Le cloud sous pression : pourquoi 2025 marque un tournant
Depuis plusieurs années, les entreprises françaises ont massivement migré leurs infrastructures vers le cloud. AWS, Azure, Google Cloud, OVHcloud… les données sensibles, les applications critiques et les processus métier les plus stratégiques y ont trouvé domicile. Mais cette centralisation attire inévitablement les convoitises. En 2025, les attaques ciblant les environnements cloud ont franchi un nouveau palier, tant en sophistication qu’en fréquence. Les cybercriminels ne cherchent plus simplement à voler des données : ils s’attaquent désormais aux fondations mêmes de l’infrastructure numérique des organisations. Comprendre ces nouveaux vecteurs d’attaque est devenu une priorité absolue, aussi bien pour les équipes techniques que pour les décideurs.
L’IA au service des attaquants : une menace amplifiée
L’un des changements les plus significatifs observés en 2025 concerne l’utilisation de l’intelligence artificielle par les groupes malveillants. Là où il fallait auparavant des équipes entières pour reconnaître une infrastructure cible, cartographier ses vulnérabilités et préparer une attaque, des outils dopés à l’IA permettent désormais d’automatiser l’ensemble de ce processus en quelques heures. Les chercheurs en sécurité de Sekoia.io, société française spécialisée en cybersécurité, ont documenté en septembre 2025 plusieurs campagnes où des agents autonomes basés sur des LLM (grands modèles de langage) étaient utilisés pour générer dynamiquement du code malveillant adapté aux configurations cloud détectées.
Concrètement, ces agents scannent les buckets S3, les conteneurs mal configurés ou les API exposées, puis génèrent automatiquement des scripts d’exploitation personnalisés. La barrière à l’entrée pour mener une cyberattaque sophistiquée s’est donc considérablement abaissée. Ce qui nécessitait auparavant les compétences d’un expert peut aujourd’hui être orchestré par un acteur malveillant disposant de ressources limitées mais d’un accès aux bons outils d’IA. C’est un changement de paradigme que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a explicitement mentionné dans ses communications de l’automne 2025.
Les vecteurs techniques qui dominent en 2025
Parmi les vecteurs d’attaque les plus exploités cette année, plusieurs méritent une attention particulière. Le premier est l’attaque par misconfiguration augmentée. Les erreurs de configuration des environnements cloud ont toujours existé, mais elles sont désormais détectées et exploitées bien plus rapidement grâce à des outils d’analyse automatisés. Une règle de pare-feu trop permissive, un rôle IAM (gestion des identités et accès) mal défini, un bucket de stockage public par mégarde… ces erreurs, autrefois repérables en quelques jours, sont désormais exploitées en quelques minutes.
Le second vecteur majeur est l’attaque sur les chaînes d’approvisionnement logicielles (supply chain attacks) ciblant les environnements CI/CD (intégration et déploiement continus). Les pipelines DevOps, qui automatisent la construction et le déploiement des applications dans le cloud, sont devenus des cibles de choix. En compromettant un dépôt de code ou une dépendance logicielle utilisée par des dizaines d’entreprises, un attaquant peut potentiellement infiltrer des centaines d’environnements cloud simultanément. Des incidents de ce type ont été signalés en France au cours du troisième trimestre 2025, touchant notamment des entreprises du secteur fintech.
Troisième vecteur en forte progression : les attaques sur les interfaces d’administration des services cloud managés. Les consoles d’administration AWS, Azure ou GCP sont des portes d’entrée extrêmement précieuses pour un attaquant. Le phishing ciblé (spear phishing) visant les administrateurs cloud, combiné à des techniques de contournement de l’authentification multifacteur, constitue une combinaison particulièrement redoutable. Des groupes comme Scattered Spider ont perfectionné ces techniques, et des tactiques similaires ont été observées dans des campagnes visant des entreprises françaises du CAC 40.
La réponse française : entre réglementation et innovation défensive
Face à cette évolution des menaces, la France n’est pas restée les bras croisés. L’écosystème français de la cybersécurité, qui compte parmi les plus dynamiques d’Europe, a accéléré le développement de solutions défensives intégrant elles aussi de l’intelligence artificielle. Des acteurs comme Tehtris, Harfanglab ou encore Exabeam France proposent désormais des plateformes de détection et réponse aux incidents (XDR/MDR) capables d’analyser en temps réel les comportements anormaux dans les environnements cloud, en s’appuyant sur des modèles d’IA entraînés sur des données de menaces françaises et européennes.
Sur le plan réglementaire, la directive NIS2, entrée en application en France en 2024, impose désormais à un périmètre élargi d’entreprises et d’organisations de renforcer leurs pratiques de sécurité cloud. Cela inclut des obligations de surveillance continue, de gestion des incidents et de signalement à l’ANSSI. En parallèle, le schéma de qualification SecNumCloud, porté par l’ANSSI, continue de monter en puissance comme référentiel de confiance pour les offres cloud à destination des données sensibles de l’État et des opérateurs d’importance vitale (OIV).
Ce que les entreprises françaises doivent retenir
Le panorama des menaces cloud en 2025 dessine une réalité claire : la surface d’attaque s’est considérablement élargie, et la sophistication des attaquants, décuplée par l’IA, oblige les entreprises à revoir en profondeur leur posture de sécurité. Quelques principes s’imposent désormais comme incontournables. Le principe du moindre privilège — n’accorder que les droits strictement nécessaires à chaque utilisateur ou service — doit être appliqué avec rigueur dans tous les environnements cloud. De même, la segmentation des environnements, la chiffrement systématique des données au repos et en transit, et l’audit régulier des configurations sont des pratiques qui ne peuvent plus être différées.
Mais au-delà des mesures techniques, c’est une véritable culture de la sécurité cloud qui doit s’installer dans les organisations françaises. Les développeurs, les équipes DevOps, les architectes systèmes : tous sont aujourd’hui des acteurs de première ligne face aux menaces. Former ces équipes, intégrer la sécurité dès la conception des architectures (approche shift-left), et mettre en place des exercices de simulation d’incidents cloud sont autant de leviers qui font la différence entre une organisation résiliente et une organisation vulnérable. En 2025, la question n’est plus de savoir si une entreprise sera ciblée, mais quand — et surtout, si elle sera prête à y répondre.