AWS Security : Les 20 Services Sécurité Essentiels

Lorsque vous ouvrez la console AWS pour la première fois avec des responsabilités sécurité, le catalogue de services peut paraître vertigineux. Entre IAM, GuardDuty, Security Hub, Inspector, Macie, Detective, CloudTrail, Config, KMS, WAF, Shield, Firewall Manager, Network Firewall, VPC Flow Logs, Secrets Manager, Certificate Manager, Systems Manager, Organizations, Control Tower et Artifact, il faut savoir par où commencer et surtout comment ces services s'articulent entre eux. Après avoir déployé et opéré ces services sur des dizaines de comptes AWS en production, je vous propose une cartographie pragmatique qui classe ces vingt services par domaine fonctionnel, détaille les configurations critiques souvent négligées, et fournit un ordre de déploiement réaliste pour une équipe sécurité qui part de zéro ou qui souhaite consolider sa posture existante sur Amazon Web Services.

Comment structurer la gouvernance avec AWS Organizations ?

Tout commence par AWS Organizations et Control Tower. Organizations permet de créer une hiérarchie d'Organizational Units (OU) pour regrouper vos comptes par fonction : Security, Sandbox, Development, Staging, Production. Chaque OU hérite de Service Control Policies (SCP) qui définissent les gardes-fous infranchissables. Par exemple, une SCP sur l'OU Production peut interdire la suppression de CloudTrail, empêcher la création de ressources hors de certaines régions, ou bloquer l'utilisation de services non approuvés.

Control Tower automatise le provisioning de cette structure avec des guardrails prédéfinis (obligatoires et optionnels). Activez au minimum les guardrails de détection pour CloudTrail, le chiffrement EBS, et la restriction des régions. Les guardrails proactifs, basés sur AWS CloudFormation Hooks, bloquent le déploiement de ressources non conformes avant même leur création. C'est un changement de paradigme par rapport à la détection a posteriori.

Pour les détails sur les risques d'escalade de privilèges dans AWS, référez-vous à notre article sur escalades de privilèges AWS. Les SCP mal configurées sont souvent le premier vecteur exploité.

Quelles configurations IAM sont indispensables ?

AWS IAM reste le service le plus critique et le plus complexe. Les bonnes pratiques fondamentales incluent : éliminer les access keys du compte root, activer le MFA matériel sur le root, utiliser IAM Identity Center (ex-SSO) pour la gestion centralisée des accès humains, et privilégier les rôles IAM avec des sessions temporaires pour les accès programmatiques. Au-delà de ces basiques, configurez les permission boundaries pour limiter les permissions maximales que les développeurs peuvent s'auto-attribuer via leurs propres policies.

Le service IAM Access Analyzer détecte les ressources partagées publiquement ou avec des comptes externes. Activez-le dans chaque région active. Son module de génération de policies analyse les logs CloudTrail pour proposer des policies least-privilege basées sur l'usage réel — un outil puissant pour réduire les permissions excessives héritées de déploiements anciens.

La stratégie de déploiement des services de sécurité AWS doit suivre le principe de la défense en profondeur. Chaque service adresse une couche spécifique de la protection : IAM et Organizations couvrent la couche gouvernance et identité, CloudTrail et Config couvrent la couche audit et conformité, GuardDuty et Security Hub couvrent la couche détection et posture, WAF et Shield couvrent la couche protection périmétrique, et Inspector et Macie couvrent la couche protection des workloads et données. L'erreur la plus fréquente est de déployer tous les services simultanément sans comprendre leurs interdépendances, ce qui crée un enchevêtrement de findings redondants et de configurations conflictuelles. Suivez plutôt une approche par paliers en validant le bon fonctionnement de chaque couche avant de passer à la suivante, garantissant une intégration cohérente et une valeur ajoutée mesurable à chaque étape du parcours de maturité sécurité AWS.

Détection des menaces avec GuardDuty et Security Hub

Amazon GuardDuty analyse en continu les logs VPC Flow, DNS, CloudTrail, S3, EKS et Lambda pour détecter les comportements malveillants via du machine learning et des threat intelligence feeds. Activez-le dans toutes les régions, même celles où vous ne déployez pas — un attaquant pourrait utiliser une région inactive pour du cryptomining. Les findings de GuardDuty se classent en trois catégories : reconnaissance (port scanning, API enumeration), compromission d'instance (communication avec C2, cryptomining) et exfiltration (transfert S3 anormal, DNS tunneling).

Security Hub centralise les findings de GuardDuty, Inspector, Macie, Firewall Manager, IAM Access Analyzer et des solutions tierces dans un tableau de bord unifié. Activez les standards CIS AWS Foundations Benchmark et AWS Foundational Security Best Practices. Chaque finding reçoit un score de sévérité normalisé ASFF (AWS Security Finding Format) qui facilite la priorisation. Configurez des actions automatisées via EventBridge pour les findings critiques : isolation d'instance, révocation de credentials, notification PagerDuty.

Les techniques d'escalade documentées dans notre article sur escalade de privilèges IAM cloud génèrent des findings spécifiques dans GuardDuty qu'il faut savoir interpréter. Pour la documentation officielle complète, consultez AWS Security.

Chiffrement et gestion des secrets

AWS KMS gère les clés de chiffrement pour l'ensemble des services AWS. Créez des clés CMK (Customer Managed Keys) pour chaque domaine applicatif avec des key policies restrictives. Activez la rotation automatique annuelle. Pour les données les plus sensibles, utilisez des clés asymétriques RSA-4096 ou ECC stockées dans des CloudHSM dédiés (FIPS 140-2 Level 3). Secrets Manager stocke et rote automatiquement les credentials de bases de données, clés API et autres secrets. Configurez la rotation Lambda pour chaque secret avec une fréquence de 30 à 90 jours selon la criticité.

AWS Certificate Manager (ACM) automatise le provisioning et le renouvellement des certificats TLS pour CloudFront, ALB et API Gateway. Utilisez des certificats publics ACM pour les endpoints externes et des certificats privés ACM Private CA pour les communications internes service-à-service. La combinaison KMS plus Secrets Manager plus ACM couvre l'ensemble des besoins cryptographiques d'une infrastructure AWS moderne.

Pour auditer la conformité de vos configurations de chiffrement via Terraform, notre guide sur audit Terraform compliance fournit des checklist actionnables.

Protection réseau : WAF, Shield et Network Firewall

AWS WAF protège vos applications web contre les attaques OWASP Top 10 : injection SQL, XSS, SSRF, path traversal. Déployez-le devant CloudFront, ALB ou API Gateway. Utilisez les Managed Rule Groups d'AWS (Core Rule Set, Known Bad Inputs, SQL Database) comme base, puis ajoutez des règles custom pour votre contexte applicatif. AWS Shield Standard est inclus gratuitement et protège contre les attaques DDoS volumétriques de base. Pour les applications critiques, Shield Advanced ajoute la détection DDoS applicative, l'accès au DDoS Response Team et une protection financière contre les surcoûts d'absorption.

AWS Network Firewall est un pare-feu réseau managé qui inspecte le trafic VPC avec des règles Suricata IPS/IDS. Déployez-le dans un subnet dédié du VPC et routez le trafic via des route tables. Il complète les Security Groups et NACLs en offrant une inspection stateful en profondeur, du filtrage par domaine et de la détection d'intrusion basée sur des signatures. Combiné avec Firewall Manager, vous pouvez appliquer des politiques WAF, Shield et Network Firewall uniformément à travers tous vos comptes Organizations.

Pourquoi AWS Inspector est indispensable en 2026 ?

Amazon Inspector scanne automatiquement les instances EC2, les images de conteneurs ECR et les fonctions Lambda pour détecter les vulnérabilités logicielles et les problèmes de configuration réseau. La version 2 (relancée en 2023) fonctionne en mode agentless via l'intégration SSM Agent — plus besoin d'installer un agent dédié. Inspector évalue les packages installés contre la base NVD et le catalogue des vulnérabilités connues exploitées (KEV) de la CISA. Les findings sont enrichis d'un score CVSS contextualisé qui prend en compte l'exposition réseau de la ressource.

Intégrez Inspector dans votre pipeline CI/CD pour scanner les images Docker avant leur push vers ECR. Bloquez le déploiement de toute image contenant des vulnérabilités critiques ou hautes non patchées. Pour les fonctions Lambda, Inspector analyse les dépendances et signale les bibliothèques vulnérables. Cette couverture étendue fait d'Inspector un pilier de la gestion des vulnérabilités cloud-native. Les recommandations de l'ANSSI complètent cette approche avec un cadre réglementaire français.

Comment exploiter CloudTrail et Config ensemble ?

CloudTrail enregistre chaque appel API dans votre environnement AWS. Configurez un trail organisationnel qui centralise les logs de tous les comptes dans un bucket S3 dédié du compte Security, avec chiffrement KMS, validation d'intégrité des fichiers et une politique de rétention de 365 jours minimum. Activez les Data Events pour S3 et Lambda si votre budget le permet — ils capturent les accès aux objets S3 et les invocations Lambda, essentiels pour la forensique.

AWS Config enregistre en continu la configuration de vos ressources et évalue leur conformité contre des règles prédéfinies ou custom. Les Config Rules détectent les dérives : un Security Group modifié pour autoriser 0.0.0.0/0, un bucket S3 rendu public, un volume EBS non chiffré. Combiné avec les Remediation Actions, Config peut corriger automatiquement les non-conformités via des documents SSM Automation. Cette combinaison CloudTrail plus Config forme le socle d'audit et de conformité de toute infrastructure AWS sérieuse.

Consultez notre article sur secrets sprawl et collecte pour comprendre comment les attaquants tirent parti des secrets mal gérés dans les pipelines CI/CD AWS. De même, les problématiques de segmentation réseau traitées dans segmentation réseau VLAN firewall s'appliquent directement aux architectures VPC AWS.

Déploiement progressif et gouvernance du programme de sécurité AWS

Déployer l'ensemble des vingt services de sécurité AWS simultanément n'est ni réaliste ni souhaitable. Une approche par phases priorisées selon le risque permet de réduire rapidement l'exposition aux menaces les plus critiques tout en maîtrisant la complexité et les coûts. La phase initiale doit couvrir les fondations indispensables : activation de CloudTrail dans toutes les régions pour la traçabilité complète des actions API, déploiement de GuardDuty pour la détection des menaces comportementales, activation de Security Hub pour la centralisation des findings, et configuration des MFA obligatoires sur le compte root et tous les comptes IAM. Ces quatre mesures, déployables en quelques heures, éliminent les risques les plus courants identifiés dans les environnements AWS mal sécurisés.

La phase deux, à déployer dans les trente premiers jours, couvre les contrôles de posture et de conformité. AWS Config avec les règles conformity pack CIS Level 1 et 2 fournit une vision continue des dérives de configuration. AWS Inspector identifie les vulnérabilités dans les instances EC2 et les images de conteneurs. Macie analyse les buckets S3 à la recherche de données sensibles exposées. Ces trois services combinés réduisent drastiquement la surface d'attaque en détectant les misconfigurations avant leur exploitation. Le coût de ces services est généralement inférieur à 0,5 % du budget cloud, en faisant un investissement à ROI immédiat.

La gouvernance multi-comptes via AWS Organizations est souvent sous-exploitée, même par des organisations disposant de dizaines de comptes AWS. Les Service Control Policies permettent d'appliquer des guardrails de sécurité à l'échelle de toute l'organisation, empêchant la désactivation de CloudTrail, la création de ressources hors des régions autorisées, ou l'accès public aux buckets S3. Ces politiques s'appliquent même aux administrateurs des comptes membres, garantissant une conformité de base inviolable dans tout l'estate AWS. Combinez les SCP avec AWS Control Tower pour automatiser le provisioning de nouveaux comptes avec des configurations de sécurité prédéfinies, éliminant les dérives dès la création des comptes.

L'optimisation économique des services de sécurité AWS est un enjeu réel pour les environnements à grande échelle. GuardDuty facture à la volumétrie des logs analysés : dans des environnements générant des téraoctets de logs CloudTrail et VPC Flow Logs, le coût mensuel peut devenir significatif. Optimisez en activant le sampling des logs VPC Flow Logs pour les flux à faible risque, en filtrant les events CloudTrail non pertinents pour la sécurité à fort volume, et en utilisant les S3 Lifecycle policies pour archiver les logs anciens vers Glacier. Une revue trimestrielle des coûts de sécurité AWS permet d'identifier les optimisations sans réduire la couverture de détection. La mesure de l'efficacité du programme s'appuie sur des métriques concrètes : le Security Score de Security Hub, le Mean Time to Remediation des findings critiques, le taux de couverture GuardDuty en pourcentage de comptes et régions activés, et le nombre de findings non remédiés depuis plus de trente jours par sévérité.

En synthèse, cette démarche requiert une approche structurée combinant gouvernance formelle et actions techniques concrètes. Les organisations qui traitent ces enjeux de manière fragmentée, sans vision d'ensemble et sans processus de vérification continue, constatent une dégradation progressive de leur posture de sécurité malgré des investissements récurrents. La clé du succès réside dans l'intégration de la sécurité dans les processus opérationnels quotidiens plutôt que dans son traitement comme une activité parallèle déconnectée des enjeux métier. Chaque équipe doit comprendre son rôle dans la chaîne de sécurité globale et disposer des outils, formations et processus nécessaires pour l'assumer pleinement.

La documentation rigoureuse de toutes les décisions prises, des mesures compensatoires choisies et des analyses de risque conduites constitue un actif précieux lors des audits de conformité réglementaire. Les référentiels NIS 2, ISO 27001 et les guides ANSSI valorisent une approche documentée et traçable de la gestion de la sécurité. Cette documentation, maintenue à jour et accessible aux équipes concernées, accélère aussi l'onboarding des nouveaux collaborateurs et réduit la dépendance aux connaissances tacites de quelques experts clés, un levier de résilience organisationnelle souvent sous-estimé dans un contexte de forte demande pour les compétences en cybersécurité.

La mesure de l'efficacité des mesures mises en œuvre doit s'appuyer sur des indicateurs concrets et régulièrement revus. Des métriques comme le temps moyen de détection, le temps moyen de remédiation, le taux de couverture des contrôles et le nombre d'incidents évités grâce aux mesures préventives permettent de démontrer la valeur des investissements sécurité au management et aux parties prenantes. Ces indicateurs, présentés lors des comités de gouvernance avec une tendance à la baisse des risques non maîtrisés, constituent le langage commun entre les équipes techniques et les décideurs qui allouent les budgets. La capacité à quantifier le retour sur investissement des mesures de sécurité est devenue une compétence essentielle pour tout responsable de la cybersécurité en 2026.

Faut-il investir dans Macie et Detective ?

Amazon Macie utilise le machine learning pour découvrir et classifier les données sensibles stockées dans S3 : PII, données de santé, informations financières, credentials. Activez un scan initial complet puis des scans récurrents hebdomadaires sur les buckets critiques. Macie est particulièrement utile pour la conformité RGPD et la préparation aux audits. Amazon Detective construit automatiquement un graphe de sécurité à partir des logs CloudTrail, VPC Flow Logs et GuardDuty pour faciliter l'investigation des incidents. Au lieu de passer des heures à corréler manuellement des logs, Detective visualise les relations entre les entités suspectes et retrace la chronologie d'un incident.

Parmi ces vingt services, combien en avez-vous réellement activé et correctement configuré dans votre environnement AWS actuel ?

Comment optimiser les coûts de sécurité AWS ?

Les services de sécurité AWS représentent un coût non négligeable qui doit être optimisé. GuardDuty facture au volume de logs analysés — désactivez les sources de données non pertinentes dans les régions peu utilisées. Security Hub facture par check de conformité — désactivez les standards non pertinents pour votre secteur. Config facture par règle évaluée — consolidez les règles redondantes. Macie facture au volume scanné — ciblez uniquement les buckets contenant potentiellement des données sensibles au lieu de scanner l'intégralité de votre parc S3. Inspector facture par scan — optimisez la fréquence selon la criticité des workloads. L'approche la plus rentable consiste à déployer les services gratuits en priorité (IAM Access Analyzer, Trusted Advisor basic, Security Hub free tier) puis à activer progressivement les services payants en mesurant leur valeur ajoutée réelle pour votre contexte spécifique.

Sources et références : CISA · Cloud Security Alliance

Conclusion et feuille de route de déploiement

La sécurité AWS se construit par couches successives. La première semaine, déployez Organizations, CloudTrail et GuardDuty. Le premier mois, ajoutez IAM Identity Center, Security Hub, Config et KMS. Le premier trimestre, complétez avec WAF, Inspector, Secrets Manager et Network Firewall. Ensuite, affinez avec Macie, Detective et les guardrails Control Tower. Cette approche progressive permet de construire une posture solide sans submerger les équipes. Chaque service renforce les autres, créant un écosystème de sécurité intégré et cohérent sur Amazon Web Services.

Sécurisez votre infrastructure cloud

Audit AWS, Azure, GCP — misconfigurations, IAM, network segmentation, compliance.

Audit Cloud — Devis gratuit [email protected]