Points clés
- Les prestataires cloud — fournisseurs IaaS/PaaS/SaaS, intégrateurs, MSP — sont des extensions du périmètre de risque de leurs clients
- Les accès que les prestataires ont sur les environnements cloud de leurs clients sont souvent plus larges que nécessaire et rarement audités
- DORA impose une cartographie et une gestion formelle des prestataires ICT critiques pour les institutions financières
- La due diligence sécurité des prestataires cloud doit inclure certifications (ISO 27001, SOC 2), clauses contractuelles et droits d'audit
Les prestataires cloud — qu'il s'agisse des fournisseurs d'infrastructure (AWS, Azure, GCP), des éditeurs SaaS, des intégrateurs systèmes ou des Managed Service Providers (MSP) — constituent une extension du périmètre de risque de leurs clients. Leurs accès aux environnements cloud, leurs pratiques de sécurité et leurs propres vulnérabilités se répercutent directement sur la posture de sécurité des organisations qui les utilisent.
La concentration du marché cloud autour de quelques grands acteurs crée un paradoxe : ces fournisseurs investissent massivement dans leur sécurité (des milliards de dollars par an), mais leur position centrale dans l'écosystème numérique les rend aussi des cibles de premier ordre pour les attaquants sophistiqués. Une compromission d'un fournisseur cloud majeur, comme la campagne SolarWinds ou l'incident CrowdStrike de 2024, a des répercussions sur des milliers d'organisations simultanément.
L'évaluation de la sécurité des prestataires cloud
L'évaluation de la sécurité des prestataires cloud repose sur plusieurs instruments complémentaires : les certifications de sécurité (ISO 27001, SOC 2 Type II, CSA STAR pour les fournisseurs cloud, HDS pour les hébergeurs de données de santé en France), les rapports d'audit publiés (les grands fournisseurs cloud publient leurs rapports SOC 2 Type II, qui documentent l'efficacité de leurs contrôles), les questionnaires de sécurité (pour les prestataires moins formalisés), et les tests de pénétration contractuels.
Ces évaluations ont une limite importante : elles documentent la posture du prestataire à un moment donné, dans le périmètre couvert par la certification. Elles ne guarantissent pas l'absence de vulnérabilités dans les composants ou configurations spécifiques utilisés par un client particulier.
Les accès prestataires : un risque sous-évalué
Les accès que les prestataires ont sur les environnements cloud de leurs clients sont souvent plus larges que nécessaire et moins bien surveillés que les accès des employés. Les équipes de support technique, les équipes de déploiement des MSP, et les systèmes d'administration des éditeurs SaaS accèdent régulièrement aux environnements cloud des clients pour maintenir et administrer les services. Ces accès représentent un vecteur d'exposition qui mérite une attention spécifique.
La gestion des accès prestataires doit inclure : la définition des droits minimaux nécessaires pour chaque prestataire (principe de moindre privilège), l'activation de la journalisation de tous les accès prestataires, la révision régulière de ces accès, et leur révocation immédiate en fin de contrat. Ces mesures sont dans le périmètre de responsabilité du client selon le modèle de responsabilité partagée.
Les obligations contractuelles comme levier de gouvernance
Les contrats avec les prestataires cloud doivent inclure des clauses de sécurité explicites : obligations de notification en cas d'incident affectant les données du client (dans des délais compatibles avec les obligations réglementaires), droits d'audit de la posture de sécurité du prestataire, standards de sécurité que le prestataire s'engage à maintenir, et obligations de sous-traitance (les prestataires du prestataire doivent respecter les mêmes exigences).
DORA exige des institutions financières européennes de contractualiser ces exigences avec tous leurs prestataires ICT critiques, avec des clauses de sortie permettant une résiliation sans pénalité excessive en cas de défaillance de sécurité du prestataire. Cette obligation réglementaire est devenue un modèle référentiel pour d'autres secteurs.
Kaseya fournit des outils de gestion IT à des MSP (Managed Service Providers) qui à leur tour gèrent l'infrastructure IT de PME clientes. Une vulnérabilité zero-day dans Kaseya VSA a permis au groupe REvil de déployer un ransomware via la chaîne des MSP vers 1 500 entreprises clientes dans 17 pays. Chaque MSP gérait l'infrastructure de dizaines à centaines d'entreprises — la compromission d'un seul outil a produit un effet multiplicateur exceptionnel. Les clients des MSP n'avaient aucune visibilité sur la sécurité de l'outil utilisé par leur prestataire pour gérer leur infrastructure.
Cognizant, l'un des plus grands prestataires de services IT au monde, a subi une attaque par ransomware Maze en avril 2020. Des clients de Cognizant ont vu leurs environnements affectés via les connexions que Cognizant maintenait dans leur infrastructure pour les besoins des services managés. Les coûts pour Cognizant ont été estimés entre 50 et 70 millions de dollars. L'incident a mis en évidence le risque lié aux accès permanents et larges que les prestataires de services managés maintiennent dans les environnements de leurs clients — et la nécessité de les surveiller et de les restreindre.
NTT Communications, l'une des plus grandes entreprises de télécommunications mondiales, a révélé une compromission de son infrastructure de services managés qui avait potentiellement exposé les données de 621 clients utilisant ses services cloud gérés. L'attaque avait utilisé des serveurs de NTT Communications comme rebond pour accéder aux environnements cloud des clients. L'incident illustre que la relation de confiance entre un client et son prestataire cloud — et les accès qu'elle implique — peut être le vecteur d'une compromission que le client ne peut ni détecter ni prévenir seul, sans une gouvernance rigoureuse des accès prestataires.