Points clés
- Le cloud est un levier de transformation puissant — mais chaque nouvelle capacité qu'il apporte crée aussi de nouveaux vecteurs de risque
- L'IA/ML cloud, les containers, le serverless et les API gateways créent des surfaces d'attaque spécifiques non couvertes par les approches de sécurité traditionnelles
- L'adoption d'IA en cloud ajoute des risques de confidentialité des données (training data, prompts), de biais algorithmiques, et de dépendances nouvelles
- La sécurité des nouvelles technologies cloud doit être évaluée avant leur adoption, pas après leur déploiement
Le cloud n'est pas une technologie statique. Il évolue en permanence : de nouvelles catégories de services émergent (IA/ML, edge computing, quantum computing as a service), de nouvelles architectures se généralisent (microservices, containers, serverless), et de nouvelles intégrations se développent (API économies, IoT cloud, données en temps réel). Chaque évolution ouvre de nouvelles possibilités de transformation — et introduit de nouveaux vecteurs de risque que les organisations doivent évaluer avant d'adopter.
La rapidité d'adoption des nouvelles capacités cloud est elle-même un facteur de risque : les organisations adoptent des technologies dont les implications de sécurité ne sont pas encore pleinement comprises, ni par les équipes des fournisseurs cloud ni par les équipes de sécurité des clients. La pression compétitive à adopter rapidement les nouvelles capacités cloud laisse peu de temps pour l'évaluation rigoureuse des risques.
L'IA cloud : nouveaux risques spécifiques
L'adoption des services d'IA en cloud (AWS Bedrock, Azure OpenAI, Google Vertex AI) crée des risques spécifiques peu couverts par les frameworks de sécurité existants : les risques de confidentialité des données d'entraînement (les données envoyées au modèle peuvent être utilisées pour l'améliorer — risque de fuite de propriété intellectuelle), les risques liés aux prompts (injection de prompts malveillants dans les applications IA), et les nouveaux vecteurs d'attaque via les pipelines d'IA (data poisoning, model inversion).
L'OWASP a publié en 2023 un Top 10 des risques spécifiques aux applications LLM (Large Language Models) qui documente ces nouveaux vecteurs. Ce référentiel, encore jeune, est en cours d'adoption par les équipes de sécurité qui intègrent de l'IA dans leurs applications cloud.
Les containers et le serverless : surfaces d'attaque spécifiques
Les architectures cloud-native (containers orchestrés via Kubernetes, fonctions serverless) créent des surfaces d'attaque spécifiques : les images de containers peuvent contenir des vulnérabilités (CVE dans les dépendances), les configurations Kubernetes sont un terrain fertile pour les erreurs (RBAC mal configuré, secrets exposés dans les environnements), et le serverless crée des risques d'injection dans les fonctions et des risques de gestion des droits IAM excessifs.
La sécurité cloud-native (Cloud-Native Security) est une sous-discipline émergente avec ses propres outils (Falco pour la détection de comportements anormaux dans les containers, OPA/Gatekeeper pour les politiques Kubernetes) et ses propres référentiels (CNCF Cloud Native Security Whitepaper).
Des ingénieurs de Samsung ont utilisé ChatGPT (service cloud d'OpenAI) pour déboguer du code source propriétaire et des données de test, en saisissant ces informations sensibles dans les prompts. Ces données, potentiellement utilisées pour l'amélioration des modèles OpenAI, constituent une fuite de propriété intellectuelle. L'incident a conduit Samsung à interdire temporairement l'utilisation d'outils IA externes pour les équipes travaillant sur du code sensible, et à développer ses propres outils IA internes. Il illustre le risque spécifique à l'adoption non gouvernée des services IA cloud.
Une équipe de recherche a découvert que le cluster Kubernetes de Tesla était accessible publiquement sans authentification. L'interface d'administration Kubernetes exposait les secrets et les credentials stockés dans les variables d'environnement des containers, incluant les credentials d'accès au stockage S3 de Tesla contenant des données de télémétrie des véhicules. Des attaquants avaient déjà utilisé le cluster pour du cryptomining. L'incident est devenu une référence pour les risques de mauvaise configuration Kubernetes et a conduit à l'adoption de CSPM spécialisés cloud-native.
Une faille dans une API du service LINE a permis l'accès aux données de profils d'utilisateurs via une sous-traitance à un partenaire technique chinois. Les API cloud — interfaces entre services — sont des vecteurs d'exposition fréquents dans les architectures cloud modernes. L'incident LINE a mis en lumière les risques spécifiques aux API économies : les interfaces avec des tiers via des API cloud peuvent exposer des données sensibles sans que les équipes de sécurité internes en aient une visibilité complète. Le Japon a révisé ses exigences sur la sécurité des API pour les services numériques grand public.