Sécurité du cloud : les 7 erreurs de configuration les plus dangereuses
La migration vers le cloud ne transfère pas la responsabilité de la sécurité à votre fournisseur. En 2026, 82% des fuites de données dans le cloud sont dues à des erreurs de configuration, pas à des failles techniques. Voici les erreurs que nous identifions le plus souvent lors de nos audits.
1. Des buckets de stockage accessibles publiquement
C’est l’erreur la plus classique et la plus coûteuse. Un bucket S3 (AWS), un Blob Storage (Azure) ou un Cloud Storage (GCP) mal configuré peut exposer des gigaoctets de données sensibles à tout Internet. Des outils automatisés scannent en permanence les buckets publics. Vérifiez systématiquement les ACL et activez le blocage de l’accès public par défaut.
2. Des clés d’API committées dans le code source
Des clés AWS, des tokens d’API et des mots de passe se retrouvent dans des dépôts Git publics ou privés. Des bots scannent GitHub en temps réel et exploitent ces clés dans les minutes qui suivent leur publication. Utilisez des gestionnaires de secrets (AWS Secrets Manager, Azure Key Vault) et des outils comme git-secrets pour bloquer les commits contenant des credentials.
3. Pas de MFA sur les comptes root et admin
Le compte root AWS ou le Global Administrator Azure sans MFA est une porte ouverte. Activez le MFA sur tous les comptes à privilèges sans exception, et stockez les clés de récupération dans un coffre physique.
4. Des Security Groups trop permissifs
La règle 0.0.0.0/0 sur le port 22 (SSH) ou 3389 (RDP) expose vos machines à des attaques par force brute permanentes. Limitez les accès aux IP connues et utilisez des bastions ou des solutions de type AWS Systems Manager Session Manager.
5. Pas de journalisation activée
Sans CloudTrail (AWS), Azure Monitor ou Cloud Audit Logs (GCP), vous ne pouvez pas détecter une intrusion ni faire d’investigation forensique. Activez la journalisation sur tous les services et conservez les logs au moins 12 mois.
6. Des rôles IAM avec des wildcards
Une politique IAM avec "Effect": "Allow", "Action": "*", "Resource": "*" accorde un accès total à tout le compte cloud. Appliquez le principe du moindre privilège et utilisez IAM Access Analyzer pour identifier les permissions excessives.
7. Pas de chiffrement des données au repos
Les données stockées dans le cloud doivent être chiffrées avec des clés que vous contrôlez (CMK — Customer Managed Keys). Le chiffrement par défaut du fournisseur est un minimum, mais ne vous protège pas contre un accès non autorisé au niveau du compte.
Un audit de sécurité cloud permet d’identifier ces erreurs avant qu’un attaquant ne le fasse. Chez RM3A, nous utilisons les benchmarks CIS et les recommandations ANSSI pour évaluer votre posture cloud.
