Le piège de la vélocité du cloud et de l'IA : pourquoi la gouvernance est à la traîne de l'innovation

L'adoption de l'IA dépasse la gouvernance cyber traditionnelle. Le « Rapport Tenable 2026 sur les risques de sécurité liés au cloud et à l'IA » révèle comment les identités dotées de privilèges excessifs et les dépendances de la chaîne d'approvisionnement non surveillées exposent les entreprises. Vous y trouverez 10 tactiques infaillibles pour bloquer vos chemins d'attaque les plus critiques.

Le piège de la vélocité

Chaque année, l'écart, ou gap, entre la vitesse à laquelle nous construisons et l'efficacité avec laquelle nous protégeons crée un nouvel ensemble de passifs latents. Dans le « Rapport Tenable 2026 sur les risques de sécurité liés au cloud et à l'IA », nous avons analysé des données télémétriques réelles provenant de divers environnements d'entreprises et de clouds publics afin d'identifier les points les plus dangereux de ce gap. Les données révèlent une tension critique : alors que les équipes se précipitent pour intégrer l'IA et exploiter du code tiers, elles créent par inadvertance des chemins directs et non surveillés vers des données sensibles.

1. L'angle mort de la posture de sécurité de l'IA

L'adoption de l'IA n'est plus expérimentale. Selon une récente étude de la Cloud Security Alliance (CSA) en partenariat avec Tenable, 55 % des entreprises utilisent désormais des outils d'IA pour des besoins professionnels actifs. Toutefois, cette rapidité d'ingénierie a créé une faille systémique dans le contrôle de l'infrastructure d'accès sous-jacente.

Notre dernière analyse de télémétrie, réalisée via Tenable One Cloud Security, révèle la réalité technique : 18 % des entreprises disposent de privilèges IAM excessifs que les services IA d'AWS peuvent assumer instantanément. Ces rôles sont souvent assortis d'autorisations administratives critiques, mais font rarement l'objet d'un audit pour vérifier l'alignement sur le principe du moindre privilège.
 

^{18 % des entreprises abritent des rôles IAM dotés de privilèges excessifs que les services IA d'AWS peuvent assumer, comme une couche d'exposition critique de 13 % préparée pour une compromission à fort impact.}

Également très préoccupant : le « gap de dormance ». Nous avons détecté que 73 % des rôles Amazon SageMaker et 70 % des rôles d'agents Amazon Bedrock étaient actuellement inactifs. Ces rôles abandonnés servent de catalogue préconfiguré de privilèges prêts à être revendiqués par un attaquant qui prend pied dans votre environnement d'IA.

2. La chaîne d'approvisionnement empoisonnée : code et accès

La gestion des risques de sécurité liés au cloud doit désormais prendre en compte la militarisation active, car les faiblesses de la chaîne d'approvisionnement sont passées de défauts passifs et latents à une compromission immédiate et active.

Le risque lié au code tiers

• Packages vulnérables (risque passif) : dans 86 % des entreprises, il existe au moins un package de code tiers contenant une vulnérabilité de sévérité critique.
• Packages malveillants (menace active) : 13 % des entreprises ont déployé des packages de code tiers dont l'historique de compromission est connu, tels que ceux concernés par les campagnes de malwares s1ngularity ou Shai-Hulud.

^{13 % des entreprises, soit près d'une sur huit, ont déployé au moins un paquet de code tiers dont l'historique de malveillance est connu.} 

Le risque lié aux accès

Il ne s'agit pas seulement du code que vous importez ; il s'agit des autorisations que vous accordez à des entités externes, telles que des partenaires, des fournisseurs et des sous-traitants. Notre étude montre que 53 % des entreprises ont accordé à des tiers l'accès à des systèmes internes via des comptes externes capables d'obtenir des privilèges excessifs et à haut risque. Dans de nombreux cas, le « rayon d'impact » est massif : 14 % des entreprises exposent plus de 75 % de leurs ressources cloud à des tiers de confiance par l'intermédiaire de ces comptes externes. Si un seul fournisseur de confiance est victime d'une intrusion, l'adversaire dispose d'une voie d'accès directe pour effectuer des mouvements latéraux dans l'ensemble de votre entreprise.

Pourquoi ces détections exigent une action immédiate

La gouvernance moderne doit aborder ces menaces convergentes, car nos recherches montrent que pour 70 % des entreprises, les packages d'IA et de protocole de contexte de modèle (MCP) sont devenus des composants essentiels de la pile cloud de production.

• Le risque de privilège permanent de l'IA : 18 % des entreprises hébergent des services d'IA avec des autorisations administratives qui sont rarement vérifiées.
• Les identités non-humaines dominent : 52 % des identités non-humaines possèdent des autorisations excessives critiques, dépassant les identités humaines (37 %). Plus d'un tiers de ces rôles non-humains sont inactifs, ce qui représente une exposition importante mais facile à atténuer.
• Rayon d'impact de la chaîne d'approvisionnement : les compromissions liées à un fournisseur unique peuvent conférer à un adversaire un mouvement latéral instantané sur l'ensemble de vos systèmes les plus sensibles.

^{52 % des identités non humaines sont fortement dotées de privilèges excessifs, dont 37 % sont inactives. L'élimination de ces rôles « fantômes » inactifs est le chemin le plus efficace pour réduire la surface d'attaque de l'identité.}

Résumé des points clés : quelle est l'efficacité d'une CNAPP dans la gestion des risques de sécurité liés à l'IA et au cloud ?

Les outils de sécurité standard échouent souvent parce qu'ils n'ont pas le contexte unifié de l'intersection des identités, des charges de travail et des services d'intelligence artificielle. Pour éviter le piège de la vélocité, les entreprises ont besoin d'un cadre moderne de GRC basé sur la gestion de l'exposition, et non sur un simple scan. Tenable One Cloud Security fournit ce contexte unifié grâce à une CNAPP qui intègre AI‑SPM, CIEM, DSPM et CSPM pour traiter l'ensemble du spectre des risques liés au cloud et à l'IA :

• Neutraliser les rôles fantômes et classer les données : l'approche axée sur les identités de Tenable Cloud Security identifie automatiquement les rôles inactifs tandis que la DSPM classifie les données sensibles. La cartographie de l'accès à vos données sensibles vous permet d'automatiser la purge des chemins d'exposition les plus dangereux, y compris les droits d'accès dormants aux services d'IA qui étendent la surface d'attaque des identités.
• Établir des priorités en fonction de l'exploitabilité : Tenable One met en corrélation les mauvaises configurations, les risques liés aux identités et les données de vulnérabilité du cloud pour mettre en évidence de véritables expositions exploitables, plutôt que de simples scores de sévérité. Ce contexte d'exposition vous permet d'éliminer systématiquement les « proies faciles » que les attaquants ciblent en priorité, qu'il s'agisse de rôles d'IA dotés de privilèges excessifs, de packages tiers vulnérables ou d'autorisations externes excessives.
• Adopter le Zero Trust avec un accès JIT : l'accès Just-in-Time (JIT) de Tenable Cloud Security élimine les chemins d'attaque permanents en garantissant que les rôles dotés de privilèges excessifs, comme ceux assumés par les services d'IA, ne s'activent qu'en cas de besoin, limitant ainsi le « rayon d'impact » lors d'une potentielle compromission.

Tenable One Cloud Security vous permet d'adopter une gestion du risque de sécurité lié à l'IA et au cloud en offrant la visibilité unifiée nécessaire pour éliminer ces gaps en matière d'exposition dans vos environnements hybrides et multicloud. Prêt à consulter l'ensemble des données et à découvrir ces 10 recommandations stratégiques ?

Inscrivez-vous dès maintenant pour télécharger l'intégralité du « Rapport Tenable 2026 sur les risques de sécurité liés au cloud et à l'IA ».