Le rapport 2025 sur l’état de la sécurité du cloud de Datadog montre des avancées réelles en matière de sécurité du cloud : rotation des clés, identités fédérées, contrôle des accès. Pourtant, des zones d’ombre persistent, souvent liées à la complexité des environnements hybrides et à l’intégration d’outils open source mal sécurisés.
Le cœur du sujet, c’est l’identité. Alors que les API sont par nature exposées, un simple jeton volé peut suffire à tout compromettre. Datadog observe ainsi la montée en puissance des « périmètres de données » et des environnements multi-comptes gérés de manière centralisée : deux approches prometteuses, à condition d’être correctement mises en place.
Sur AWS, la généralisation des environnements multi-comptes permet de faire respecter des règles communes de sécurité, notamment grâce aux politiques de contrôle (SCP). Cette centralisation facilite la cohérence des politiques, mais crée aussi un point sensible : le compte de gestion principal, qu’il est déconseillé d’utiliser pour exécuter des charges de travail. C’est un vecteur de propagation que les ingénieurs sécurité devraient neutraliser en priorité.
La mise en place de périmètres de données répond à la même logique. Datadog estime qu’environ deux organisations sur cinq les utilisent déjà, souvent via des politiques appliquées aux compartiments S3 ou aux points d’accès privés. Les nouvelles politiques de ressource (RCP) introduites par AWS complètent désormais ces protections à l’échelle de l’entreprise. Ce n’est pas activé par défaut, mais c’est l’un des moyens les plus efficaces pour limiter les fuites de données en cas de compromission d’identifiants.
Clés trop anciennes et Kubernetes mal verrouillés
Le talon d’Achille reste l’usage d’identifiants permanents. Datadog constate qu’une part importante des utilisateurs AWS, Google Cloud et Microsoft conserve des clés d’accès actives depuis plus d’un an. Or, une simple faille de type injection serveur peut suffire à exploiter ces clés. L’adoption du protocole IMDSv2, conçu pour contrer ce genre d’attaque, progresse mais reste inégale. Le message de Datadog est limpide : il faut remplacer les identifiants statiques par des identités fédérées pour les utilisateurs et des jetons temporaires pour les services.
C’est dans Kubernetes que l’enjeu open source se manifeste le plus clairement. Les services managés — EKS, AKS, GKE — simplifient l’administration, mais laissent encore trop souvent leurs API accessibles depuis Internet ou leurs rôles d’exécution trop permissifs. Une simple faille applicative peut alors ouvrir la porte à toute l’infrastructure. L’année 2025 a d’ailleurs connu plusieurs vulnérabilités critiques dans les couches d’accès réseau, rappelant que la meilleure défense reste une configuration rigoureuse dès le déploiement.
L’écosystème open source n’est pas le problème, il fait partie de la solution. L’observabilité « ouverte » progresse, notamment grâce à la distribution Datadog d’OpenTelemetry, qui permet de suivre et corréler les signaux au cœur des clusters. Objectif : offrir une visibilité complète, de la requête entrante jusqu’à la donnée, tout en préservant la souplesse des outils open source déjà utilisés. Pour les équipes, c’est aussi un moyen de rapprocher ingénieurs systèmes et responsables sécurité autour d’une même télémétrie.
Au-delà des chiffres, le rapport Datadog 2025 rappelle une évidence : la sécurité du cloud dépend moins des outils que de leur configuration. Les bonnes pratiques sont connues — isolation des environnements, rotation des clés, supervision continue — mais la dette technique et les droits excessifs restent les principaux points faibles. La feuille de route est claire : adopter des identités fédérées, activer IMDSv2, limiter l’exposition d’Internet dans Kubernetes, appliquer les garde-fous au niveau organisationnel et vérifier en permanence leur efficacité.
