Cloud & identités · revue de configuration
Audit IAM AWS : maîtriser vos identités et chemins d'escalade
Sur AWS, la plupart des compromissions graves passent par l'IAM : un rôle trop large, une trust policy oubliée, un iam:PassRole mal cadré. L'audit IAM révèle ces surpermissions et les chemins d'escalade avant qu'un attaquant ne les emprunte, et livre un plan de durcissement actionnable.
10+ ans d'expérience · 100+ missions · réponse 24-48 h · intervenant unique certifié Qualiopi
Audit IAM ou pentest AWS ?
Deux approches complémentaires de la sécurité de votre cloud. L'audit cartographie le risque ; le pentest le prouve par l'exploitation.
Audit IAM (revue statique)
Analyse de la configuration des policies, rôles et permissions. Identifie surpermissions, politiques inline dangereuses, clés longue durée et chemins d'escalade. Rapide, exhaustif sur le périmètre, idéal pour durcir la gouvernance.
Pentest AWS (exploitation active)
Exploite réellement les failles pour mesurer l'impact : escalade effective, exfiltration, prise de contrôle. À privilégier pour prouver le risque ou répondre à une exigence de test offensif. Voir l'offre pentest AWS.
Périmètre de l'audit IAM
Identités, rôles et politiques
Revue des utilisateurs, groupes, rôles et politiques inline ou managées. Détection des surpermissions, des actions à privilège (iam:*, sts:AssumeRole, iam:PassRole), des wildcards trop larges et des clés d'accès longue durée à faire tourner.
Chemins d'escalade de privilèges
Identification des enchaînements qui permettent à une identité de faible privilège d'en obtenir un plus élevé : iam:CreatePolicyVersion, iam:PassRole + Lambda/EC2, attachement de policies, abus de rôles de service. Voir les erreurs IAM les plus fréquentes.
Comptes de service et intégrations tierces
Revue des accès machine-to-machine, des intégrations CI/CD, des fournisseurs OIDC/SAML et des rôles assumés par des outils externes, souvent sur-permissifs et rarement audités.
Organizations, SCP et trust policies cross-account
Analyse des garde-fous de gouvernance (SCP), des trust policies entre comptes et de la propagation possible d'une compromission vers les comptes membres. Ces liens de confiance sont les angles morts d'une revue compte par compte, comme détaillé dans pourquoi un cloud reste vulnérable malgré Security Hub au vert.
Méthode outillée et manuelle : voir notre guide sur Pacu et CloudSplaining. Ressources cloud oubliées ? Voir détecter le shadow cloud.
Livrables
Cartographie des chemins sensibles
Visualisation des escalades possibles, des identités à privilège et des liens de confiance cross-account.
Remédiations priorisées
Liste hiérarchisée par risque, avec pour chaque point la correction concrète à appliquer.
Modèles de policies cibles
Politiques IAM de moindre privilège prêtes à adapter, pour remplacer les rôles trop larges.
Plan de durcissement
Feuille de route de gouvernance IAM : rotation des clés, SCP, séparation des duties, garde-fous Organizations.
Restitution à deux niveaux (synthèse exécutive + détail technique). Atelier avec vos équipes cloud sur demande.
Tarif
À partir de 3 500 EUR HT
Audit IAM focalisé mono-compte, 3 à 5 jours. Multi-comptes ou Organizations : sur cadrage.
- TJM 900 à 1 400 EUR HT selon complexité
- Cartographie des chemins d'escalade
- Modèles de policies de moindre privilège
- Plan de durcissement priorisé
- Synthèse exécutive + rapport technique
Questions fréquentes
Durcir votre IAM AWS ?
Décrivez votre environnement (mono-compte ou Organizations, nombre de rôles, intégrations). Réponse sous 24 h.
Demander mon diagnostic flash