Cloud computing : l'ANSSI publie son état de la menace informatique

Le 20 février 2025, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a publié un rapport alarmant sur les risques liés au cloud computing. Ce document met en lumière les principales menaces pesant sur cet environnement devenu incontournable pour les entreprises, en raison de la concentration de données sensibles.

Comprendre les menaces sur le cloud computing et les données sensibles

Le 20 février 2025, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport détaillé sur les menaces pesant sur le cloud computing. Devenu partie intégrante de nos usages numériques, l’environnement cloud est aujourd'hui la cible privilégiée de cybercriminels en raison de la concentration de données sensibles et des ressources informatiques qu'ils hébergent. Ce document met en lumière les principaux risques et vulnérabilités associés à l'utilisation des services cloud, devenus incontournables pour de nombreuses entreprises.

_{Les risques majeurs identifiés par l'ANSSI pour le cloud computing}

Parmi les menaces identifiées, le rapport mentionne les attaques par déni de service distribué (DDoS), les intrusions via des failles de sécurité non corrigées et les tentatives de phishing ciblant les utilisateurs de services cloud. Les cybercriminels exploitent également les configurations par défaut souvent insuffisamment sécurisées et les erreurs de configuration pour accéder illégalement aux données. L'ANSSI insiste sur l'importance de la vigilance et de la proactivité pour les entreprises utilisant des services cloud.

_{Recommandations clés pour sécuriser les données dans le cloud}

En ce sens, elle dresse une liste de 36 recommandations, dont 17 à destination des clients de ces services et 19 à destination des fournisseurs. Côté client, on peut citer la mise en place de politiques de sécurité robustes incluant des audits réguliers, des formations pour le personnel et l'utilisation de solutions de sécurité avancées comme le chiffrement des données et les systèmes de détection d’intrusion. Les fournisseurs doivent quant à eux limiter la surface de service exposée, proposer une offre de sauvegarde sécurisée et fournir des options de protection contre les attaques par DDoS.

Le rapport met également en avant la nécessité d'une collaboration étroite entre les fournisseurs de services cloud et leurs clients. Les fournisseurs doivent garantir la transparence sur leurs pratiques de sécurité et offrir des outils permettant aux clients de surveiller et de gérer la sécurité de leurs environnements cloud.

La sécurité sur le cloud : une responsabilité partagée

Rappelant que la sécurité sur le cloud est une responsabilité partagée entre les clients et les fournisseurs de services cloud, l'état de la menace publié par l'ANSSI est un appel à l'action pour toutes les parties prenantes. À cet égard, il est révélateur, à la lecture du dernier rapport du CIGREF, que ce dernier s’en fait l’écho et encourage clairement « la recherche de solutions alternatives pour diminuer l’exposition aux risques en l’absence d’immunité à la portée extraterritoriale du droit américain », et ce d’autant que la fragilisation du DPF (Data Privacy Framework), voire son abandon, fait basculer les transferts de données hors UE dans une zone d’incertitude juridique et de prédation sur les données de modèle d’affaire au vu de la guerre économique.

_{Hébergeurs européens : des alternatives pour une meilleure protection des données}

Afin de minimiser les risques de violation des données et préserver sa souveraineté numérique, des hébergeurs européens s’imposent progressivement sur le marché :

• Oodrive : hébergeur français ayant récemment obtenu la plus haute certification SecNumCloud 3.2 de l’ANSSI
• OVHcloud : hébergeur français le plus répandu
• Outscale : hébergeur français
• Nextcloud : hébergeur européen notamment utilisé par le Ministère de l’Intérieur
• Clever Cloud

Pour consulter l’intégralité du rapport publié par l’ANSSI, rendez-vous ici

_{Rôle des avocats spécialisés en cybersécurité dans la gestion des risques liés au cloud}

Les avocats spécialisés en cybersécurité jouent un rôle clé dans l'accompagnement des entreprises face aux défis juridiques et réglementaires liés à l'utilisation des services cloud. Ils aident les organisations à se conformer aux réglementations en vigueur et à intégrer des clauses de sécurité dans leurs contrats avec les fournisseurs de services cloud.

En plus de la gestion des aspects légaux, ces avocats conseillent sur les bonnes pratiques en matière de protection des données sensibles, notamment en ce qui concerne les transferts transfrontaliers de données, et offrent une expertise dans le traitement des incidents de sécurité, comme les violations de données ou les cyberattaques. Leur intervention permet aux entreprises de réduire leur exposition aux risques juridiques et d'améliorer leur posture de sécurité face aux menaces sur le cloud.

ALTIJ & Oratio Avocats, un partenaire de confiance pour la gouvernance et la gestion des risques

Avec une expertise reconnue auprès des acteurs de l’innovation, ALTIJ & Oratio Avocats et ses partenaires experts en cybersécurité accompagnent les entreprises bien au-delà des exigences techniques en matière de sécurité des systèmes d'information. Le cabinet aide ses clients à définir des normes de bonne gouvernance pour assurer réactivité, efficacité et maîtrise des risques juridiques.

_{Nos avocats en droit de la protection des données et en droit pénal vous accompagnent} 

Nous vous accompagnons dans la mise en place de solutions complètes et adaptées aux défis actuels de la cybersécurité. Nous réalisons des audits approfondis des risques internes, de vos prestataires et sous-traitants, ainsi que des garanties assurantielles. Grâce à l'OSINT, la veille web sur le dark web et notre réseau d'experts en sécurité, nous prévenons les risques en amont.

Nous vous assistons également dans la rédaction de contrats, la mise en place de plans de continuité d'activité et la gestion des litiges liés à la cybersécurité, incluant la gestion des crises, la communication, et l'E-réputation.

_{Les offres RGPD / DPO d'Altij & Oration Avocats : Un accompagnement sur mesure}

Altij Avocats propose des services spécialisés pour accompagner les entreprises dans leur mise en conformité avec le RGPD. Que vous soyez une ETI, une PME ou une organisation à la recherche d'un soutien personnalisé, Altij met à votre disposition des avocats experts dans le domaine de la cybersécurité et de la protection des données.

En tant que DPO (Délégué à la Protection des Données) externalisé, Altij & Oratio Avocats offre un accompagnement complet pour garantir la conformité de vos activités aux exigences du RGPD.

_{Formations Trust by Design : Se préparer aux enjeux futurs de la cybersécurité}

Pour anticiper les évolutions réglementaires et comprendre les nouveaux enjeux en matière de cybersécurité, Trust by Design propose des formations adaptées aux entreprises souhaitant renforcer leur stratégie de gestion des risques. Ces formations permettent aux participants de mieux appréhender les défis liés à la sécurité numérique, d'identifier les risques potentiels et de connaître les réglementations spécifiques à leur secteur d'activité.

Pour en savoir plus sur les formations et leur programme, rendez-vous ici.