Pendant la course au nuage, une promesse attrayante a été vendue : moins de préoccupations opérationnelles et, en passant, de sécurité qui « serait déjà incluse ». La réalité a été plus complexe. Les infrastructures qui changent à chaque minute, les API qui se chevauchent, les déploiements éphémères dans les conteneurs et les environnements multinationaux ont créé des lacunes de visibilité que les équipements de sécurité ne peuvent ignorer.
La sécurité du cloud n'est pas fixée par magie; elle nécessite une visibilité. Lorsque les outils de protection ne détectent pas les techniques avancées ou les attaquants qui désactivent les capteurs locaux, le trafic réseau devient un témoin indépendant et souvent le seul moyen de reconstruire ce qui s'est passé. Les organisations et les experts se souviennent depuis des années que les principes de la défense des réseaux sont toujours en vigueur même dans les architectures modernes : voir le trafic permet de détecter des anomalies que les logos fragmentés ne montrent pas.
Un obstacle récurrent est l'hétérogénéité des enregistrements natifs de chaque fournisseur: les différents champs, les structures incompatibles et les volumes massifs d'appels aux API rendent la normalisation et l'analyse difficiles. C'est pourquoi de nombreuses équipes considèrent la télémétrie comme un « dénominateur commun » : les métadonnées et les flux de réseaux sont essentiellement comparables entre fournisseurs et, en outre, sont quelque chose que les analystes de la sécurité savent déjà interpréter rapidement. Ajouter le contexte de l'inventaire du cloud - comptes, projets, VPC / VNet, balises de regroupement ou pod - transforme ces flux en signaux significatifs et facilite la recherche.
Pour saisir ces données de manière fiable, les grands fournisseurs disposent de mécanismes bien documentés. AWS VPC Flow Logs et sa fonction de trafic miroir (rétroviseur de trafic), l'équivalent Google Cloud pour les enregistrements de flux VPC et les capacités Azure Network Watcher sont des pièces en béton qui vous permettent d'obtenir une vision large et la profondeur de paquet au besoin. Vous pouvez consulter les guides officiels de l'AWS ( VPC Logs de flux, Miroir de circulation), par Google Cloud ( VPC Logs de flux) et Microsoft Azure ( Surveillance réseau NSG Flow Logs).
La détection par réseau (NDR) apparaît comme une solution pratique pour unifier et normaliser cette télémétrie entre les nuages et les lieux. Une approche NDR bien intégrée ajoute un enrichissement contextuel et expose les schémas de communication qui indiquent l'exfiltration, la commande et le contrôle, la cryptominerie ou les mouvements latéraux au sein des grappes. En outre, la collection par le miroir de trafic et les robinets virtuels est beaucoup moins sensible à la manipulation par un attaquant qui a obtenu des privilèges dans un hôte.
Quel comportement devrait préoccuper une équipe de défense? Des communications sortantes inhabituelles vers des ports ou des protocoles atypiques, des pics de transfert soudains à partir d'un service qui devrait être stable, une activité interactive à l'intérieur de conteneurs de production (comme les sessions SSH ou RDP qui ne devraient pas exister dans des environnements en constante évolution), l'accès à des API ou à des régions inconnues et des signes de découverte entre services sont tous des signes pertinents. Dans de nombreux cas, ces traces sont celles qui vous permettent de connecter une intrusion à votre vecteur initial, par exemple une image de conteneur compromise ou un paquet malveillant introduit dans la chaîne d'approvisionnement - un risque que les autorités comme le CISA ont souligné que les organisations modernes étaient essentielles.
La bonne nouvelle est que la façon de rendre opérationnelle la visibilité nuageuse est tirée : elle commence par permettre aux enregistrements d'écoulement et de miroir de comprendre la latence et la fidélité de chaque source ; elle centralise la télémétrie sur une plateforme unique où elle peut être normalisée et étiquetée avec le contexte de l'inventaire ; elle établit des lignes de base de comportement par rôle, service et destination afin de pouvoir distinguer le bruit des véritables anomalies ; et elle modifie ces règles itérativement pour réduire les faux positifs sans perdre de signaux précieux.
La surveillance de l'évacuation et la détection précoce sont essentielles. L'instrumentation de vos points de sortie VPC / VNet vous permet de capturer des tentatives d'exfiltration ou des communications avec des infrastructures de commande et de contrôle. Parallèlement, l'inspection des métadonnées TLS, telles que les SNI ou les sujets certifiés, aide à identifier les API ou les paramètres gérés qui devraient être familiers pour un service; le premier accès à un domaine ou une région inconnu doit déclencher une enquête.
Il est également prudent de rechercher des modèles concrets qui signalent des activités malveillantes : des connexions à des outils cryptominery, des pics réguliers et "lents mais persistants" (low-and@-@ lent) dans les transferts de données, ou la présence de protocoles interactifs où ils n'ont pas de place. Lorsqu'un paramètre organisationnel est compromis, la corrélation entre les enregistrements de cet appareil et la télémétrie de l'évacuation dans le nuage peut être la pièce qui confirme l'étendue de l'incident.
Nous ne devons pas oublier de valider la capacité de détection : la simulation de techniques défavorables et les exercices d'équipe réseau permettent de vérifier que les signaux attendus apparaissent réellement sur la plateforme et que les playbooks de réponse fonctionnent. Ce processus de « mise dans les chaussures de l'attaquant » maintient les équipes honnêtes et évite les contrôles aveuglément confiants qui, dans des environnements dynamiques, peuvent être dépassés.
La discussion sur ces pratiques a été le point de départ d'un épisode du podcast DefeNDR dans lequel les spécialistes de Corelight ont parlé; le discours offre des exemples pratiques et une perspective sur la façon d'appliquer le NDR dans les environnements multinationaux (vous pouvez entendre l'épisode ici: épisode DefeNDR, et la série complète la page podcast). Si vous souhaitez approfondir les solutions commerciales qui combinent télémétrie réseau avec détection de contexte et enrichissement, les plateformes NDR ouvertes offrent un bon point de départ; par exemple, Corelight explique son accent sur votre Elite Page Défense.
En bref, la sécurité du cloud est réalisable si nous regardons le flux du réseau. Appliquer des principes classiques de surveillance et de détection aux architectures modernes, enrichir les données avec le contexte d'inventaire et valider en permanence les capacités de détection transforme la visibilité en un avantage stratégique : il ne s'agit pas de démythifier le nuage, mais de l'activer pour arrêter d'être un territoire sombre et devenir un environnement contrôlable.
Pour ceux qui veulent soutenir ces pratiques par des cadres et des recommandations, la littérature technique est abondante: le NIST explique les considérations et les risques de l'adoption des services cloud ( NIST SP 800-144) et la matrice ATT & CK de MOYEN demeure une référence pour comprendre les techniques utilisées par les adversaires dans les environnements traditionnels et nuageux.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...