Audit configuration cloud

Une misconfiguration cloud suffit à exposer vos données de production

Q: Combien de temps notre équipe DevOps est-elle mobilisée ?

Un appel de cadrage d'une heure pour identifier les comptes cloud et les services critiques. Une restitution d'une heure à la livraison. Entre les deux, on travaille en autonomie avec l'accès read-only fourni. Votre équipe n'est pas sollicitée pendant l'audit.

Q: Que se passe-t-il après la livraison du rapport ?

Votre équipe applique les correctifs CLI ou IaC fournis dans le rapport. Sous 30 jours, on reteste gratuitement les corrections pour valider la remédiation et fournir une attestation. On reste disponible par email ou Slack pendant la phase de correction.

Q: Comment garantissez-vous la sécurité de nos comptes cloud ?

Un NDA est signé avant le début de la mission. On utilise exclusivement l'accès read-only fourni — aucune modification n'est apportée à votre infrastructure. Les données collectées sont chiffrées et détruites 30 jours après la livraison du rapport.

Audit de sécurité de votre infrastructure AWS, GCP ou Azure par un pentester senior spécialisé SaaS. Scan CIS Benchmarks et revue manuelle pour identifier les permissions IAM excessives, les buckets exposés, les secrets mal stockés et les drifts de configuration. Rapport avec correctifs CLI et templates IaC.

Cadrer mon audit Voir un rapport exemple

Rapports conformes SOC 2 et ISO 27001 Zéro faux positif Retest inclus

Périmètre

Ce qu'on teste

Politiques IAM

Audit des politiques d'accès : rôles trop permissifs, clés d'accès non rotées, comptes de service avec privilèges admin, absence de MFA sur les comptes critiques.

Configuration réseau

Analyse des VPC, security groups, NACLs et firewalls : ports exposés, segmentation insuffisante, accès SSH/RDP publics, absence de bastion ou VPN.

Stockage et chiffrement

Vérification du chiffrement at-rest et in-transit : buckets S3/GCS publics, disques non chiffrés, clés KMS mal configurées, bases de données exposées.

Gestion des secrets

Audit du stockage des secrets : utilisation de Secrets Manager/Vault, rotation automatique, secrets en clair dans les variables d'environnement ou le code IaC.

Logging et monitoring

Vérification de la traçabilité : CloudTrail/Cloud Audit Logs activés, alertes de sécurité configurées, rétention des logs, détection d'anomalies.

Services managés

Configuration des services cloud critiques : RDS (accès public, backups), Lambda/Cloud Functions (permissions), ECS/GKE (isolation), API Gateway.

CIS Benchmarks

Évaluation complète selon les CIS Benchmarks du provider cloud. Score de conformité avec recommandations priorisées par criticité.

Infrastructure as Code

Revue des templates Terraform, CloudFormation ou Pulumi : secrets en clair, ressources trop permissives, drift entre le code et l'infrastructure déployée.

Extrait de rapport

Voici ce que vous recevez

Chaque vulnérabilité est documentée avec sa preuve d'exploitation et un correctif applicable. Pas de généralités, pas de faux positifs.

2.3.1 S3 Bucket Public Read on Production Backups

CRITICAL

CVSS 3.1: 9.1 CIS AWS 2.1.5 Verification: Live-Confirmed

Description

Le bucket S3 prod-backups-daily est configuré avec un accès public en lecture. Les backups quotidiens de la base de données de production sont accessibles sans authentification à quiconque connaît le nom du bucket.

Bucket policy — accès public

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": "*",
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::prod-backups-daily/*"
  }]
}

Confirmation — accès sans authentification

$ curl -s https://prod-backups-daily.s3.amazonaws.com/2024-01-15/db-dump.sql.gz | head -c 100
H4sIAAAAAAAAA+3dB3hU1dYG4D... # backup valide, données accessibles

$ aws s3 ls s3://prod-backups-daily/ --no-sign-request
2024-01-15 03:00:01  2.4 GB  db-dump.sql.gz
2024-01-14 03:00:01  2.3 GB  db-dump.sql.gz

Correctif proposé

# 1. Supprimer l'accès public immédiatement
$ aws s3api put-public-access-block \
    --bucket prod-backups-daily \
    --public-access-block-configuration \
    BlockPublicAcls=true,IgnorePublicAcls=true,\
    BlockPublicPolicy=true,RestrictPublicBuckets=true

# 2. Activer le chiffrement côté serveur
$ aws s3api put-bucket-encryption \
    --bucket prod-backups-daily \
    --server-side-encryption-configuration ...

# 3. Activer S3 Block Public Access au niveau du compte

Demander un rapport comme celui-ci pour votre application Voir le rapport exemple complet

Méthodologie

Notre approche étape par étape

Cadrage

Identification des comptes cloud, services utilisés et niveau d'accès fourni (read-only recommandé).

0.5 jour

Scan automatisé

Évaluation CIS Benchmarks et scan de configuration sur l'ensemble des services actifs.

0.5 jour

Revue manuelle

Analyse approfondie des configurations critiques : IAM, réseau, stockage, secrets.

2–6 jours

Rapport

Documentation de chaque misconfiguration avec preuve, impact business, score CVSS et correctif applicable.

Inclus

Restitution

Présentation des résultats à votre équipe DevOps/SRE avec plan de remédiation priorisé.

Inclus

OWASP WSTG OWASP ASVS PTES OSSTMM CVSS 3.1 CWE

Livrable

Contenu du rapport

Synthèse exécutive

Résumé non technique pour votre direction et vos investisseurs. Score de risque global, répartition par sévérité.

Retest inclus

Validation gratuite de vos corrections sous 30 jours. Attestation de remédiation fournie.

Findings détaillés

Chaque misconfiguration documentée avec preuve, impact business et score CVSS 3.1.

Correctifs applicables

Commandes CLI ou templates IaC de correction prêts à être appliqués par votre équipe DevOps.

Score CIS Benchmarks

Évaluation complète de conformité CIS avec pourcentage par catégorie et évolution recommandée.

Mapping conformité

Correspondance des findings avec NIS2, DORA, SOC 2, ISO 27001, PCI DSS.

Conformité

Chaque audit couvre vos obligations réglementaires

Les findings sont mappés vers les référentiels de conformité applicables à votre secteur.

OWASP

Référentiel de test standard pour la sécurité applicative

NIS2

Directive européenne sur la cybersécurité des entités essentielles

DORA

Tests d'intrusion obligatoires pour le secteur financier

SOC 2

Preuves de pentest requises pour les Trust Services Criteria

ISO 27001

Tests de sécurité réguliers exigés par l'annexe A

PCI DSS

Tests d'intrusion obligatoires pour le traitement de paiements

Tarif indicatif

2 500 – 12 000 €

3–8 jours ouvrés

Prix fixe après cadrage. Pas de surprise, pas de semaines d'attente.

Scan CIS Benchmarks automatisé
Revue manuelle IAM, réseau, stockage
Audit des secrets et du chiffrement
Rapport avec correctifs CLI/IaC
Revue de l'Infrastructure as Code
Retest gratuit sous 30 jours

Cadrer mon audit

Appel de 30 min — sans engagement

Aller plus loin

Services complémentaires

Pentest application web

Complétez l'audit infra par un pentest de l'application hébergée sur votre cloud.

En savoir plus →

Audit sécurité API

Testez les APIs exposées par vos services cloud : API Gateway, Lambda, Cloud Functions.

En savoir plus →

Pentest Rapide

Audit rapide sur un périmètre défini. Rapport complet livré en 48 heures ouvrées.

En savoir plus →

Questions fréquentes

Ce que nos clients demandent

Quel niveau d'accès faut-il fournir ?

Un accès en lecture seule (read-only) sur les comptes cloud concernés. Sur AWS : rôle IAM avec la policy SecurityAudit. Sur GCP : rôle Viewer + Security Reviewer. Sur Azure : Reader + Security Reader. Aucune modification n'est effectuée sur votre infrastructure.

Pouvez-vous auditer un environnement multi-cloud ?

Oui. On audite AWS, GCP et Azure dans la même mission. Le rapport unifie les findings sous une matrice de risques commune avec les correctifs spécifiques à chaque provider.

Quelle différence avec un scan automatisé type Prowler ?

Les scanners automatisés (Prowler, ScoutSuite, Steampipe) sont le point de départ, pas le livrable. La revue manuelle ajoute l'analyse contextuelle : une règle IAM trop permissive n'a pas le même impact selon qu'elle est attachée à un service de logging ou à un service de paiement.

Couvrez-vous Kubernetes ?

Oui. On audite les clusters EKS, GKE et AKS : RBAC, network policies, pod security standards, secrets, images, ingress controllers. L'audit Kubernetes est intégré dans l'audit cloud ou réalisable séparément.

Comment priorisez-vous les recommandations ?

Les findings sont classés par sévérité (CVSS) et par effort de remédiation (quick win vs projet). Le rapport inclut un plan de remédiation en 3 phases : corrections immédiates (< 1 jour), améliorations court terme (< 1 semaine), chantiers structurels (< 1 mois).

Combien de temps notre équipe DevOps est-elle mobilisée ?

Un appel de cadrage d'une heure pour identifier les comptes cloud et les services critiques. Une restitution d'une heure à la livraison. Entre les deux, on travaille en autonomie avec l'accès read-only fourni. Votre équipe n'est pas sollicitée pendant l'audit.

Que se passe-t-il après la livraison du rapport ?

Votre équipe applique les correctifs CLI ou IaC fournis dans le rapport. Sous 30 jours, on reteste gratuitement les corrections pour valider la remédiation et fournir une attestation. On reste disponible par email ou Slack pendant la phase de correction.

Comment garantissez-vous la sécurité de nos comptes cloud ?

Un NDA est signé avant le début de la mission. On utilise exclusivement l'accès read-only fourni — aucune modification n'est apportée à votre infrastructure. Les données collectées sont chiffrées et détruites 30 jours après la livraison du rapport.

Prêt à sécuriser votre application

Décrivez votre projet en 2 minutes. On revient vers vous le même jour avec une proposition de périmètre et un devis détaillé.

Cadrer mon audit Voir un rapport exemple

Réponse le jour même · Sans engagement · 4 missions par mois maximum