Chez Cyvex.io, on audite chaque mois des environnements cloud sur AWS, GCP ou Azure, certaines erreurs se retrouvent presque systématiquement. Voici les 7 erreurs de sécurité les plus courantes que nous rencontrons lors de nos audits, illustrées par des cas techniques concrets.
1. Absence de politique de sécurité des comptes utilisateurs
De nombreux environnements AWS n'imposent pas l'authentification multi-facteur (MFA) pour les comptes root ou admin. Voici un exemple d'alerte typique qu'on retrouve :
2. Droits excessifs (et persistants)
Exemple réel : un rôle avec cette policy JSON :
3. Absence de segmentation réseau
On retrouve fréquemment des VPC contenant toutes les applications, sans distinction prod/dev, avec des security groups ouverts à 0.0.0.0/0 sur les ports 22 ou 3306.
4. Manque de gestion des secrets
On voit encore des secrets stockés ainsi dans du code :
Utilisez des services comme AWS Secrets Manager, GCP Secret Manager, ou HashiCorp Vault.
5. Logs d’audit incomplets ou inactifs
Exemple d’erreur typique :
Cela empêche la traçabilité en cas d’incident ou de compromission.
6. Mauvaise gestion des ressources exposées publiquement
Des buckets comme celui-ci :
sont accessibles à tous, souvent indexés par des moteurs comme Grayhat Warfare.
7. Infrastructure as Code non contrôlée
Peu d’équipes intègrent des outils comme tfsec, Checkov ou terrascan dans leur pipeline CI/CD. Exemple de faille :
Ces erreurs ne sont pas toujours critiques, mais leur cumul ouvre la porte à des compromissions sévères. Cyvex propose des audits ciblés pour vous aider à reprendre le contrôle de votre posture cloud.
Financial blog tips and tricks
