Pentest Cloud
Un rôle IAM trop permissif ou un bucket ouvert suffit à compromettre tout votre cloud.
Nous testons vos environnements AWS, Azure et GCP depuis l'extérieur et avec un accès identifié. L'objectif est de mesurer ce qu'un attaquant peut atteindre à partir d'une clé exposée, d'une mauvaise configuration ou d'un rôle mal cloisonné, puis de hiérarchiser les correctifs. La revue couvre l'IAM, le stockage, le réseau et vos clusters de conteneurs.
Label France Cybersecurity Surface d'attaque cloud
Le cloud déplace le risque vers la configuration
Sur AWS, Azure ou GCP, l'essentiel des compromissions ne vient pas d'une faille du fournisseur mais de la façon dont vous configurez vos comptes : rôles IAM trop larges, clés d'accès oubliées dans un dépôt de code, buckets et conteneurs de stockage accessibles publiquement, groupes de sécurité ouverts sur internet, journalisation absente. La nature dynamique de ces environnements (infrastructure as code, comptes multiples, déploiements continus) multiplie les occasions d'erreur. Notre test combine une approche depuis l'extérieur et une revue de configuration avec accès identifié pour reconstituer les chemins d'élévation de privilèges réellement exploitables.
Ce que nous testons
Quatre familles couvertes sur AWS, Azure et GCP
Identités et accès (IAM)
Revue des rôles, politiques et clés : permissions trop larges, chemins d'élévation de privilèges, comptes de service sur-privilégiés et clés d'accès exposées dans le code ou les variables d'environnement.
Erreurs de configuration
Stockage exposé (buckets S3, Blob Storage), secrets en clair, groupes de sécurité et réseaux ouverts sur internet, chiffrement absent et journalisation insuffisante pour la détection.
Conteneurs et orchestration
Images Docker, configuration Kubernetes (RBAC, pods privilégiés, montages hôte, gestion des secrets) et risques d'évasion de conteneur vers le plan de contrôle du cluster.
Segmentation réseau et référentiels
Cloisonnement des VPC, exposition des services internes et confrontation de la configuration aux CIS Benchmarks du fournisseur concerné pour mesurer les écarts.
Questions fréquentes
Ce qu'il faut savoir sur un pentest cloud
En quoi un pentest cloud diffère-t-il d'un scan de configuration automatisé ?
Un outil de scan (CSPM) signale des écarts de configuration isolés, mais ne les enchaîne pas. Notre test relie ces écarts en chemins d'attaque concrets : par exemple, une clé exposée qui mène à un rôle IAM, lui-même autorisé à lire un bucket de secrets, qui ouvre l'accès à un autre compte. Nous validons chaque vulnérabilité par une exploitation contrôlée et écartons les faux positifs.
De quels accès avez-vous besoin pour la revue de configuration ?
Pour la partie identifiée, un rôle en lecture seule sur le périmètre concerné (par exemple SecurityAudit sur AWS, Reader sur Azure, un rôle Viewer sur GCP) suffit à inspecter l'IAM, le stockage et le réseau sans modifier votre environnement. La phase externe ne requiert aucun accès. Le périmètre exact (comptes, abonnements, projets, clusters) est arrêté au cadrage.
Faut-il déclarer le test auprès du fournisseur cloud ?
La plupart des tests sur vos propres ressources sont aujourd'hui autorisés sans déclaration préalable, mais certaines opérations restent encadrées par les règles d'engagement du fournisseur (AWS, Azure, GCP), notamment les tests de déni de service. Nous vérifions ces règles et préparons les déclarations nécessaires pendant la phase de cadrage.
Autres domaines
Explorez nos autres tests d'intrusion
Pentest Web
Vos applications web et vos API portent une logique métier qu'un scanner automatisé ne sait pas éprouver.
Pentest Mobile
Trouvez les failles de votre application iOS et Android avant qu'un attaquant ne les exploite.
Pentest IoT
Avant la mise sur le marché, sachez ce qu'un attaquant peut faire de votre objet connecté.
Pentest LLM
Vos applications LLM ouvrent une surface d'attaque que vos tests classiques ne couvrent pas.
Vue d'ensemble du pentestQuelle est l'exposition réelle de votre cloud ?
Décrivez-nous votre environnement (fournisseur, comptes, périmètre) et nous vous proposons un devis adapté sous 48h.