Audit : cas pratique
- Published on
- Authors
- Name
- Sylvain BRUAS
- @sylvain_bruas

Introduction
Nous allons voir dans cet article comment se déroule un audit de sécurité et d'architecture sur AWS.
Nous allons nous baser sur un cas pratique, une entreprise qui a migré sur AWS il y a quelques années, et qui souhaite faire un audit de son infrastructure pour s'assurer que tout est bien configuré, et que les bonnes pratiques sont respectées.
Préparation
Avant de commencer l'audit, il est important de bien préparer le terrain. Il faut définir le périmètre de l'audit, les objectifs, et les moyens à mettre en œuvre.
Périmètre
Le périmètre de l'audit est défini par les services AWS utilisés par l'entreprise. Dans notre cas, l'entreprise utilise les services suivants :
- EC2
- RDS
- S3
- CloudFront
- Route53
- IAM
- CloudWatch
- CloudTrail
- Config
Objectifs
Les objectifs de l'audit sont les suivants :
- Vérifier que les bonnes pratiques de sécurité sont respectées
- Vérifier que l'architecture est bien conçue
- Vérifier que les coûts sont optimisés
- Vérifier que les performances sont optimales
- Vérifier que la disponibilité est assurée
Moyens
Pour réaliser cet audit, nous allons utiliser les outils suivants :
- AWS Trusted Advisor
- AWS Config
- AWS CloudTrail
- AWS CloudWatch
- AWS Cost Explorer
- AWS Security Hub
Réalisation de l'audit

Audit informatique
Sécurité
La première étape de l'audit consiste à vérifier que les bonnes pratiques de sécurité sont respectées. Pour cela, nous allons utiliser AWS Trusted Advisor et AWS Security Hub.
AWS Trusted Advisor
AWS Trusted Advisor est un service qui permet de vérifier que les bonnes pratiques sont respectées. Il propose des recommandations dans les domaines suivants :
- Optimisation des coûts
- Performance
- Sécurité
- Tolérance aux pannes
- Limites de service
Dans notre cas, nous allons nous concentrer sur les recommandations de sécurité. Voici les points que nous allons vérifier :
- Les groupes de sécurité sont-ils bien configurés ?
- Les ACL réseau sont-elles bien configurées ?
- Les clés d'accès sont-elles bien gérées ?
- Les utilisateurs IAM sont-ils bien configurés ?
- Les buckets S3 sont-ils bien configurés ?
- Les certificats SSL sont-ils bien gérés ?
AWS Security Hub
AWS Security Hub est un service qui permet de centraliser les alertes de sécurité et de vérifier que les bonnes pratiques sont respectées. Il propose des recommandations basées sur les standards suivants :
- CIS AWS Foundations Benchmark
- AWS Foundational Security Best Practices
- PCI DSS
Dans notre cas, nous allons nous concentrer sur les recommandations du CIS AWS Foundations Benchmark. Voici les points que nous allons vérifier :
- Les utilisateurs IAM sont-ils bien configurés ?
- Les politiques de mot de passe sont-elles bien configurées ?
- Les clés d'accès sont-elles bien gérées ?
- Les journaux d'audit sont-ils bien configurés ?
- Les alertes de sécurité sont-elles bien configurées ?
Architecture
La deuxième étape de l'audit consiste à vérifier que l'architecture est bien conçue. Pour cela, nous allons utiliser AWS Config et AWS Well-Architected Tool.
AWS Config
AWS Config est un service qui permet de vérifier que les ressources AWS sont bien configurées. Il propose des règles prédéfinies et permet de créer des règles personnalisées.
Dans notre cas, nous allons utiliser les règles prédéfinies suivantes :
- Les instances EC2 sont-elles bien configurées ?
- Les bases de données RDS sont-elles bien configurées ?
- Les buckets S3 sont-ils bien configurés ?
- Les groupes de sécurité sont-ils bien configurés ?
- Les ACL réseau sont-elles bien configurées ?
AWS Well-Architected Tool
AWS Well-Architected Tool est un service qui permet de vérifier que l'architecture est bien conçue. Il propose des recommandations basées sur les piliers suivants :
- Excellence opérationnelle
- Sécurité
- Fiabilité
- Efficacité des performances
- Optimisation des coûts
Dans notre cas, nous allons nous concentrer sur les recommandations de sécurité et de fiabilité. Voici les points que nous allons vérifier :
- Les instances EC2 sont-elles bien configurées ?
- Les bases de données RDS sont-elles bien configurées ?
- Les buckets S3 sont-ils bien configurés ?
- Les groupes de sécurité sont-ils bien configurés ?
- Les ACL réseau sont-elles bien configurées ?
- Les sauvegardes sont-elles bien configurées ?
- La haute disponibilité est-elle bien configurée ?
Coûts
La troisième étape de l'audit consiste à vérifier que les coûts sont optimisés. Pour cela, nous allons utiliser AWS Cost Explorer et AWS Trusted Advisor.
AWS Cost Explorer
AWS Cost Explorer est un service qui permet de visualiser et d'analyser les coûts AWS. Il propose des graphiques et des rapports qui permettent de comprendre les coûts et de les optimiser.
Dans notre cas, nous allons utiliser les rapports suivants :
- Coûts par service
- Coûts par région
- Coûts par tag
- Coûts par instance EC2
- Coûts par base de données RDS
- Coûts par bucket S3
AWS Trusted Advisor
AWS Trusted Advisor propose également des recommandations pour optimiser les coûts. Voici les points que nous allons vérifier :
- Les instances EC2 sont-elles bien dimensionnées ?
- Les volumes EBS sont-ils bien dimensionnés ?
- Les instances RDS sont-elles bien dimensionnées ?
- Les instances réservées sont-elles bien utilisées ?
- Les instances spot sont-elles bien utilisées ?
- Les ressources inutilisées sont-elles bien supprimées ?
Performance
La quatrième étape de l'audit consiste à vérifier que les performances sont optimales. Pour cela, nous allons utiliser AWS CloudWatch et AWS Trusted Advisor.
AWS CloudWatch
AWS CloudWatch est un service qui permet de surveiller les ressources AWS. Il propose des métriques et des alarmes qui permettent de comprendre les performances et de les optimiser.
Dans notre cas, nous allons utiliser les métriques suivantes :
- Utilisation CPU des instances EC2
- Utilisation mémoire des instances EC2
- Utilisation disque des instances EC2
- Utilisation réseau des instances EC2
- Utilisation CPU des instances RDS
- Utilisation mémoire des instances RDS
- Utilisation disque des instances RDS
- Utilisation réseau des instances RDS
- Latence des requêtes S3
- Latence des requêtes CloudFront
AWS Trusted Advisor
AWS Trusted Advisor propose également des recommandations pour optimiser les performances. Voici les points que nous allons vérifier :
- Les instances EC2 sont-elles bien dimensionnées ?
- Les volumes EBS sont-ils bien dimensionnés ?
- Les instances RDS sont-elles bien dimensionnées ?
- Les buckets S3 sont-ils bien configurés ?
- Les distributions CloudFront sont-elles bien configurées ?
Disponibilité
La cinquième étape de l'audit consiste à vérifier que la disponibilité est assurée. Pour cela, nous allons utiliser AWS CloudWatch et AWS Trusted Advisor.
AWS CloudWatch
AWS CloudWatch permet également de surveiller la disponibilité des ressources AWS. Il propose des métriques et des alarmes qui permettent de comprendre la disponibilité et de l'optimiser.
Dans notre cas, nous allons utiliser les métriques suivantes :
- Disponibilité des instances EC2
- Disponibilité des instances RDS
- Disponibilité des buckets S3
- Disponibilité des distributions CloudFront
- Disponibilité des zones hébergées Route53
AWS Trusted Advisor
AWS Trusted Advisor propose également des recommandations pour optimiser la disponibilité. Voici les points que nous allons vérifier :
- Les instances EC2 sont-elles réparties sur plusieurs zones de disponibilité ?
- Les instances RDS sont-elles réparties sur plusieurs zones de disponibilité ?
- Les buckets S3 sont-ils répliqués ?
- Les distributions CloudFront sont-elles bien configurées ?
- Les zones hébergées Route53 sont-elles bien configurées ?
Conclusion

Audit cloud
L'audit de sécurité et d'architecture sur AWS est une étape importante pour s'assurer que tout est bien configuré, et que les bonnes pratiques sont respectées. Il permet de détecter les problèmes de sécurité, d'architecture, de coûts, de performances et de disponibilité.
Dans notre cas, nous avons utilisé les outils suivants :
- AWS Trusted Advisor
- AWS Config
- AWS CloudTrail
- AWS CloudWatch
- AWS Cost Explorer
- AWS Security Hub
- AWS Well-Architected Tool
Ces outils nous ont permis de vérifier que les bonnes pratiques sont respectées, et de détecter les problèmes à corriger.
La prochaine étape consiste à corriger les problèmes détectés, et à mettre en place un processus d'amélioration continue pour s'assurer que les bonnes pratiques sont toujours respectées.