Darren Guccione, CEO et Co-Founder de Keeper Security, rappelle que la cyberattaque confirmée par la Commission européenne, après le piratage de la plateforme Europa.eu, illustre une réalité clé. Dans les environnements cloud, la principale surface d’attaque n’est plus l’infrastructure. Ce sont les identités et les accès. Les premiers éléments suggèrent un accès non autorisé via des identifiants compromis, plutôt qu’une faille technique. Un scénario devenu courant : les attaquants n’exploitent plus les systèmes, ils s’y connectent.
« La violation signalée qui a touché la Commission européenne met en évidence un risque persistant dans les environnements cloud modernes : la frontière de sécurité n’est plus l’infrastructure, mais le contrôle des identités et des accès. Bien que le point d’entrée précis fasse toujours l’objet d’une enquête, les rapports indiquent que l’incident impliquait un accès non autorisé à un environnement cloud, probablement via des identifiants compromis ou des processus de gestion des identités, plutôt que par une vulnérabilité de l’infrastructure sous-jacente. Cela confirme un schéma bien connu : les attaquants n’ont pas besoin d’exploiter les systèmes s’ils peuvent s’y authentifier. Dans les grands environnements distribués tels que ceux exploités par la Commission européenne, l’identité constitue le principal plan de contrôle.
Les tactiques associées à des groupes comme ShinyHunters ont historiquement privilégié l’accès plutôt que l’exploitation, s’appuyant sur des identifiants valides, des jetons de session ou l’ingénierie sociale plutôt que sur une intrusion technique. Dans des attaques similaires, la compromission initiale est souvent opérationnelle, impliquant la manipulation des workflows d’assistance, la réinitialisation des identifiants ou les validations d’authentification multi-facteurs (MFA) pour établir une session légitime. À partir de là, l’activité se fond dans l’usage normal, avec l’accès à des plateformes SaaS, l’exportation de données ou l’interrogation de systèmes dans le cadre des autorisations déjà accordées. Cela rend la détection intrinsèquement difficile, car il n’y a peut-être pas de violation claire des politiques, mais seulement de subtils écarts de comportement au fil du temps. Cela met en évidence la nécessité d’étendre la sécurité au-delà de l’authentification, aux activités post-connexion, aux contrôles de session et aux processus de récupération, où l’accent est traditionnellement beaucoup moins mis sur la sécurité.
Chaque identité, y compris les utilisateurs invités, les comptes de service et les intégrations tierces, doit être gérée avec la même rigueur que les utilisateurs privilégiés. Il est essentiel d’appliquer le principe du moindre privilège, de restreindre la portée des sessions et d’auditer en permanence les autorisations. La gestion des accès privilégiés (PAM) joue un rôle crucial dans l’application de ces contrôles, réduisant à la fois l’ampleur d’une violation et le risque d’une compromission prolongée et discrète. »
