Tenable Research révèle que les outils d'IA populaires utilisés dans les environnements cloud sont extrêmement vulnérables

Tenable®, la société de gestion de l'exposition au cyber-risque, a annoncé aujourd'hui la publication de son rapport Tenable Cloud AI Risk Report 2025. Ce rapport montre que l'IA basée sur le cloud est propice à des combinaisons toxiques évitables qui vulnérabilisent les modèles et les données IA sensibles face à la manipulation, la falsification et  la fuite de données. 

Le cloud et l'IA sont des atouts indéniables pour les entreprises. Cependant, leur association entraîne des cyber-risques complexes. Le rapport « Tenable Cloud AI Risk Report 2025 » met en évidence l'état actuel des risques de sécurité au sein des frameworks et outils de développement IA dans le cloud, ainsi que dans les services d'IA offerts par les trois principaux fournisseurs de services cloud, à savoir Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure. Voici les principales conclusions du rapport :

• Les charges de travail d'IA dans le cloud ne sont pas immunisées contre les vulnérabilités : environ 70 % des charges de travail d'IA dans le cloud contiennent au moins une vulnérabilité non corrigée. Tenable Research signale notamment la vulnérabilité CVE-2023-38545, une vulnérabilité curl critique dans 30 % des charges de travail d'IA dans le cloud.
• De mauvaises configurations cloud de type Jenga®¹ sévissent dans les services d'IA managés : pour 77 % des entreprises, le compte de service Compute Engine est configuré par défaut comme surprivilégié dans les notebooks Vertex AI de Google. Par conséquent, tous les services créés sur ce compte de service Compute Engine par défaut sont en danger.
• Les données d'entraînement d'IA sont susceptibles d'être polluées, et risquent de fausser les résultats des modèles : 14 % des entreprises qui utilisent Amazon Bedrock ne bloquent pas explicitement l'accès public à au moins un bucket d'entraînement d'IA et 5 % ont au moins un bucket trop permissif.
• Des instances du notebook Amazon SageMaker accordent un accès racine par défaut : par conséquent, 91 % des utilisateurs d'Amazon SageMaker ont au moins un notebook qui, s'il est compromis, pourrait accorder un accès non autorisé, ce qui peut entrainer la modification de tous les fichiers qu'il contient. 

« Lorsque nous parlons de l'utilisation de l'IA dans le cloud, cela ne concerne pas seulement les données sensibles. Si un pirate manipule les données ou le modèle d'IA, cela peut avoir des conséquences catastrophiques à long terme, comme la violation de l'intégrité des données ou la compromission de la sécurité des systèmes critiques, sans compter la perte de la confiance des clients », déclare Liat Hayun, Vice-présidente Recherche et Gestion des produits pour la sécurité du cloud chez Tenable. Elle ajoute : « Les mesures de sécurité du cloud doivent évoluer pour répondre aux nouveaux défis que pose l'IA et trouver le bon équilibre entre protection des données d'IA contre les attaques complexes et innovation responsable dans le domaine de l'IA par les entreprises ».

¹ Le « concept de type Jenga », introduit par Tenable, identifie la tendance des fournisseurs cloud à créer des services superposés les uns aux autres, avec « en arrière-plan » la construction de blocs qui héritent de configurations à risque d'une couche sur l'autre. Ce type de mauvaises configurations cloud, tout particulièrement dans les environnements IA, peut avoir des conséquences très graves si elles sont exploitées par des attaquants.

À propos de Tenable

Tenable® est la société de gestion de l'exposition au cyber-risque, qui dévoile et comble les failles qui affectent la valeur d’une l'entreprise, compromettant sa réputation et diminuant la confiance de ses clients. Sa plateforme de gestion de l'exposition optimisée par l'IA unit de manière inédite la visibilité, les connaissances et les actions de sécurité sur l'ensemble de la surface d'attaque. Les entreprises sont ainsi équipées pour se défendre contre tout type d'attaque, de l'infrastructure IT aux environnements cloud en passant par les infrastructures critiques. En protégeant les entreprises de l'exposition Cyber, Tenable réduit les risques business pour plus de 44 000 clients dans le monde. Pour en savoir plus, rendez-vous sur fr.tenable.com.

###

Contact média :

Tenable

[email protected]