1) Préparation de l’audit
Voici une procédure complète pour auditer une organisation AWS en couvrant les aspects de sécurité, qualité de service (QoS), et coûts. Cette méthodologie s'applique à un audit initial ou périodique.
1.1. Définir les objectifs de l’audit
- Sécurité : Évaluer la posture de sécurité (accès, configurations, etc.).
- QoS : Vérifier les SLA, performances des services, et résilience.
- Coûts : Identifier les inefficientes et optimiser les dépenses.
1.2. Collecter les informations de base
- Obtenir une liste des comptes AWS dans l’organisation.
- Recueillir la structure des comptes (usage, environnement, etc.).
- Identifier les parties prenantes clés (DevOps, FinOps, équipes sécurité).
2) Réalisation de l’audit
2.1. Configurer les outils d’audit automatique
- Installer des outils d’audit automatisé comme AWS Config, AWS Trusted Advisor, ou des solutions tierces (CloudHealth, Dome9, etc.).
- Assurer l’accès aux logs via AWS CloudTrail et les métriques via AWS CloudWatch.
Utiliser lacework ou AWS Config pour trouver les problèmes de configuration / securité
ou check my comment ple
Extra checks
| Service |
Criticité |
Controle |
Recommandation |
| AWS Lambda |
High |
Pas de variables d’env avec des secrets |
Utiliser le sercret manager dans le code de la Lambda pour récupérer les secrets |
| EC2 User data |
High |
as de secret en dur dans les envs vars |
Utiliser le sercret manager dans le code de la Lambda pour récupérer les secrets |
| IAM Policies |
High |
Pas de role avec des droits plus permissif que ce qu’ils ont besoin |
Utiliser des policies maison s’il le faut avec uniquement les droits nécessaire |