Fehlkonfiguration du cloud : les 10 failles de sécurité les plus dangereuses dans AWS et Azure

4 min de lecture

Les mauvaises configurations sont, selon la Cloud Security Alliance, pour la deuxième année consécutive, la menace n°1 dans les environnements cloud. Selon IBM, elles sont à l’origine de 15 % de toutes les violations de données. Palo Alto Unit 42 rapporte que 76 % des organisations n’imposent pas l’authentification multifacteur (MFA) aux utilisateurs de la console. 63 % des buckets de stockage accessibles publiquement contiennent des données sensibles. Ce guide pratique recense les dix erreurs de configuration les plus dangereuses dans AWS et Azure, et explique comment les équipes de sécurité informatique peuvent les détecter et les corriger.

L’essentiel

• 🔒 Les mauvaises configurations du cloud sont responsables de 15 % de toutes les violations de données, coût moyen : 4,88 millions de dollars (IBM 2024).
• ⚠️ 76 % des organisations n’imposent pas l’authentification multifacteur (MFA) aux utilisateurs de la console (Palo Alto Unit 42).
• 🛡️ Les intrusions dans le cloud ont augmenté de 26 % en 2024. L’usurpation de comptes valides est la méthode d’accès initial n°1 (CrowdStrike 2025).
• 📊 61 % des comptes root n’ont pas de MFA. 81 % des actifs exposés au public sont négligés (Orca Security 2024).
• 🔧 Les référentiels CIS et les outils CSPM permettent d’automatiser les vérifications systématiques des configurations.

Pourquoi les mauvaises configurations sont-elles la menace n°1 ?

La Cloud Security Alliance (CSA) classe les mauvaises configurations et un contrôle insuffisant des modifications comme la menace la plus grave pour les environnements cloud depuis 2024. Pour la deuxième année consécutive. Les vulnérabilités liées à la gestion des identités et des accès (IAM) arrivent en deuxième position. Gartner prévoit qu’en 2025, 99 % des erreurs de sécurité dans le cloud seront causées par les clients, et non par les fournisseurs de cloud.

IBM confirme cette tendance dans son rapport Cost of a Data Breach Report 2024 : les mauvaises configurations du cloud sont responsables de 15 % de toutes les violations de données, au même niveau que le phishing. Le coût moyen global par violation a atteint en 2024 un niveau record de 4,88 millions de dollars. Données basées sur 604 organisations, 17 secteurs, 16 pays.

CrowdStrike indique dans son Global Threat Report 2025 que les intrusions dans le cloud ont augmenté de 26 %. Le vecteur d’intrusion le plus fréquent est l’usurpation de comptes valides, responsable de 35 % de tous les incidents cloud au premier semestre 2024. Les attaquants n’utilisent pas de vulnérabilités zero-day. Ils exploitent ce que les équipes IT ont laissé ouvert.

Sources : IBM Cost of a Data Breach 2024, CrowdStrike Global Threat Report 2025

Les 10 erreurs de configuration les plus dangereuses

1. Permissions IAM excessives. Palo Alto Unit 42, après avoir analysé 680 000 identités cloud, constate que 99 % de toutes les identités (utilisateurs, rôles, services) disposent de plus de permissions qu’elles n’en ont besoin. Le principe du moindre privilège est presque partout ignoré. Chaque permission superflue constitue un vecteur d’attaque potentiel.

2. Absence de MFA pour les comptes root et administrateurs. Orca Security relève que 61 % des comptes root ou de leurs propriétaires n’ont pas activé l’authentification multifacteur. Unit 42 confirme que 76 % des organisations n’imposent pas la MFA aux utilisateurs de la console, et 58 % ne l’imposent même pas aux comptes root ou administrateurs. En combinaison avec le phishing par usurpation d’identité (AiTM), cela devient une porte grande ouverte.

3. Buckets de stockage accessibles publiquement. Unit 42 documente que 63 % des buckets S3 accessibles publiquement contiennent des données sensibles. Résultat : données clients, documents internes et identifiants récupérables via une simple URL. En 2019, Capital One a perdu les données de 106 millions de clients suite à une combinaison entre une WAF mal configurée et des autorisations S3 trop larges.

4. Journalisation désactivée ou incomplète. Sans CloudTrail (AWS), Azure Monitor ou les journaux d’audit Cloud de GCP, la réponse aux incidents repose sur du sable. Si une violation survient sans journal, il n’existe aucun élément probatoire. Selon Unit 42, les équipes de sécurité passent en moyenne 145 heures à résoudre chaque alerte de sécurité. Sans journaux, ce délai double.

5. Groupes de sécurité et groupes de sécurité réseau (NSG) ouverts. Orca Security signale que 81 % des organisations possèdent des ressources exposées au public avec des ports ouverts (80, 443, 8080, 22, 3389, 5900). Chaque port ouvert est un point d’entrée. Les protocoles RDP (3389) et SSH (22) sur des adresses IP publiques sont scannés et attaqués en quelques minutes.

« En 2025, 99 % des erreurs de sécurité dans le cloud seront causées par les clients, et non par les fournisseurs de cloud. »
Gartner (cité à plusieurs reprises dans les rapports d’IBM, de la CSA et d’Unit 42)

6. Bases de données accessibles publiquement. Wiz, dans son Cloud Data Security Report 2025, révèle que 72 % des environnements cloud comportent des bases de données PaaS exposées publiquement, sans contrôle d’accès. Des instances RDS, Cosmos DB ou Cloud SQL fonctionnant sans isolation VPC ni liste blanche d’adresses IP sont accessibles à tous.

7. Absence de chiffrement des données au repos. Des données stockées dans S3, Azure Blob Storage ou GCS sans chiffrement au repos sont immédiatement lisibles en cas de violation. AWS propose SSE-S3 comme chiffrement par défaut depuis 2023, mais les buckets anciens et les clés gérées manuellement sont souvent oubliés. Il en va de même pour les volumes EBS et les instantanés RDS.

8. Images de conteneurs non mises à jour. Unit 42 rapporte que 63 % des bases de code en production contiennent des vulnérabilités non corrigées avec un score CVSS de 7,0 ou plus. Wiz ajoute que 12 % des conteneurs sont à la fois exposés publiquement et vulnérables via des failles connues. Les images de base obsolètes constituent la cause la plus fréquente.

9. Absence de segmentation réseau. Des réseaux plats, sans contrôles de peering VPC ni isolement de sous-réseaux, facilitent les déplacements latéraux. Si un attaquant compromet une charge de travail, il peut, sans segmentation, accéder à toutes les ressources du même réseau. La démarche Zero Trust ralentit ces déplacements, mais ne les bloque pas lorsqu’un compte valide est utilisé.

10. Identifiants par défaut et clés API intégrées dans le code. Clés d’accès AWS, secrets de principal de service Azure ou mots de passe de base de données codés en dur dans des dépôts Git. Une fois poussés, ils restent visibles pour toujours dans l’historique des commits. Des scanners automatisés parcourent GitHub en temps réel à la recherche de ces identifiants exposés.

Comment les équipes de sécurité informatique peuvent-elles vérifier de manière systématique ?

Les référentiels CIS comme point de départ. Le Center for Internet Security (CIS) publie des référentiels de configuration gratuits pour AWS, Azure et GCP. Ils définissent des vérifications concrètes : CloudTrail est-il activé ? La MFA est-elle imposée pour le compte root ? Les buckets S3 sont-ils publics ? AWS Security Hub intègre directement le CIS AWS Foundations Benchmark. Azure propose le Microsoft Cloud Security Benchmark comme équivalent.

Les outils CSPM pour une surveillance continue. Le Cloud Security Posture Management (CSPM) vérifie automatiquement les configurations par rapport à des politiques et des cadres de conformité. Pas ponctuellement, mais en continu. Chaque modification est évaluée. Les écarts (drift) sont détectés. Les options natives : AWS Config Rules, Azure Policy, GCP Security Command Center. Éditeurs spécialisés : Wiz, Prisma Cloud, Orca Security, Microsoft Defender for Cloud.

Analyse de l’Infrastructure as Code. Prévenir les mauvaises configurations avant qu’elles n’atteignent la production. Des outils comme Checkov, tfsec ou Bridgecrew analysent les fichiers Terraform, CloudFormation et modèles ARM à la recherche de problèmes de sécurité. Méthode Shift Left : la sécurité devient une étape intégrée de la pipeline CI/CD, et non un audit a posteriori.

Conclusion : la surface d’attaque réside dans la configuration

Les fournisseurs de cloud offrent une infrastructure sécurisée. Mais la configuration incombe au client. Tant que 76 % des organisations n’imposent pas la MFA, que 63 % laissent des données sensibles dans des buckets publics, et que 99 % des identités disposent de permissions excessives, la configuration restera le vecteur d’attaque le plus simple. Les outils de vérification existent. Les référentiels CIS sont gratuits. Le CSPM est intégré à chaque grande plateforme cloud. Ce qui manque n’est pas la technologie, mais la discipline.

Questions fréquentes

Qu’est-ce qu’une mauvaise configuration du cloud ?

Un paramètre dans AWS, Azure ou GCP qui s’écarte de la configuration sécurisée par défaut ou qui ouvre une faille de sécurité. Exemples : buckets S3 accessibles publiquement, absence de MFA, permissions IAM excessives. Selon la CSA, il s’agit de la menace n°1 dans le cloud depuis 2024.

Comment détecter les mauvaises configurations dans mon environnement ?

Utilisez les référentiels CIS comme checklist, des outils CSPM (AWS Config, Azure Policy, Wiz, Prisma Cloud) pour une surveillance automatisée, et des analyseurs d’Infrastructure as Code (Checkov, tfsec) pour prévenir les erreurs dans la pipeline CI/CD.

Quel est le coût d’une violation due à une mauvaise configuration ?

Selon le rapport Cost of a Data Breach 2024 d’IBM, le coût moyen est de 4,88 millions de dollars. Les mauvaises configurations du cloud sont à l’origine de 15 % de toutes les violations. Capital One a dû payer une amende de 80 millions de dollars en 2020 suite à une violation liée à des ressources AWS mal configurées.

Quelle est la mauvaise configuration la plus dangereuse ?

Les permissions IAM excessives. Selon Unit 42, 99 % des identités cloud disposent de plus de permissions que nécessaire. Combiné au vol de credentials (usurpation de comptes valides, 35 % de tous les incidents cloud selon CrowdStrike), c’est le chemin le plus direct vers les données sensibles.

Les outils de sécurité natifs du cloud suffisent-ils ?

Pour commencer, oui. AWS Security Hub, Azure Defender for Cloud et GCP Security Command Center couvrent les bases. Pour les environnements multi-cloud, la remédiation automatique et les rapports de conformité, des solutions CSPM spécialisées comme Wiz, Prisma Cloud ou Orca Security sont recommandées.

Source de l’image : Pexels / Panumas Nikhomkhai

À propos de l'auteur: Benedikt Langer

Plus d'articles de Benedikt Langer