Sécurité Cloud AWS : guide complet pour les PME et ETI

Amazon Web Services (AWS) domine le marché du cloud public avec plus de 32 % de parts de marché en 2025 (source : Synergy Research). Mais selon Gartner, 99 % des incidents de sécurité cloud d'ici 2026 seront dus à une mauvaise configuration côté client, pas à une faille AWS. Pour les PME et ETI, sécuriser un environnement AWS impose une discipline stricte sur les identités, le chiffrement et la supervision. Ce guide pratique présente les fondamentaux, les services natifs à activer et les 15 bonnes pratiques indispensables.
Le modèle de responsabilité partagée AWS
Comprendre la frontière entre ce qu'AWS sécurise et ce que vous devez sécuriser est la première étape. AWS sécurise « l'infrastructure du cloud » (datacenters, hyperviseurs, services managés). Vous restez responsable de « la sécurité dans le cloud » : configuration des services, identités, chiffrement, données et applications.
À la charge d'AWS
- • Sécurité physique des datacenters
- • Hyperviseurs et virtualisation
- • Patching des services managés (RDS, Lambda…)
- • Réseau global AWS
À votre charge
- • Comptes, rôles IAM et politiques d'accès
- • Configuration sécurisée (S3, EC2, VPC, RDS)
- • Chiffrement des données et gestion des clés
- • Patching des OS sur EC2, applications
- • Logs, supervision et réponse à incident
Les 7 risques AWS les plus fréquents
Buckets S3 publics
Première cause de fuites de données cloud (Capital One, Accenture, Twilio…). Données clients, sauvegardes, secrets exposés sur Internet.
Clés d'accès IAM exposées
Clés AWS versionnées par erreur sur GitHub. Détectées et exploitées en moins de 4 minutes en moyenne pour miner de la cryptomonnaie.
Comptes root utilisés en production
Pas de MFA, clés actives, droits illimités. Compromission = perte totale de l'environnement.
Security Groups trop permissifs (0.0.0.0/0)
Ports SSH/RDP/bases de données ouverts sur Internet. Compromission par bruteforce en quelques heures.
Absence de chiffrement
Volumes EBS, snapshots, RDS et S3 non chiffrés. Risque RGPD majeur.
Logs CloudTrail désactivés
Impossible de mener une investigation forensique en cas d'incident.
Snapshots et AMI publics
Partage involontaire d'images contenant des données ou des secrets.
Les 15 bonnes pratiques essentielles
Ces 15 mesures, alignées sur le CIS AWS Foundations Benchmark et les recommandations de l'ANSSI, couvrent 90 % de la surface d'attaque d'un environnement AWS de PME/ETI.
Les services AWS de sécurité à activer en priorité
AWS IAM Identity Center (ex-SSO)
Authentification centralisée, MFA obligatoire, accès temporaires aux comptes via permission sets. Indispensable dès 2 comptes AWS.
AWS CloudTrail
Journalisation de toutes les actions API. Conserver 1 an minimum, idéalement dans un compte « Log Archive » dédié et chiffré.
Amazon GuardDuty
Détection managée des menaces (cryptomining, exfiltration, brute force, comportements anormaux IAM). Coût : ~3 % de votre facture AWS.
AWS Security Hub
Tableau de bord unifié des findings GuardDuty, Inspector, Config, Macie + benchmarks CIS, PCI-DSS, NIST.
AWS Config
Suivi de la conformité des configurations (ex : S3 chiffrés, MFA activée, ports ouverts). Auto-remediation possible.
Amazon Inspector
Scan automatique de vulnérabilités sur EC2, ECR (containers) et Lambda.
AWS Macie
Détection de données sensibles (PII, RGPD) dans les buckets S3 via machine learning.
AWS WAF & Shield
Protection des applications web contre OWASP Top 10 et DDoS volumétriques.
Architecture multi-comptes recommandée
AWS recommande désormais une approche multi-comptes via AWS Organizations / Control Tower, même pour les PME. Cette segmentation limite drastiquement le rayon d'explosion en cas de compromission.
- • Compte management : facturation, Organizations, SSO uniquement
- • Compte Log Archive : centralisation immuable de CloudTrail/Config
- • Compte Security / Audit : Security Hub, GuardDuty délégué, accès en lecture
- • Comptes Workloads : un par environnement (prod, recette, dev)
- • Compte Shared Services : DNS, AD, outils transverses
Conformité : RGPD, NIS2, HDS, SecNumCloud
AWS dispose de nombreuses certifications utiles aux PME/ETI françaises : ISO 27001/27017/27018, SOC 1/2/3, HDS (régions Paris). Attention cependant : aucune région AWS standard n'est SecNumCloud. Pour les données sensibles État/OIV/OSE, des alternatives qualifiées (OVH, Outscale, S3NS) doivent être étudiées.
RGPD & extraterritorialité : AWS étant soumis au CLOUD Act américain, l'hébergement de données personnelles européennes nécessite une analyse d'impact (AIPD), un chiffrement avec clés conservées par le client (BYOK / XKS) et idéalement le choix de régions européennes (eu-west-3 Paris).
Audit gratuit de votre environnement AWS
15 minutes d'échange pour identifier les principales failles de configuration de votre tenant AWS et les actions prioritaires à mettre en place. Sans engagement.
Réserver mon audit gratuit