Pour une PME, le cloud apporte agilité et économie, mais aussi des surfaces d'attaque qu'il faut maîtriser vite. J'ai réalisé et supervisé de nombreux audits express en environnement cloud — AWS, Azure, GCP ou clouds privés — et je partage ici un protocole concret et réalisable en une demi-journée à une journée. L'idée : des tests simples, actionnables et priorisables pour réduire immédiatement les risques les plus courants.

Pourquoi un audit express ?

Dans beaucoup d'organisations, la sécurité cloud est « en cours » : des équipes déploient des services, des comptes se multiplient et les bonnes pratiques ne suivent pas toujours. Un audit profond est idéal, mais il prend du temps. Un audit express permet d'identifier les vulnérabilités critiques, de corriger rapidement les failles les plus courantes et d'orienter les actions à moyen terme. Je le fais souvent comme point de départ avant de lancer des chantiers plus lourds (IAM, gouvernance, chiffrement).

Pré-requis rapides

Avant d'attaquer les tests, il faut :

  • Accès en lecture aux consoles cloud (ou export des configurations via API/CLI).
  • Liste des comptes/tenants et des projets/environnements (dev/stage/prod).
  • Inventaire minimal des services exposés (VM, conteneurs, fonctions, buckets).

    • Avec ça, vous pouvez lancer la série de tests ci-dessous.

    Les 10 tests à réaliser aujourd'hui

  • Vérifier les accès administratifs et comptes à privilèges

    • Regardez les utilisateurs et rôles avec droits « Owner/Administrator ». Recherchez les comptes partagés, les clés d'API permanentes et les sessions actives. Supprimez ou remplacez les clés non nécessaires, activez l'authentification multifactorielle (MFA) pour tous les comptes à privilèges. Outils : AWS IAM Access Analyzer, Azure AD Privileged Identity Management (PIM).

  • Examiner les politiques IAM et les permissions excessives

    • Recherchez les politiques « * » (wildcards) ou les rôles combinant trop de privilèges. Appliquez le principe du moindre privilège et segmentez les rôles. Je privilégie des rôles orientés tâche plutôt que des permissions larges.

  • Contrôler les configurations de stockage public / buckets

    • Les fuites via S3, Azure Blob ou Google Cloud Storage sont courantes. Testez l'accessibilité publique des buckets contenant des données sensibles, et activez l'encryption par défaut si ce n'est pas déjà fait. Outils : AWS CLI, GCP gsutil, l'outil open-source truffleHog ou CloudSploit pour repérage automatisé.

  • Scanner les ports et services exposés

    • Faites un scan des IP publiques et des endpoints pour repérer bases de données, interfaces de management ou services non protégés. Un simple nmap, ou des outils comme Masscan, suffit pour obtenir une cartographie rapide. Pour un test non intrusif, limitez les scans et prévenez l'équipe réseau.

  • Vérifier la configuration des groupes de sécurité / firewalls

    • Recherchez les règles « 0.0.0.0/0 » exposant des services sensibles (SSH, RDP, bases de données). Remplacez-les par des plages IP restreintes, ou configurez des bastions et Zero Trust Network Access (ZTNA). Les consoles AWS Security Group, Azure NSG et GCP Firewall permettent une revue rapide.

  • Contrôler la rotation et la gestion des clés / certificats

    • Repérez les clés d'API, secrets dans des dépôts ou variables d'environnement non chiffrées. Mettez en place la rotation automatique (AWS Secrets Manager, Azure Key Vault, HashiCorp Vault) et scannez les dépôts Git pour détections de secrets (outil : git-secrets ou truffleHog).

  • Analyser les logs et l'alerte

    • Vérifiez que les logs importants (authentification, modifications IAM, accès réseau) sont collectés et conservés suffisamment longtemps. Confirmez que des alertes critiques existent (accès console, création de clés, changements de règles réseau). Si les alertes manquent, définissez au moins quelques règles basiques via CloudTrail, Azure Monitor ou Cloud Logging.

  • Tester la configuration du chiffrement

    • Vérifiez que le chiffrement est activé au repos et en transit pour les services critiques (bases, objets, disques). Préférez la gestion des clés par un service centralisé et contrôlé plutôt que des clés locales non révoquées.

  • Évaluer la posture des containers et orchestrateurs

    • Pour Kubernetes ou services managés (EKS, AKS, GKE), vérifiez les RBAC, les admission controllers, l'exposition des dashboards et des workloads en mode root. Scannez les images pour vulnérabilités (Trivy, Clair) et analysez les configurations inadéquates (PodSecurityPolicies, NetworkPolicies).

  • Vérifier les sauvegardes et plans de reprise

    • Confirmez que les sauvegardes existent, sont chiffrées et testées. Un backup non vérifié est dangereux. Assurez-vous aussi que les accès aux sauvegardes sont restreints et audités.

    Checklist synthétique

    TestAction minimaleOutils suggérés
    Accès adminActiver MFA, révoquer clés inutilesAWS IAM, Azure AD
    IAMRéduire permissions excessivesPolicy Simulator, PIM
    Buckets publicsRestreindre accès, activer chiffrementAWS CLI, gsutil
    Ports exposésScan, restreindre SSH/RDPnmap, Masscan
    Groupes de sécuritéSupprimer 0.0.0.0/0Console cloud
    SecretsCentraliser, activer rotationKey Vault, Vault
    LogsActiver audit+alertesCloudTrail, Cloud Logging
    ChiffrementActiver au repos/en transitKMS, TLS
    ContainersRBAC, scanner imagesTrivy, kube-bench
    SauvegardesTest de restaurationOutils natifs cloud

    Après l'audit express : prioriser et agir

    Une fois les tests réalisés, j'identifie trois priorités :

  • Corriger les failles critiques (exposition publique, comptes compromis potentiels).
  • Mise en place d'alertes et de monitoring pour empêcher la régression.
  • Lancer des chantiers moyen terme : IAM hardening, gouvernance des comptes, secrets management.

    • Je propose de documenter les corrections et d'automatiser les contrôles (scripts IaC, règles Cloud Security Posture Management). Des outils comme Prisma Cloud, Security Hub d'AWS ou Microsoft Defender for Cloud aident à industrialiser ces vérifications.

    Si vous voulez, je peux vous fournir une checklist exportable ou un petit script pour automatiser quelques contrôles avec AWS CLI ou gcloud. Dites-moi vos environnements (AWS/Azure/GCP) et je m'adapte.