Alors que Microsoft finalise son projet garantissant à ses utilisateurs européens que leurs données restent localisées dans des centres de données basées dans dans un pays de l’Union européenne ou au sein d’un pays membre de l’association européenne de libre échange (Suisse, Liechtenstein, Norvège, Islande), ce qui ne devrait pas être une option mais une obligation, l’ANSSI a publié un rapport sur la menace informatique pesant sur le cloud computing.
Le cloud offre de nouvelles opportunités d’attaques informatiques pour les organisations disposant de leurs propres environnements Cloud ou faisant appel à des fournisseurs (Cloud service provider ou CSP). Les CSP représentent à la fois une cible d’intérêt pour la masse de données qu’ils traitent mais également pour les accès qu’ils peuvent offrir vers leur client. Par ailleurs, l’exploitation de vulnérabilités dans des équipements de bordure (tels que des équipements VPN) constitue un point d’entrée privilégié par une vaste gamme d’acteurs malveillants. Enfin, une des tendances grandissantes est l’utilisation des services de cloud comme infrastructures d’attaques, qu’il s’agisse de louer de l’infrastructure d’attaque chez des opérateurs de cloud, ou d’utiliser des plateformes grand public comme lieu de stockage, d’accès à des codes malveillants ou d’exfiltration de données volées. Ces nouvelles pratiques complexifient la détection en dissimulant les activités malveillantes au sein du trafic légitime des utilisateurs de ces plateformes.
Selon les principes de la responsabilité partagée, les clients de services cloud sont en partie dépendants du fournisseur pour leur sécurité mais disposent également de responsabilités importantes concernant la gestion des données et des identités. Ainsi, des compromissions facilitées par un faible cloisonnement entre systèmes d’information dû à l’hybridation générée par l’usage du cloud ou les manquements dans la supervision des systèmes d’informations sont fréquemment constatées.
A ce titre, le rapport comprend un volet dédié aux recommandations sur les bonnes pratiques de cybersécurité adressées aux clients de fournisseurs de services cloud, ainsi qu’aux fournisseurs de services cloud eux-mêmes.
https://www.zdnet.fr/actualites/microsoft-apporte-la-touche-finale-a-son-initiative-de-localisation-des-donnees-europeennes-407134.htmhttps://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learnhttps://blogs.microsoft.com/on-the-issues/2025/02/26/microsoft-completes-landmark-eu-data-boundary-offering-enhanced-data-residency-and-transparency/