Sécurité cloud
Audit IAM, durcissement réseau, gestion des secrets, chiffrement des données, monitoring d'événements suspects. AWS, GCP, Azure, Kubernetes — selon les CIS Benchmarks et le AWS Well-Architected Framework.
Le contexte
En 2026, les attaques cloud ne sont presque jamais des « hacks sophistiqués ». 82 % viennent d'erreurs de configuration : un bucket S3 public par accident, un rôle IAM avec `*:*`, une clé d'accès commitée dans un repo public, un Security Group ouvert sur 0.0.0.0/0. Le cloud expose tellement de surface qu'une seule faille ouvre la maison.
Pourtant les fondamentaux sont connus : least-privilege IAM, secrets managés (jamais en clair), réseau privé par défaut, audit logs activés, chiffrement at-rest et in-transit. Mais entre « connaître » et « avoir vraiment vérifié écran par écran sur 300 ressources », il y a un monde. Les équipes shippent du produit, pas du durcissement.
On fait l'audit à ta place. CIS Benchmarks, AWS Security Hub, ScoutSuite, Prowler, kube-bench si Kubernetes. Rapport actionnable classé par criticité avec patches prêts à appliquer (Terraform, IaC). On peut aussi mettre en œuvre le durcissement si tu veux.
150+
Contrôles audités
CIS Benchmarks AWS Foundations (1.5), GCP, Azure couverts
< 5j
Délai audit
Compte AWS/GCP de taille moyenne audité en 5 jours ouvrés
100%
Rapport actionnable
Chaque finding avec preuve, criticité, patch Terraform
0
Faux positif silencieux
On vérifie chaque alerte avant de l'inclure dans le rapport
Ce qu'on audite
L'audit couvre toute la surface : identités, réseau, données, applicatif, observabilité, gouvernance.
Le talon d'Achille N°1.
Audit des rôles, policies, MFA, rotation des clés. Détection des privilèges excessifs (`*:*`, AdministratorAccess sur des rôles non admin). Recommandation least-privilege avec policies générées. SSO, SCP, OU AWS, Boundary Permissions.
VPC, Security Groups, WAF.
Audit VPC, Subnets, Routing Tables, Security Groups, NACLs, VPC Endpoints. Détection des SG ouverts sur Internet, des peering trop larges, des routes vers des comptes externes. WAF rules review, DDoS Shield, Network Firewall.
Aucune clé en clair.
Audit Secrets Manager, Parameter Store, KMS keys. Détection des secrets hardcodés (git history scan, Lambda env vars). Rotation automatique, key policies, envelope encryption pour les données sensibles.
Chiffré at-rest et in-transit.
Audit S3 buckets (public access, encryption), RDS (encryption, snapshots), EBS, DynamoDB. Détection des buckets publics, des données non chiffrées, des backups non chiffrés. TLS 1.2+ en transit obligatoire.
Voir avant que ça pète.
Audit CloudTrail, GuardDuty, Security Hub, Config, Inspector. Mise en place de Detective Controls (anomalies IAM, accès root, modifs critiques). Alerting Slack/PagerDuty sur événements de sécurité. Centralisation logs multi-comptes.
SOC 2, ISO 27001 ready.
Mapping aux contrôles SOC 2, ISO 27001, HIPAA selon le besoin. AWS Config rules custom, Service Control Policies, Organizations strategy. Audit log immuable. Reporting compliance automatique.
Notre approche
On commence par cartographier ton infra, on identifie les findings, on les priorise, on les corrige.
Inventaire complet des comptes AWS/GCP/Azure, des ressources, des accès humains et machine. Identification du blast radius par environnement (prod, staging, dev). Pas de scan agressif — uniquement de la lecture API avec rôle d'audit dédié.
Exécution de ScoutSuite, Prowler, kube-bench (si K8s), aws-iam-actions-lookup. Cross-référence avec CIS Benchmarks. Filtrage des faux positifs. Classification par criticité (CVSS-like + business context).
Pour les findings critiques et élevés : analyse manuelle de la policy, du SG, du bucket. Validation de l'exposition réelle. Démonstration d'exploitation si pertinent (PoC sans impact). Rédaction des recommandations chiffrées.
Mise en œuvre des correctifs (selon ton choix) : Terraform/CloudFormation pour la persistance, IAM policies refactorées, SG resserrés, encryption activée. Re-scan après patching pour valider. Doc opérationnelle livrée.
Outils utilisés
Combinaison d'outils open-source matures et de tools natifs cloud.
Scanners cloud
ScoutSuite · Prowler · CloudSploit · Steampipe
ScoutSuite multi-cloud (AWS/GCP/Azure), Prowler très complet sur AWS (200+ checks). Steampipe pour requêter le cloud comme une DB SQL.
Natif AWS
Security Hub · GuardDuty · Inspector · Macie · Config
Security Hub agrège tous les findings (CIS, PCI). GuardDuty pour les anomalies. Inspector pour les CVE. Macie pour les données sensibles dans S3.
Kubernetes
kube-bench · kube-hunter · Falco · Trivy · OPA Gatekeeper
kube-bench applique CIS Kubernetes. Falco pour les anomalies runtime. Trivy scan images. OPA Gatekeeper enforce les policies admission.
IaC scanning
Checkov · tfsec · Terrascan · Cloudsploit
Checkov pour Terraform, CloudFormation, K8s manifests, Helm. tfsec rapide intégré dans la CI. Terrascan pour les compliance benchmarks.
Secrets scanning
gitleaks · TruffleHog · detect-secrets
gitleaks scan git history. TruffleHog idem + entropy detection. detect-secrets pour la CI/CD avec baseline.
IAM analysis
iam-floyd · Cloudsplaining · pmapper · aws-iam-actions-lookup
Cloudsplaining identifie les policies excessives. pmapper modélise les privilege escalation paths. iam-floyd génère des policies cleanes.
Garanties chiffrées
150+
Contrôles
CIS Benchmarks AWS, GCP, Azure couverts sur 100 % de l'audit. Aucun contrôle skipped.
100%
IaC livré
Chaque correctif livré en Terraform ou CloudFormation, prêt à apply. Pas de scripts shell jetables.
0
Données stockées
Aucune donnée client extraite ni stockée chez nous. Audit en lecture seule via rôle dédié, supprimé après mission.
30 j
Re-scan inclus
30 jours après livraison du patching, re-scan offert pour valider que les correctifs tiennent en condition réelle.
Tarification
Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.
Réponse sous 48 h ouvrées Demander un devis →Ton mail est prêt 🚀
On a ouvert ton client mail avec toutes les infos pré-remplies. Appuie sur Envoyer et l'équipe te répond sous 24h ouvrées.
