Zeroday Cyber Academy

Cloud & Infrastructure

AWS security pour débutant : guide pratique 2026

AWS security débutant : shared responsibility, IAM, GuardDuty, Security Hub, KMS, 10 erreurs classiques, checklist de sécurisation en 14 jours.

Naim Aouaichia
16 min de lecture
  • AWS
  • Cloud Security
  • DevSecOps
  • IAM
  • Well-Architected
  • Débutants
  • Hardening

La sécurité AWS pour débutant repose sur cinq blocs fondamentaux à maîtriser avant toute autre exploration : le modèle de responsabilité partagée (AWS sécurise l'infrastructure, le client sécurise ce qu'il déploie), l'IAM (Identity and Access Management avec principe du moindre privilège), le compte root (verrouillé derrière MFA hardware, jamais utilisé au quotidien), les réseaux VPC (Security Groups stateful + NACL stateless), et les services de détection gratuits ou low-cost (GuardDuty, Security Hub, CloudTrail, Config, IAM Access Analyzer). Ces cinq blocs couvrent 80 % des incidents AWS évitables en 2026. Les briques avancées — Service Control Policies (SCPs), Control Tower, AWS Organizations multi-comptes, KMS customer-managed keys, IMDSv2, private endpoints VPC — viennent dans un second temps, une fois le socle en place. Selon les observatoires 2025, plus de 70 % des organisations ont au moins un role IAM avec AdministratorAccess attaché sans justification, et selon le SANS report 2024, moins de 60 secondes s'écoulent entre le push d'une AWS access key sur GitHub public et la première tentative d'abuse par des scanners malveillants. Cet article explique les concepts clés AWS security pour un débutant, détaille les services à activer dans les 30 premiers jours, documente les 10 erreurs récurrentes de débutant, et fournit une checklist de sécurisation opérationnelle en 14 jours.

1. Le modèle de responsabilité partagée : ce que tu fais vs ce qu'AWS fait

1.1 La règle fondatrice

Depuis 2013, AWS formalise son Shared Responsibility Model : la sécurité est partagée entre AWS et le client, avec une frontière qui se déplace selon le service utilisé.

CoucheIaaS (EC2)PaaS managé (RDS)SaaS (S3, DynamoDB)
Datacenter physiqueAWSAWSAWS
Hardware, réseau, hyperviseurAWSAWSAWS
Système d'exploitation (OS)ClientAWSAWS
Runtime, middlewareClientAWSAWS
ApplicationClientClientAWS
DonnéesClientClientClient
Configuration (IAM, network, encryption)ClientClientClient
Accès et identitéClientClientClient

La règle à retenir : la configuration du service, l'accès et la donnée restent toujours ta responsabilité. AWS ne te protège pas d'un bucket S3 que tu as rendu public par erreur, d'une clé IAM que tu as pushée sur GitHub, ou d'un security group ouvert à 0.0.0.0/0.

1.2 Analogie pratique

Louer un appartement : le propriétaire (AWS) assure la solidité de l'immeuble, l'étanchéité du toit, le système électrique. Toi (le client), tu fermes ta porte à clé, tu choisis qui tu laisses entrer, tu installes ou non une alarme.

Si tu laisses ta porte grande ouverte et que tu te fais voler, le propriétaire n'est pas responsable — même si l'immeuble est le plus sûr du quartier.

2. Le compte root : la première chose à verrouiller

2.1 Pourquoi le root est dangereux

Le compte root AWS a un accès illimité : il peut modifier la facturation, fermer le compte, créer ou supprimer n'importe quelle ressource, contourner toutes les IAM policies. Contrairement aux users IAM classiques, le root ne peut pas être restreint par une politique IAM.

Conséquence : le root est la cible #1 en cas de compromission. Un attaquant qui obtient les credentials root peut tout faire — y compris te mettre à la porte de ton propre compte.

2.2 Les 6 actions obligatoires dans les 2 premières heures

1. Activer MFA HARDWARE sur le compte root
   - YubiKey 5 Series, Google Titan, ou equivalent FIDO2/WebAuthn
   - PAS de MFA virtuelle (TOTP sur telephone) : phishable
   - Stocker la cle physiquement en coffre
 
2. Creer un premier user IAM avec AdministratorAccess
   - Nom clair : "admin-prenom" ou "breakglass-1"
   - MFA egalement activee
   - Activer AWS CLI via access keys ou via AWS IAM Identity Center (ex-SSO)
 
3. Ne plus utiliser le root au quotidien
   - Sauf operations qui l'exigent explicitement (changement plan support,
     cloture compte, certains cas billing)
 
4. Activer CloudTrail sur TOUTES les regions
   - Log vers S3 chiffre (KMS) en region differente du compte
   - Activation Log File Validation
 
5. Activer GuardDuty dans les regions actives
   - Detection crypto mining, exfiltration credentials, reconnaissance
   - Cout typique : 20-50 EUR/mois en prod moyenne
 
6. Configurer une alerte budget AWS
   - Seuil 50 EUR/mois pour detecter un usage anormal
   - Notification email + SMS
   - Crypto mining via credentials voles peut generer 1000-5000 EUR/jour

3. IAM : la porte d'entrée de tout

3.1 Les 4 concepts IAM à maîtriser

ConceptDéfinitionExemple
UserIdentité humaine persistanteDéveloppeuse Alice avec credentials nominatifs
GroupEnsemble de users avec permissions communesGroup developers avec S3 et Lambda readonly
RoleIdentité assumable temporairementRole app-backend assumé par une instance EC2
PolicyDocument JSON définissant les permissionsPolicy S3-ReadOnly-Bucket-Prod

Règle pratique 2026 : privilégier les roles IAM aux users IAM pour toute application. Un user IAM a des credentials longue durée qui peuvent fuiter ; un role IAM fournit des credentials temporaires (TTL 15 min à 12 h) via STS (Security Token Service), renouvelés automatiquement. Depuis 2022, AWS recommande même IAM Identity Center (ex-AWS SSO) pour les humains, et les roles pour les applications — zéro user IAM humain dans l'idéal.

3.2 Principe du moindre privilège (PoLP)

Exemple minimal : un role applicatif backend qui doit lire un bucket S3 précis et écrire dans une table DynamoDB précise.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadFromSpecificBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::mon-bucket-prod",
                "arn:aws:s3:::mon-bucket-prod/*"
            ]
        },
        {
            "Sid": "WriteToSpecificTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:GetItem"
            ],
            "Resource": "arn:aws:dynamodb:eu-west-3:123456789012:table/Orders"
        }
    ]
}

Points clés :

  • Resource nommé explicitement par ARN, jamais "*".
  • Action limité au minimum (pas s3:*, mais s3:GetObject).
  • Pas de NotAction ou NotResource (anti-pattern fréquent, inverse dangereux).
  • Ajouter des Condition quand pertinent (restriction par IP, par tag, par MFA présente).

3.3 Les outils natifs à connaître

  • IAM Access Analyzer (gratuit) : scan automatique des ressources (S3, KMS, IAM roles, Secrets Manager, Lambda) accessibles depuis l'extérieur de l'organisation. À activer dès jour 1.
  • IAM Access Advisor : rapport par service des dates de dernier usage, permet de détecter les permissions jamais utilisées à retirer.
  • IAM Policy Simulator : tester une policy avant déploiement contre des scénarios précis.
  • CloudSplaining (open source, Salesforce) : audit des policies trop permissives, priorisation des risques.

4. VPC et réseau : la défense périmétrique

4.1 Les briques de base

ComposantRôleCaractéristique clé
VPCRéseau privé virtuel isoléCIDR /16 typique (65 536 IPs)
SubnetSubdivision d'un VPCPublic (route vers IGW) ou private
Security GroupFirewall par instanceStateful, allow only
NACLFirewall par subnetStateless, allow + deny
IGWInternet GatewaySortie internet
NAT GatewayNAT sortant pour subnets privésPayant (~30 €/mois/AZ)
VPC Flow LogsLogs trafic réseauEnvoi CloudWatch ou S3

Règle pratique : toutes les ressources sensibles (bases de données, workloads applicatifs) en private subnets. Seuls load balancers, bastion (éventuellement), et NAT Gateway en public subnets. Les accès admin internes via AWS Systems Manager Session Manager (pas de bastion SSH exposé en 2026).

4.2 Security Groups : 3 erreurs à ne jamais commettre

  1. 0.0.0.0/0 sur port 22, 3389, 3306, 5432, 6379, 27017, 9200, etc. Ouvrir un SSH, RDP, MySQL, PostgreSQL, Redis, MongoDB ou Elasticsearch à tout l'internet est la porte ouverte numéro 1. Scanner Shodan, ZMap détectent ces hosts en quelques minutes.
  2. Security Group par défaut modifié. Ne jamais toucher le Security Group default du VPC. Créer des Security Groups nommés par fonction (sg-web-public, sg-app-private, sg-db-internal).
  3. Permissive egress 0.0.0.0/0. Par défaut AWS autorise tout trafic sortant. Pour une app sensible, restreindre l'egress aux IPs/domaines nécessaires via security group ou via VPC endpoints (PrivateLink, Gateway Endpoints).

5. Les 8 services AWS de sécurité à connaître

Services natifs à activer dans les 30 premiers jours. Coûts indicatifs pour un compte moyen (100 ressources).

ServiceFonctionCoût indicatif / mois
IAM Access AnalyzerDétection resources externalement accessiblesGratuit
CloudTrailAudit log appels APIGratuit (management events) + ~5-30 € data events
GuardDutyThreat detection basé sur logs20-50 € prod moyenne
Security HubAgrégation findings + CIS/PCI-DSS benchmarks10-30 €
AWS ConfigInventaire + conformité configurations20-80 € selon périmètre
InspectorScan vulnérabilités EC2/ECR/Lambda5-40 €
MacieClassification data sensible S3Variable selon volume (10-500 € si actif plein)
KMSChiffrement clés gérées1 €/clé/mois + usage

5.1 Le quatuor de base : CloudTrail + Config + GuardDuty + Security Hub

Ces 4 services fonctionnent ensemble comme un SIEM minimal AWS-native :

  • CloudTrail collecte tous les appels API (qui a fait quoi, quand).
  • Config suit les modifications de configuration des ressources dans le temps.
  • GuardDuty détecte les anomalies (activity suspecte, crypto mining, reconnaissance).
  • Security Hub agrège les findings et évalue la posture contre CIS Benchmarks AWS 1.5+, PCI-DSS 4.0, NIST SP 800-53 Rev 5, AWS Foundational Security Best Practices.

Activation recommandée en 2 heures dès la création du compte production.

5.2 KMS : chiffrement à comprendre dès le jour 1

Type de cléGéré parCas d'usage
AWS-ownedAWS, invisible au clientChiffrement par défaut S3 (SSE-S3)
AWS-managed (aws/<service>)AWS, visible dans la consoleChiffrement par défaut RDS, EBS
Customer-managed (CMK)Client (rotation, policy, audit)Données sensibles, conformité, cross-account

Pour un débutant : activer le chiffrement par défaut partout (S3, EBS, RDS), même avec clés AWS-managed. Passer aux CMK customer-managed uniquement pour les données soumises à conformité (PCI-DSS, HDS, RGPD data sensibles) ou cross-account sharing.

6. Les 10 erreurs classiques de débutant

Erreurs récurrentes qui causent 80 % des incidents AWS évitables. Checklist anti-erreur.

#ErreurImpactDétection
1Access keys root en usage quotidienCompromission totale irreversibleSécurité du root : alerte GuardDuty
2MFA virtuelle sur root (pas hardware)Phishable via Evilginx/AiTMConsole IAM vérification
3Bucket S3 public par erreurFuite de données massiveS3 Block Public Access + Access Analyzer
4Security Group 0.0.0.0/0 sur DBScan Shodan → exploitAWS Config rule incoming-ssh-disabled
5Access keys pushées sur GitHubCrypto mining + ransomware sous 60sgitleaks + secret scanning
6IAM policies "Resource": "*"Over-privilege, pivot post-compromiseIAM Access Analyzer
7CloudTrail désactivé ou partielAucune visibilité post-incidentConfig rule + SCP
8GuardDuty non activéDétection zéroConfig rule + SCP
9IMDSv1 encore actif sur EC2SSRF → vol credentials (Capital One 2019)Config rule ec2-imdsv2-check
10VPC par défaut en prodRouting étrange, SG default modifiéSupprimer VPC default, créer VPC nommé

6.1 Focus sur l'erreur #5 : fuite de credentials

Le scénario le plus fréquent et le plus coûteux :

  1. Développeur stocke ses credentials AWS dans un fichier config.py ou .env pour tester.
  2. Il pousse par erreur sur un repo GitHub public (ou un fork public de son projet).
  3. Moins de 60 secondes plus tard (rapport SANS 2024), un scanner malveillant détecte la clé.
  4. L'attaquant lance des instances EC2 GPU (p3, p4, g5) en crypto mining dans toutes les régions.
  5. Facture AWS peut monter à 10 000 à 50 000 € en 24 heures avant détection.

Défense en couches :

  • Scan de secrets en pre-commit et CI (voir la ressource scan de secrets dans les pipelines).
  • GitHub Secret Scanning + Push Protection activé (AWS est partenaire, blocage automatique).
  • AWS Budget Alert à 50 € pour détecter l'abuse.
  • IAM Access Analyzer + GuardDuty pour détecter l'activité anormale.
  • Jamais de user IAM avec access keys longue durée pour un développeur — préférer IAM Identity Center (SSO) avec session temporaire.

7. Checklist de sécurisation en 14 jours

Plan d'action concret, implémentable par un débutant sur un compte AWS neuf ou en démarrage.

7.1 Jour 1-2 : Verrouillage root et IAM de base

  • MFA hardware activée sur root (YubiKey).
  • Mot de passe root changé avec gestionnaire type 1Password/Bitwarden.
  • Premier user IAM admin créé + MFA.
  • Root account stocké en coffre, n'y plus toucher.
  • CloudTrail activé toutes régions → S3 chiffré.
  • GuardDuty activé régions actives.
  • Budget alert 50 €/mois configuré.
  • IAM Access Analyzer activé (gratuit).

7.2 Jour 3-5 : Durcissement IAM

  • Audit users existants : désactiver ceux non nécessaires.
  • Migrer vers IAM Identity Center (ex-AWS SSO) pour humains.
  • Supprimer access keys longue durée, remplacer par roles + STS.
  • Activer Password Policy IAM (14 caractères minimum, rotation 90j, 5 derniers historique).
  • Revue des roles : supprimer AdministratorAccess non justifiés.
  • Configurer permissions boundaries sur les roles sensibles.

7.3 Jour 6-8 : Network et données

  • Supprimer VPC default non utilisé ou le documenter.
  • Créer VPC nommé avec subnets public/private/isolated.
  • Security Groups par fonction, nommés, documentés.
  • Vérifier qu'aucun SG n'a 0.0.0.0/0 sur ports sensibles (22, 3389, DB ports).
  • Activer VPC Flow Logs vers CloudWatch ou S3.
  • Block Public Access S3 activé account-wide.
  • Chiffrement par défaut activé sur tous les buckets S3 et volumes EBS.

7.4 Jour 9-11 : Détection et conformité

  • Security Hub activé avec benchmark AWS Foundational Security Best Practices.
  • AWS Config activé + règles managed (CIS AWS Foundations Benchmark v3.0).
  • Inspector activé pour scan EC2 + ECR.
  • CloudWatch alarms configurées sur événements critiques : console login from unusual location, root usage, IAM policy change, security group change 0.0.0.0/0, CloudTrail disabled attempt.
  • Runbook incident rédigé (qui appeler, quelles premières actions).

7.5 Jour 12-14 : Hardening avancé

  • IMDSv2 enforced sur tous les EC2 (HttpTokens: required).
  • SSM Session Manager configuré pour admin sans bastion SSH.
  • Audit des access keys non utilisées > 90 jours, désactivation.
  • Multi-compte : activation AWS Organizations + séparation prod / staging / dev.
  • SCPs de base appliquées (deny CloudTrail deletion, deny GuardDuty disable, restrict regions).
  • Documentation de l'architecture sécurité pour l'équipe.

8. Pour aller plus loin : AWS Well-Architected et certifications

8.1 AWS Well-Architected Framework - Security Pillar

AWS Well-Architected Framework est la référence officielle AWS, gratuit, mis à jour régulièrement. 6 piliers : Security, Reliability, Performance Efficiency, Cost Optimization, Operational Excellence, Sustainability. Le Security Pillar détaille :

  • Identity and access management (foundations).
  • Detection.
  • Infrastructure protection.
  • Data protection.
  • Incident response.
  • Application security.

Lecture recommandée en entier (100-150 pages), plus le tool AWS Well-Architected Tool (gratuit) qui permet d'auto-évaluer un workload contre les bonnes pratiques.

8.2 Certifications AWS pour monter en compétence

Parcours certifications sécurité 2026 :

CertificationNiveauCoûtPrérequisPositionnement
AWS Cloud Practitioner (CLF-C02)Fondations100 $AucunVue d'ensemble AWS
AWS Solutions Architect Associate (SAA-C03)Associate150 $Recommandé 1 an AWSArchitecture + sécurité de base
AWS Security Specialty (SCS-C02)Specialty300 $5 ans IT dont 2 AWS sécuritéRéférence sécurité AWS
AWS Certified Advanced Networking Specialty (ANS-C01)Specialty300 $5 ans networking AWSFocus réseau cloud

Parcours recommandé pour un débutant qui vise cloud security : Cloud Practitioner (1 mois) → Solutions Architect Associate (3-4 mois) → Security Specialty (3-4 mois).

8.3 Ressources complémentaires gratuites

  • AWS Security Workshops (workshops.aws) : labs hands-on gratuits avec compte AWS personnel.
  • AWS Ramp-Up Guide Security : PDF officiel structurant le parcours sécurité.
  • AWS Prescriptive Guidance : guides opérationnels par cas d'usage.
  • AWS re:Inforce sessions YouTube (conférence annuelle sécurité).
  • Labs CTF cloud : CloudGoat (Rhino Security Labs), flaws.cloud, flaws2.cloud.

Pour structurer l'apprentissage cloud security sur 12-18 mois en parcours complet, la ressource roadmap cloud security propose un plan en 6 phases couvrant AWS, Azure, GCP, Kubernetes, CNAPP, compliance. Le rôle opérationnel d'un ingénieur DevSecOps au quotidien est détaillé dans que fait un ingénieur DevSecOps.

Points clés à retenir

  • AWS Security = shared responsibility : AWS sécurise l'infra, toi tu sécurises data, IAM, config, accès.
  • Root account = plus dangereux service : MFA hardware + ne plus s'en servir + alerte sur usage.
  • IAM least privilege non négociable : jamais Resource: "*", jamais AdministratorAccess sur role applicatif.
  • 8 services sécurité de base : CloudTrail, GuardDuty, Security Hub, Config, IAM Access Analyzer, Inspector, Macie, KMS.
  • SCPs + Control Tower = défense structurelle en multi-comptes, à partir du moment où tu as 2+ comptes.
  • IMDSv2 enforced depuis octobre 2024 sur nouveaux EC2 — vérifier les parcs existants (leçon Capital One 2019).
  • Fuite de credentials = scénario #1 (< 60 s entre push public et abuse) : scan de secrets + push protection obligatoires.
  • 10 erreurs débutant : root quotidien, MFA virtuelle, S3 public, SG 0.0.0.0/0, credentials sur GitHub, IAM *, CloudTrail off, GuardDuty off, IMDSv1, VPC default.
  • Well-Architected Security Pillar est la référence gratuite officielle à lire en entier.
  • Checklist 14 jours pour sécuriser un compte neuf de bout en bout avec les services natifs.

Questions fréquentes

  • Qu'est-ce que la sécurité AWS pour un débutant ?
    La sécurité AWS pour un débutant repose sur cinq concepts à comprendre avant tout autre apprentissage. 1) Le modèle de responsabilité partagée : AWS sécurise l'infrastructure (datacenters, hardware, hyperviseur, services managés) ; le client sécurise ce qu'il déploie (data, IAM, network config, OS pour EC2). 2) L'IAM (Identity and Access Management) : gestion des users, roles, groups, policies avec principe du moindre privilège. 3) Le compte root : accès total, à verrouiller derrière MFA hardware dès la création, jamais utilisé au quotidien. 4) Les réseaux VPC avec security groups (stateful) et NACL (stateless). 5) Les services de détection : GuardDuty, Security Hub, CloudTrail, Config. Ces cinq blocs couvrent 80 % des incidents AWS évitables. Les configurations avancées (SCPs, Control Tower, Organizations, KMS customer-managed keys) viennent ensuite, une fois le socle maîtrisé.
  • Quelle est la première chose à faire après avoir créé un compte AWS ?
    Six actions dans les premières 2 heures, ordre strict. 1) Activer MFA hardware (YubiKey ou équivalent FIDO2/WebAuthn) sur le compte root, pas MFA virtuelle (phishable). 2) Créer un compte utilisateur IAM avec privilèges admin pour l'usage quotidien. 3) Ne plus jamais se connecter avec le root (sauf pour les quelques opérations qui l'exigent : changement plan de support, clôture compte). 4) Activer CloudTrail sur toutes les régions avec logs envoyés vers un bucket S3 chiffré en région différente. 5) Activer GuardDuty dans toutes les régions actives. 6) Activer une alerte budget IAM (ex : seuil 50 €/mois) pour détecter un usage anormal (crypto mining via credentials volés est le scénario #1). Tout manquement à ces 6 étapes expose le compte à une compromission dans les 60 secondes si des credentials fuitent.
  • Qu'est-ce que le principe du moindre privilège sur AWS ?
    Le principe du moindre privilège (Principle of Least Privilege, PoLP) consiste à accorder à chaque user, role ou service uniquement les permissions strictement nécessaires à sa tâche, pour la durée minimale nécessaire. Sur AWS en pratique : 1) Jamais de politique AdministratorAccess attachée à un role applicatif. 2) Préférer les policies AWS-managed spécifiques (AmazonS3ReadOnlyAccess, AmazonRDSFullAccess) ou, mieux, des custom policies scoped à des resources précises (ARN spécifiques, pas `Resource: "*"`). 3) Utiliser AWS IAM Access Analyzer pour détecter les rôles over-privileged automatiquement (service gratuit, obligatoire). 4) Rotation régulière des credentials, TTL courts via Vault ou AWS STS. Selon les observatoires 2025, plus de 70 % des organisations ont au moins un role IAM avec AdministratorAccess attaché sans justification — c'est la porte d'entrée #1 pour un attaquant qui a compromis un credential.
  • Quels sont les services AWS de sécurité à connaître absolument ?
    Huit services gratuits ou low-cost à activer dans les 30 premiers jours. 1) **IAM Access Analyzer** : détecte automatiquement les ressources S3, KMS, IAM roles accessibles depuis l'extérieur de l'organisation (gratuit). 2) **GuardDuty** : threat detection continu sur CloudTrail, VPC Flow Logs, DNS logs, EKS audit, S3 data events (payant mais ~30 $/mois en prod moyenne). 3) **Security Hub** : agrégation findings cross-services + benchmarks CIS/PCI-DSS/AWS Foundational Security Best Practices. 4) **CloudTrail** : audit log exhaustif des appels API (gratuit trail management events, payant data events). 5) **Config** : inventaire + historique de configuration + règles de conformité. 6) **Inspector** : scan vulnérabilités EC2, ECR container images, Lambda. 7) **Macie** : classification automatique des données sensibles dans S3 (PII, credentials). 8) **Detective** : investigation graph-based après GuardDuty alert. Pour le chiffrement : KMS (Key Management Service) est transversal, à maîtriser dès le jour 1.
  • Qu'est-ce qu'une Service Control Policy (SCP) ?
    Une SCP (Service Control Policy) est une politique appliquée au niveau d'une AWS Organization ou d'une OU (Organizational Unit) qui définit les **permissions maximales possibles** pour les comptes enfants, quels que soient les droits IAM internes à ces comptes. C'est une défense anti-mauvaise-manipulation : même si un admin d'un compte membre attache `AdministratorAccess` à un role, la SCP peut interdire structurellement certaines actions : désactiver CloudTrail, supprimer les logs, créer des users IAM, opérer hors régions approuvées, désactiver GuardDuty. Les SCPs se configurent via AWS Organizations (gratuit) et se superposent à Control Tower qui fournit des guardrails préconfigurés. Pattern recommandé 2026 pour tout compte production : au moins 5 SCPs verrouillant la protection CloudTrail, GuardDuty, KMS critiques, régions autorisées, et prévention de la création de users IAM (préférence rôles IAM + IAM Identity Center ex-SSO).
  • Qu'est-ce que IMDSv2 et pourquoi est-ce important ?
    IMDSv2 (Instance Metadata Service version 2) est la version sécurisée du service de métadonnées EC2 accessible depuis chaque instance à l'adresse 169.254.169.254. L'IMDSv1 répondait à toute requête GET locale, ce qui permettait à une SSRF (Server-Side Request Forgery) dans une application web exposée de récupérer les credentials IAM temporaires de l'instance en une seule requête. C'est la racine de l'incident Capital One 2019 (100 millions de comptes exfiltrés). IMDSv2 exige un workflow à 2 étapes : PUT /latest/api/token avec header TTL pour récupérer un token de session, puis GET avec ce token en header. Conséquence : un SSRF classique (qui ne contrôle pas les méthodes et headers) ne peut plus voler les credentials. Depuis octobre 2024, IMDSv2 est **enforced par défaut** sur toutes les nouvelles instances EC2. Pour les parcs existants, vérifier via la Console EC2 ou l'API que les instances existantes ont IMDSv2 requis (`HttpTokens: required`).
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également