Retour aux actualités
    Guide

    Sécurité Cloud AWS : guide complet pour les PME et ETI

    Sécurité du cloud AWS

    Amazon Web Services (AWS) domine le marché du cloud public avec plus de 32 % de parts de marché en 2025 (source : Synergy Research). Mais selon Gartner, 99 % des incidents de sécurité cloud d'ici 2026 seront dus à une mauvaise configuration côté client, pas à une faille AWS. Pour les PME et ETI, sécuriser un environnement AWS impose une discipline stricte sur les identités, le chiffrement et la supervision. Ce guide pratique présente les fondamentaux, les services natifs à activer et les 15 bonnes pratiques indispensables.

    Le modèle de responsabilité partagée AWS

    Comprendre la frontière entre ce qu'AWS sécurise et ce que vous devez sécuriser est la première étape. AWS sécurise « l'infrastructure du cloud » (datacenters, hyperviseurs, services managés). Vous restez responsable de « la sécurité dans le cloud » : configuration des services, identités, chiffrement, données et applications.

    À la charge d'AWS

    • • Sécurité physique des datacenters
    • • Hyperviseurs et virtualisation
    • • Patching des services managés (RDS, Lambda…)
    • • Réseau global AWS

    À votre charge

    • • Comptes, rôles IAM et politiques d'accès
    • • Configuration sécurisée (S3, EC2, VPC, RDS)
    • • Chiffrement des données et gestion des clés
    • • Patching des OS sur EC2, applications
    • • Logs, supervision et réponse à incident

    Les 7 risques AWS les plus fréquents

    Buckets S3 publics

    Première cause de fuites de données cloud (Capital One, Accenture, Twilio…). Données clients, sauvegardes, secrets exposés sur Internet.

    Clés d'accès IAM exposées

    Clés AWS versionnées par erreur sur GitHub. Détectées et exploitées en moins de 4 minutes en moyenne pour miner de la cryptomonnaie.

    Comptes root utilisés en production

    Pas de MFA, clés actives, droits illimités. Compromission = perte totale de l'environnement.

    Security Groups trop permissifs (0.0.0.0/0)

    Ports SSH/RDP/bases de données ouverts sur Internet. Compromission par bruteforce en quelques heures.

    Absence de chiffrement

    Volumes EBS, snapshots, RDS et S3 non chiffrés. Risque RGPD majeur.

    Logs CloudTrail désactivés

    Impossible de mener une investigation forensique en cas d'incident.

    Snapshots et AMI publics

    Partage involontaire d'images contenant des données ou des secrets.

    Les 15 bonnes pratiques essentielles

    Ces 15 mesures, alignées sur le CIS AWS Foundations Benchmark et les recommandations de l'ANSSI, couvrent 90 % de la surface d'attaque d'un environnement AWS de PME/ETI.

    Activer la MFA sur le compte root et tous les utilisateurs IAM
    Verrouiller les clés d'accès du compte root (jamais de clé active)
    Adopter AWS Organizations + AWS SSO/Identity Center pour centraliser
    Appliquer le principe du moindre privilège (politiques IAM restrictives)
    Activer CloudTrail multi-régions vers un bucket S3 chiffré dédié
    Activer GuardDuty (détection de menaces) sur toutes les régions
    Activer AWS Config + règles de conformité (CIS, PCI, NIS2)
    Activer Security Hub pour centraliser les findings
    Bloquer le « Public Access » sur tous les buckets S3 par défaut
    Chiffrer EBS, RDS, S3 et snapshots avec AWS KMS (CMK clients)
    Restreindre les Security Groups (jamais de 0.0.0.0/0 sur SSH/RDP)
    Utiliser Systems Manager Session Manager au lieu de SSH/RDP direct
    Activer la rotation automatique des secrets via AWS Secrets Manager
    Mettre en place AWS WAF + Shield Standard sur les applications web
    Sauvegardes via AWS Backup avec rétention longue et copies cross-account

    Les services AWS de sécurité à activer en priorité

    AWS IAM Identity Center (ex-SSO)

    Authentification centralisée, MFA obligatoire, accès temporaires aux comptes via permission sets. Indispensable dès 2 comptes AWS.

    AWS CloudTrail

    Journalisation de toutes les actions API. Conserver 1 an minimum, idéalement dans un compte « Log Archive » dédié et chiffré.

    Amazon GuardDuty

    Détection managée des menaces (cryptomining, exfiltration, brute force, comportements anormaux IAM). Coût : ~3 % de votre facture AWS.

    AWS Security Hub

    Tableau de bord unifié des findings GuardDuty, Inspector, Config, Macie + benchmarks CIS, PCI-DSS, NIST.

    AWS Config

    Suivi de la conformité des configurations (ex : S3 chiffrés, MFA activée, ports ouverts). Auto-remediation possible.

    Amazon Inspector

    Scan automatique de vulnérabilités sur EC2, ECR (containers) et Lambda.

    AWS Macie

    Détection de données sensibles (PII, RGPD) dans les buckets S3 via machine learning.

    AWS WAF & Shield

    Protection des applications web contre OWASP Top 10 et DDoS volumétriques.

    Architecture multi-comptes recommandée

    AWS recommande désormais une approche multi-comptes via AWS Organizations / Control Tower, même pour les PME. Cette segmentation limite drastiquement le rayon d'explosion en cas de compromission.

    • Compte management : facturation, Organizations, SSO uniquement
    • Compte Log Archive : centralisation immuable de CloudTrail/Config
    • Compte Security / Audit : Security Hub, GuardDuty délégué, accès en lecture
    • Comptes Workloads : un par environnement (prod, recette, dev)
    • Compte Shared Services : DNS, AD, outils transverses

    Conformité : RGPD, NIS2, HDS, SecNumCloud

    AWS dispose de nombreuses certifications utiles aux PME/ETI françaises : ISO 27001/27017/27018, SOC 1/2/3, HDS (régions Paris). Attention cependant : aucune région AWS standard n'est SecNumCloud. Pour les données sensibles État/OIV/OSE, des alternatives qualifiées (OVH, Outscale, S3NS) doivent être étudiées.

    RGPD & extraterritorialité : AWS étant soumis au CLOUD Act américain, l'hébergement de données personnelles européennes nécessite une analyse d'impact (AIPD), un chiffrement avec clés conservées par le client (BYOK / XKS) et idéalement le choix de régions européennes (eu-west-3 Paris).

    Audit gratuit de votre environnement AWS

    15 minutes d'échange pour identifier les principales failles de configuration de votre tenant AWS et les actions prioritaires à mettre en place. Sans engagement.

    Réserver mon audit gratuit

    Articles liés

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.