transformant ainsi des alertes dispersées et cloisonnées par fournisseur en un signal unique sur lequel une petite équipe peut agir.

Conclusion

cloud ne consiste pas à renforcer la sécurité de chaque fournisseur de manière isolée. Il s'agit plutôt de combler les lacunes entre les fournisseurs : les modèles d'identité incohérents, les journaux fragmentés et la confiance fédérée qui permet à un attaquant de passer d'un cloud l'autre alors que chaque console n'en perçoit qu'un fragment. Les organisations qui gèrent efficacement cloud traitent leurs fournisseurs comme une seule et même surface d'attaque : elles normalisent la télémétrie en un modèle de détection unique, corrèlent l'activité des identités entre les clouds et produisent des preuves unifiées qui satisfont les auditeurs en une seule fois, plutôt que fournisseur par fournisseur.

Le phénomène sous-jacent à ce problème — l'usurpationcloud — prend de l'ampleur, et les investissements dans les outils n'ont pas suffi à combler cette lacune. La solution réside dans l'unification : une vue d'ensemble, un signal, une réponse. Pour découvrir comment une détection unifiée et sensible à l'identité permet de mettre en lumière unecloud sous la forme d'un récit unique et corrélé, explorez l'approche Vectra AI en matière de cloud et de réponse cloud .

‍