Quand la sécurité du cloud devient trop compliquée pour son propre bien

La faille de la Commission européenne montre comment la complexité systémique affaiblit la sécurité du cloud.

La récente violation du cloud de la Commission européenne a révélé quelque chose de plus grand qu’un incident, elle a montré comment la complexité elle-même devient un risque de sécurité. Les attaquants n’ont pas eu besoin de contourner un pare-feu périmétrique ; ils ont profité d’une seule clé API AWS compromise provenant d’un outil tiers auquel la Commission faisait confiance. Cette clé, obtenue grâce à la compromission de la chaîne d’approvisionnement de Trivy, a ouvert des voies d’accès à de multiples comptes au sein du réseau de la Commission.

Il ne s’agissait pas d’une technologie médiocre ou d’une sécurité insuffisante. Il s’agissait de la chaîne d’accès entre les outils. Lorsqu’un élément de cette chaîne est défaillant, l’impact se répercute sur l’ensemble du système. La leçon à tirer est simple mais urgente : dans les grandes organisations, le risque se multiplie avec chaque connexion, justificatif d’identité et dépendance ajoutée.

Les dirigeants doivent considérer qu’il s’agit d’un problème structurel et non d’une défaillance isolée. L’accent doit être mis non plus sur la défense du périmètre, mais sur la compréhension de chaque relation d’accès au sein de l’architecture cloud de l’entreprise. Les revues de sécurité doivent cartographier tous les outils et identifiants utilisés et auditer les permissions en permanence. Une défense efficace du cloud implique de concevoir des systèmes où un seul élément compromis ne peut pas déclencher une défaillance systémique.

Les dirigeants doivent également exiger des fournisseurs qu’ils respectent des normes de sécurité plus strictes. Les outils tiers sont désormais au cœur de nombreux environnements cloud, ce qui signifie que le contrôle des fournisseurs est aussi important que la surveillance des pare-feux. La résilience et la visibilité de la chaîne d’approvisionnement font désormais partie des responsabilités des dirigeants, et non plus seulement des responsabilités opérationnelles.

Selon le rapport 2026 State of Cloud Security Report, sponsorisé par Fortinet et produit par Cybersecurity Insiders, près de 70 % des organisations identifient la prolifération des outils et les lacunes en matière de visibilité comme leurs plus grands obstacles en matière de sécurité. L’expérience de la Commission européenne confirme que cette statistique se traduit directement par un risque réel.

L’expansion rapide des environnements cloud a créé un « fossé de complexité en matière de sécurité cloud »

L’adoption du cloud a progressé plus rapidement que la capacité de la plupart des organisations à le sécuriser. Le rapport de Fortinet appelle cela le  » fossé de la complexité de la sécurité du cloud « , et c’est une description appropriée. À mesure que les entreprises évoluent vers des configurations hybrides et multi-cloud, elles accumulent des outils, des configurations et des contrôles déconnectés qui rendent la visibilité difficile et la coordination plus ardue. Chaque fournisseur apporte un nouvel écosystème d’identifiants, d’autorisations et de flux de données qui doivent être protégés.

Il en résulte que de nombreux DSI et RSSI gèrent des environnements de sécurité qui ont dépassé leurs cadres de gestion. Il ne s’agit pas d’un problème technologique, mais d’un problème d’architecture et de gouvernance. Les outils de sécurité évoluent souvent de manière isolée, et même si chacun fait bien son travail, le manque d’intégration produit des angles morts. La faille de la Commission européenne en est un exemple classique. Le scanner de sécurité compromis a effectué les tâches prévues, mais personne n’avait une vue d’ensemble des comptes et des autorisations qu’il touchait.

Pour les chefs d’entreprise, le message est clair : la croissance sans intégration crée des risques. La volonté d’accélérer le déploiement doit s’accompagner d’une conception et d’un contrôle cohérents. Le développement d’une architecture unifiée, qui centralise la visibilité et le contrôle, est essentiel. L’intégration des outils et la simplification de l’infrastructure ne sont pas des exercices de réduction des coûts ; ce sont des stratégies fondamentales de gestion des risques.

Les données le confirment. Selon l’enquête menée par Fortinet auprès de 1 163 professionnels de la sécurité, 88 % des organisations opèrent désormais dans des environnements hybrides ou multi-cloud, contre 82 % l’année précédente. Parmi elles, 81 % utilisent au moins deux fournisseurs de cloud et 29 % en gèrent plus de trois. Chaque nouvel environnement accroît la complexité, en ajoutant davantage d’informations d’identification, de politiques et d’interconnexions non gérées. Sans une discipline de conception active de la part des dirigeants, le cloud lui-même devient un enchevêtrement de risques.

Pour les dirigeants, c’est le moment de procéder à une simplification délibérée. Concentrez vos équipes sur l’obtention d’une visibilité intégrée de la sécurité, et non sur l’ajout d’une nouvelle couche de surveillance. Simplifier ne signifie pas réduire les capacités ; cela signifie renforcer le contrôle, réduire les inconnues et restaurer la clarté des systèmes qui font fonctionner votre entreprise.

La pénurie de professionnels qualifiés en cybersécurité et l’immaturité des pratiques de sécurité dans le cloud retardent la détection et la réaction

Le cas de la Commission européenne montre comment des ressources limitées et des pratiques en cours d’élaboration peuvent allonger le délai entre la violation et la découverte. Les attaquants se sont introduits dans le système le 19 mars, mais l’activité inhabituelle de l’API n’a été détectée que le 24 mars. Le CERT-EU a été informé le 25 mars. Ces cinq jours d’accès non détecté dans un environnement cloud sensible montrent ce qui se passe lorsque la complexité rencontre des capacités humaines limitées.

Plus qu’un goulot d’étranglement opérationnel, il s’agit d’un risque structurel. De nombreuses entreprises ont adopté des systèmes cloud plus rapidement qu’elles n’ont développé l’expertise interne nécessaire pour les sécuriser. L’étude de Fortinet confirme cette lacune : 74 % des entreprises interrogées font état d’une pénurie de professionnels qualifiés en cybersécurité, tandis que 59 % déclarent que leurs programmes de sécurité du cloud n’en sont encore qu’à leurs débuts. Lorsque les équipes manquent de personnel et que les processus sont jeunes, même les défenseurs compétents ont du mal à distinguer le comportement normal des utilisateurs des signes subtils d’intrusion.

Pour les dirigeants, la leçon à tirer est de considérer le personnel de cybersécurité comme une infrastructure critique, et non comme une dépense supplémentaire. L’automatisation et les outils assistés par l’IA peuvent aider, mais ils ne peuvent pas remplacer entièrement des professionnels bien formés. Des processus matures et des programmes de formation continue sont essentiels. L’objectif devrait être de s’assurer que chaque incident est détecté et fait l’objet d’une action plus rapidement que les acteurs de la menace ne peuvent l’exploiter.

Les dirigeants doivent aligner leurs budgets sur des résultats stratégiques en matière de sécurité plutôt que sur des solutions à court terme. Le partenariat avec des fournisseurs de services de sécurité gérés ou l’investissement dans des réseaux de renseignements partagés peuvent contribuer à combler les lacunes en matière de capacités. Plus les organisations attendent pour professionnaliser leurs opérations de cybersécurité, plus l’écart se creuse entre la vitesse des attaquants et la réponse des défenseurs.

Les données de Fortinet renforcent cette réalité : 66 % des professionnels de la cybersécurité manquent de confiance dans leur capacité à détecter et à répondre aux menaces du cloud en temps réel. Ce n’est pas un signe de faiblesse, c’est un signe de transformation rapide qui exige l’attention des dirigeants. Des effectifs renforcés, une coordination plus étroite et des cadres de détection modernisés devraient être des priorités absolues.

Les attaquants utilisent désormais l’automatisation pour exploiter les vulnérabilités plus rapidement que les équipes humaines ne peuvent le faire.

Aujourd’hui, les attaquants n’agissent plus manuellement. Ils utilisent l’automatisation pour identifier les mauvaises configurations, localiser les informations d’identification et tracer des voies d’accès dans des environnements cloud complexes. Le groupe responsable de la violation de la Commission européenne, ShinyHunters, a utilisé des outils d’analyse automatisés tels que TruffleHog pour extraire et vérifier des secrets à la vitesse d’une machine. Une fois l’accès obtenu, ils pouvaient rapidement l’étendre avant que les intervenants humains ne se rendent compte de ce qui se passait.

Ce passage à l’exploitation automatisée modifie la dynamique de la cyberdéfense. Elle réduit le temps de réaction des défenseurs de plusieurs jours à quelques minutes. Les méthodes traditionnelles de surveillance et d’investigation manuelle ne peuvent pas suivre. Les systèmes de détection doivent évoluer pour fonctionner à la même échelle et à la même vitesse que les menaces qu’ils sont censés contrer.

Les dirigeants doivent reconnaître que la solution n’est pas seulement un meilleur temps de réaction, mais aussi une automatisation proactive. Les systèmes défensifs doivent utiliser des réponses continues et autonomes capables d’intercepter les menaces avant qu’elles ne se propagent. L’intégration de la détection pilotée par l’IA et des réponses stratégiques automatisées dans les environnements cloud permet de neutraliser les attaques à l’échelle et de réduire la dépendance à l’égard de l’intervention humaine pour les tâches de protection de routine.

Le rapport de Fortinet souligne l’importance de combler ce déficit d’automatisation, en notant que la plupart des équipes de sécurité actuelles sont à la traîne par rapport à la vitesse et à la sophistication des attaquants. Les 66 % de professionnels interrogés qui n’ont pas confiance dans les capacités de réponse en temps réel confirment l’urgence de ce problème. Pour les chefs d’entreprise, il s’agit d’un appel à investir dans l’automatisation qui renforce les opérations humaines et ne les remplace pas. L’objectif est de créer des systèmes de défense qui fonctionnent aussi vite que les menaces auxquelles ils sont confrontés, qui soient précis, autonomes et toujours actifs.

L’ajout d’outils de sécurité sans intégration augmente la complexité et les risques.

Lorsqu’une faille se produit, la réaction habituelle est d’ajouter des outils, des systèmes de surveillance, des scanners et des couches de sécurité. La logique semble saine : plus d’outils, plus de sécurité. Mais chaque outil supplémentaire apporte son lot d’informations d’identification, de permissions et de frais de gestion. Le scanner compromis de la Commission européenne a montré comment cette approche peut se retourner contre elle. Le scanner lui-même faisait ce pour quoi il avait été conçu, mais son niveau d’accès l’a transformé en point d’entrée une fois qu’il a été compromis.

Le problème n’est pas l’outil, mais la complexité accumulée par un trop grand nombre d’entre eux fonctionnant sans surveillance unifiée. Chaque nouvelle solution de sécurité ajoute un autre plan de contrôle, plus d’identifiants à protéger et plus de données à corréler manuellement. Le bruit supplémentaire cache souvent les menaces réelles au lieu de les clarifier. C’est pourquoi tant d’organisations reconnaissent que l’expansion ne garantit pas la sécurité.

Pour les dirigeants, le message est clair : l’amélioration de la sécurité passe par la consolidation et l’intégration, et non par une expansion sans fin. La clé réside dans la clarté opérationnelle, en sachant précisément quels systèmes sont actifs, quelles informations d’identification ils utilisent et comment ils interagissent. Cela nécessite une approche unifiée et bien orchestrée de la plateforme. La réduction de la prolifération des outils peut simplifier la gestion, renforcer la surveillance et rendre les équipes plus efficaces sous la pression.

Les chefs d’entreprise doivent considérer la simplification comme un objectif stratégique. Consolider les fournisseurs et se concentrer sur des écosystèmes de sécurité intégrés permet de réduire les erreurs humaines, d’améliorer la coordination des réponses et de diminuer le coût de la maintenance de systèmes fragmentés. Il ne s’agit pas de s’enfermer aveuglément dans un fournisseur, mais de concevoir un écosystème qui fonctionne de manière cohérente à travers toutes les couches du cloud.

L’enquête commanditée par Fortinet va dans ce sens. 64 % des professionnels de la cybersécurité ont déclaré que, s’ils pouvaient reconstruire leurs stratégies de sécurité du cloud à partir de zéro, ils adopteraient une solution intégrée d’un seul fournisseur, qui unifie la sécurité du cloud, du réseau et des applications. Leur raisonnement est pragmatique. L’intégration réduit les frais généraux, simplifie la gouvernance et minimise le risque d’introduire une autre passerelle non sécurisée.

Les dirigeants doivent considérer la consolidation non pas comme une limitation, mais comme un mécanisme de contrôle des risques. Simplifier l’architecture, c’est reprendre l’autorité sur un environnement devenu trop complexe pour que des équipes humaines puissent le gérer efficacement. L’avenir d’une sécurité solide dans le cloud réside dans des systèmes moins nombreux, plus intelligents et mieux connectés, capables de fonctionner avec la précision qu’exigent les entreprises modernes.

Faits marquants

• La complexité du cloud est le véritable point faible : La faille de la Commission européenne a montré comment l’interconnexion des outils et des informations d’identification peut transformer une petite compromission en un risque à l’échelle du système. Les dirigeants doivent réévaluer les contrôles d’accès et la visibilité sur chaque couche de leur environnement cloud.
• Le fossé de la sécurité du cloud se creuse : À mesure que les entreprises se développent sur plusieurs fournisseurs de cloud, les outils fragmentés et les contrôles incohérents créent des lacunes en matière de visibilité. Les dirigeants doivent promouvoir des architectures de sécurité unifiées qui simplifient la supervision et réduisent la fragmentation des outils.
• Le manque de compétences et de maturité ralentit la détection : Les talents limités en matière de cybersécurité et les programmes de sécurité en cours de développement allongent les délais de détection des brèches. Les dirigeants devraient investir dans le développement de la main-d’œuvre, les services gérés et les processus opérationnels matures afin de renforcer la capacité de réaction.
• Les attaquants sont plus rapides que les défenseurs humains : L’automatisation permet aux adversaires d’exploiter les vulnérabilités avant que les équipes manuelles ne puissent réagir. Les organisations ont besoin de mécanismes de détection et de réponse automatisée pilotés par l’IA qui égalent ou dépassent la vitesse des attaquants.
• Plus d’outils ne signifie pas plus de sécurité : L’expansion des ensembles d’outils sans intégration aggrave la complexité et ouvre la voie à de nouvelles vulnérabilités. Les décideurs devraient donner la priorité à la consolidation des plateformes et aux écosystèmes de sécurité intégrés pour reprendre le contrôle et améliorer la résilience.