Les cyberattaques visant le cloud ne relèvent plus de scénarios théoriques ou d’alertes générales sur la “surface d’attaque élargie”. Elles s’inscrivent désormais dans des opérations documentées, répétées, et de plus en plus proches des infrastructures critiques des États. L’enjeu a changé de nature. Il ne s’agit plus uniquement de compromettre des entreprises utilisant des services cloud, mais d’atteindre, directement ou indirectement, les systèmes numériques des administrations publiques, souvent hébergés sur les mêmes plateformes ou connectés à leurs écosystèmes. Les événements observés depuis les trois dernières années dessinent une continuité : le cloud est devenu un point d’intersection entre cybercriminalité industrielle, espionnage étatique et perturbation de services publics.
Snowflake : l’attaque qui a révélé la logique de l’accès indirect
L’incident Snowflake, révélé en 2024, reste l’un des cas les plus structurants de ces dernières années. Des attaquants ont compromis des comptes clients utilisant la plateforme de data cloud, entraînant des exfiltrations massives de données dans plusieurs organisations. Le point important n’est pas la faille technique du fournisseur, mais le mode opératoire. Les accès compromis provenaient en grande partie de credentials volés et d’environnements mal protégés, sans authentification multifactorielle systématique. Ce schéma est devenu central : les attaques cloud ne passent plus par des vulnérabilités uniques, mais par l’agrégation de faiblesses organisationnelles. Et cette logique est particulièrement efficace dans les environnements hybrides utilisés par les administrations, où coexistent systèmes internes, services cloud et prestataires tiers.
Microsoft, Midnight Blizzard et la continuité de l’espionnage cloud
Début 2024, Microsoft a confirmé une intrusion attribuée au groupe Midnight Blizzard (lié au renseignement russe), ayant ciblé des environnements de messagerie cloud internes et des échanges avec des clients institutionnels. L’intérêt de cette opération n’était pas la perturbation, mais l’accès à des communications sensibles et à des relations contractuelles et diplomatiques. Plusieurs analyses ont souligné que des comptes compromis avaient permis un accès prolongé à des échanges avec des entités gouvernementales et des organisations stratégiques. Ce type d’incident illustre une évolution nette : le cloud n’est plus seulement une infrastructure technique, mais un point d’observation des relations État–industrie. L’objectif n’est pas de casser le service, mais d’exploiter la continuité des flux.
Les administrations face à la logique du “cloud étendu”
Les infrastructures publiques ne reposent presque jamais sur un cloud unique. Elles fonctionnent en architecture distribuée : plusieurs fournisseurs, plusieurs intégrateurs, plusieurs niveaux d’hébergement. Cette structure, souvent présentée comme une stratégie de résilience, produit en réalité un effet inverse du point de vue de la sécurité du cloud : une augmentation du nombre de points d’entrée potentiels. Les attaques observées contre des chaînes d’approvisionnement logicielles et des prestataires IT montrent que les administrations sont rarement la cible initiale. Elles deviennent des cibles dérivées. L’attaque contre Jaguar Land Rover en 2025, qui a paralysé une partie de ses systèmes industriels et logistiques via son écosystème numérique, illustre ce mécanisme. Le système attaqué n’est pas toujours celui visé au départ. Mais les interconnexions font le reste.
Ransomware : moins une extorsion qu’un levier de paralysie
Les attaques par ransomware sur les infrastructures publiques européennes ont changé de logique. La demande de rançon reste présente, mais l’objectif principal est souvent la désorganisation. Les cas récents montrent des durées de perturbation de plus en plus longues, notamment dans les administrations locales et régionales. En Belgique, l’attaque contre le Service public de Wallonie en 2025 a entraîné une interruption prolongée de services numériques essentiels, avec une reprise progressive sur plusieurs semaines. Le cloud joue ici un rôle ambivalent. Il permet parfois une restauration plus rapide des systèmes, mais il accélère aussi la propagation initiale et complexifie la segmentation des environnements compromis. Les attaquants exploitent surtout un point clé : la dépendance opérationnelle des administrations aux systèmes numériques, y compris pour des fonctions non critiques en apparence.
Les failles de configuration comme vecteur dominant
Une constante ressort des incidents documentés : une part significative des compromissions cloud ne repose pas sur des exploits avancés, mais sur des erreurs de configuration. Comptes sans MFA, accès excessifs, stockage exposé, absence de contrôle fin des permissions : ces éléments reviennent dans une grande partie des enquêtes post-incident. Dans les environnements publics, ces failles sont amplifiées par la durée de vie des systèmes et la superposition de couches techniques successives. Les environnements cloud modernes coexistent avec des architectures héritées, parfois mal intégrées. Cette hétérogénéité crée des incohérences exploitables, souvent invisibles jusqu’à l’incident.
DDoS et attaques de disponibilité : pression sur le service public numérique
Les attaques par déni de service restent une composante régulière des campagnes visant les infrastructures publiques. Leur intérêt ne réside pas dans la sophistication technique, mais dans leur impact immédiat sur la disponibilité. Plusieurs vagues récentes ont ciblé des portails administratifs et des services en ligne, parfois dans des contextes de tensions géopolitiques ou de contestation politique. L’effet recherché est double : perturber l’accès aux services et dégrader la perception de fiabilité des infrastructures publiques numériques. Dans un environnement où une grande partie de la relation citoyen–État passe par le digital, cette dimension devient stratégique.
Ainsi, face à l’ensemble des menaces qui pèsent sur le cloud, la réponse repose avant tout sur le renforcement des fondamentaux de la sécurité : contrôle strict des accès, authentification forte, surveillance continue et maîtrise des configurations. Une approche “zero trust” et une bonne préparation aux incidents permettent de réduire significativement l’impact des attaques et d’améliorer la résilience globale des systèmes.