Sphinx-Digital
Catalogue Demander un devis
Accueil / Blog / IAM AWS : les 10 règles pour ne jamais compromettre votre cloud
AWSSécuritéCloud

IAM AWS : les 10 règles pour ne jamais compromettre votre cloud

15 avril 2026 · Sphinx-Digital

AWS Identity and Access Management (IAM) est la première ligne de défense de votre infrastructure cloud. C’est aussi la source la plus fréquente d’incidents de sécurité. Voici les 10 règles fondamentales.

Règle 1 : ne jamais utiliser le compte root pour les opérations courantes

Le compte root AWS a des permissions absolues et illimitées. Créez un utilisateur IAM dès la création du compte, activez le MFA sur root, et verrouillez les credentials root dans un coffre-fort. Le root ne sert qu’aux opérations qui l’exigent explicitement (rares).

Règle 2 : MFA obligatoire sur tous les accès humains

{
  "Effect": "Deny",
  "NotAction": [
    "iam:CreateVirtualMFADevice",
    "iam:EnableMFADevice",
    "sts:GetSessionToken"
  ],
  "Resource": "*",
  "Condition": {
    "BoolIfExists": {
      "aws:MultiFactorAuthPresent": "false"
    }
  }
}

Cette politique SCP (ou policy IAM) bloque toutes les actions sauf l’activation du MFA pour les utilisateurs sans MFA actif.

Règle 3 : zéro access key long-terme

Les access keys (ID + secret) qui ne changent jamais sont une bombe à retardement. Elles fuient dans des dépôts Git, des logs d’applications, des historiques de shell.

Alternative : utilisez les rôles IAM pour les workloads EC2/ECS/Lambda, et AWS SSO + aws sso login pour les accès humains. Aucune clé long-terme en circulation.

Règle 4 : principe du moindre privilège, toujours

Créez des policies spécifiques plutôt que d’attacher AdministratorAccess. Un service qui lit S3 n’a besoin que de s3:GetObject sur un bucket précis.

{
  "Effect": "Allow",
  "Action": ["s3:GetObject"],
  "Resource": "arn:aws:s3:::mon-bucket/*"
}

Règle 5 : rotation des credentials activée

AWS IAM Access Analyzer détecte les permissions inutilisées. Activez-le par compte. Supprimez les accès inutilisés depuis plus de 90 jours.

Règle 6 : Organizations + SCPs pour les garde-fous multi-comptes

Les Service Control Policies s’appliquent à l’ensemble d’une unité organisationnelle, quelle que soit la policy IAM des utilisateurs. Utilisez-les pour interdire certaines régions, certains services, ou la désactivation de CloudTrail.

Règles 7 à 10

  • Règle 7 : activez CloudTrail dans toutes les régions, logs vers S3 dans un compte dédié
  • Règle 8 : activez GuardDuty — le coût est faible, la détection est précieuse
  • Règle 9 : ne donnez jamais de permissions iam:* à des rôles applicatifs
  • Règle 10 : revue trimestrielle des accès — supprimez ce qui n’est plus justifié

Notre formation AWS couvre IAM en profondeur avec des ateliers sur des scénarios de configuration réels.

← Tous les articlesNous contacter