Tenable Research révèle comment les erreurs de configuration omniprésentes dans le cloud exposent les données critiques et les secrets

Tenable®, la société de gestion de l'exposition au cyber-risque, a publié aujourd'hui son Rapport Tenable 2025 sur les risques de sécurité liés au cloud. L'étude révèle que 9 % des stockages cloud publiquement accessibles contiennent des données sensibles, 97 % de ces données étant classifiées comme restreintes ou confidentielles. De telles expositions augmentent le risque d'exploitation, notamment lorsqu'elles sont combinées à de mauvaises configurations ou des secrets intégrés. 

Les environnements cloud sont confrontés à un risque considérablement accru en raison de l'exposition de données sensibles, de mauvaises configurations, de vulnérabilités sous-jacentes et de secrets mal stockés, tels que les mots de passe, les clés API et les informations d'authentification. Le Rapport 2025 sur les risques liés à la sécurité du cloud offre une analyse approfondie des principaux problèmes de sécurité du cloud ayant un impact sur les données, les identités, les charges de travail et les ressources d'intelligence artificielle, et propose des stratégies d'atténuation pratiques pour aider les entreprises à réduire le risque de manière proactive et à combler les failles critiques.

Voici les principales conclusions du rapport : 

• Les secrets détectés dans diverses ressources cloud représentent un risque pour les entreprises : 54 % des entreprises stockent au moins une donnée secrète directement dans les définitions de tâche d'Amazon Web Services (AWS) Elastic Container Service (ECS), créant ainsi un chemin d'attaque direct. Des problèmes similaires ont été constatés dans les entreprises qui utilisent des workflows de Google Cloud Platform (GCP) Cloud Run (52 %) et Microsoft Azure Logic Apps (31 %). Fait alarmant, 3,5 % de toutes les instances AWS Elastic Compute Cloud (EC2) contiennent des secrets dans les données utilisateurs, ce qui représente un risque majeur compte tenu de l'ampleur de l'utilisation d'EC2.
• La sécurité des charges de travail dans le cloud s'améliore, mais les combinaisons toxiques persistent : bien que le nombre d'organisations pâtissant d'une « trilogie toxique du cloud » (une charge de travail à la fois publiquement exposée, extrêmement vulnérable et hautement privilégiée) ait diminué de 38 % à 29 %, cette combinaison dangereuse représente toujours un risque à la fois courant et significatif.
• L'utilisation de fournisseurs d'identité (IdP) ne suffit pas à éliminer les risques : alors que 83 % des entreprises AWS appliquent les meilleures pratiques en utilisant des services IdP pour gérer leurs identités dans le cloud, des paramètres par défaut trop permissifs, des droits excessifs et des autorisations permanentes continuent de les exposer à des menaces basées sur l'identité.

« Malgré les incidents de sécurité dont nous avons été témoins au cours des dernières années, les entreprises continuent de laisser des assets cloud critiques, allant des données sensibles aux secrets, exposés par le bais d'erreurs de configuration évitables », a déclaré Ari Eitan, Director of Cloud Security Research chez Tenable.

« La voie suivie par les attaquants est souvent simple : exploiter l'accès public, voler des secrets intégrés ou abuser d'identités surprivilégiées. Pour éliminer ces failles, les équipes de sécurité ont besoin d'une visibilité totale sur leurs environnements et de la possibilité de prioriser et d'automatiser les mesures de remédiation avant que les menaces ne prennent de l'ampleur. Le cloud exige une gestion continue et proactive du risque, et non un patchwork d'actions réactives. »

Le rapport reflète les conclusions de l'équipe Tenable Cloud Research basées sur la télémétrie des charges de travail dans divers environnements de cloud public et d'entreprise, analysées d'octobre 2024 à mars 2025. Pour télécharger le rapport dès aujourd'hui, rendez-vous sur : https://fr.tenable.com/cyber-exposure/tenable-cloud-security-risk-report-2025

Pour plus d'informations sur Tenable Cloud Security consultez la page : https://fr.tenable.com/cloud-security 

À propos de Tenable

Tenable® est la société de gestion de l'exposition au cyber-risque, qui dévoile et comble les failles qui affectent la valeur d’une l'entreprise, compromettant sa réputation et diminuant la confiance de ses clients. Sa plateforme de gestion de l'exposition optimisée par l'IA unit de manière inédite la visibilité, les connaissances et les actions de sécurité sur l'ensemble de la surface d'attaque. Les entreprises sont ainsi équipées pour se défendre contre tout type d'attaque, de l'infrastructure IT aux environnements cloud en passant par les infrastructures critiques. En protégeant les entreprises de l’exposition Cyber, Tenable réduit les risques business pour plus de 44 000 clients dans le monde. Pour en savoir plus, rendez-vous sur fr.tenable.com.

###

Contact média :

Tenable

[email protected]