Détection des menaces AWS : définition, risques et approches

Aperçu de la situation

La détection des menaces AWS transforme cloud et les métadonnées cloud en indicateurs du comportement des attaquants, permettant ainsi d'identifier et de hiérarchiser les activités suspectes dans les environnements AWS — une fonctionnalité essentielle, car plus de 70 % des cloud proviennent désormais d'identités compromises.
Son objectif est de combler les lacunes en matière de visibilité et de réduire les retards dans les enquêtes qui découlent de la fragmentation des journaux, des taux élevés de faux positifs et de l'attribution d'identité peu claire.
Plutôt que de se fonder sur des événements isolés, cette approche vise à détecter les comportements des attaquants qui s'étendent sur plusieurs étapes, notamment l'enchaînement de rôles, le contournement de la journalisation et les mouvements latéraux entre cloud .
Les outils natifs d'AWS, tels qu'Amazon GuardDuty, AWS Security Hub et Amazon Detective, offrent des capacités de détection de base, mais la corrélation des comportements entre cloud liées aux identités, au réseau et cloud est essentielle pour détecter les attaques sophistiquées.

La détection des menaces sur AWS consiste à identifier et à hiérarchiser les activités malveillantes ou suspectes au sein d'AWS en analysant cloud à la recherche d'indices de comportement malveillant. Plutôt que d'évaluer des événements isolés, cette approche examine les actions d'un acteur à travers ses identités, ses rôles et ses services. Alors que 80 % des entreprises ont subi au moins une faille cloud au cours de l'année écoulée et que le coût moyen cloud public s'élève à 5,17 millions de dollars par faille, l'enjeu d'une détection efficace des menaces sur AWS ne cesse de croître.

Les environnements AWS génèrent d'importants volumes de journaux et de métadonnées qui sont difficiles à interpréter isolément. En associant ces données de télémétrie à des indicateurs comportementaux, il est possible de mettre en évidence les mouvements des attaquants tout au long du cycle de vie cloud , ce qui est essentiel car des activités non mises en corrélation peuvent retarder l'enquête et la réponse.

Ce que signifie concrètement la détection des menaces AWS

En pratique, la détection des menaces AWS relie les actions connexes à des modèles comportementaux qui peuvent être examinés et classés par ordre de priorité. Plutôt que de traiter cloud comme un ensemble d'alertes sans rapport entre elles, elle interprète l'activité comme la preuve d'une possible séquence d'attaques. Cette distinction est importante, car de nombreuses actions AWS sont techniquement légitimes tout en représentant un abus d'accès, de rôles ou de services.

Types d'activités qui révèlent les intentions au fil du temps et sur l'ensemble des services :

Utilisation d'identités compromises pour obtenir un accès initial aux ressources AWS.
Se faire passer pour d'autres personnes et utiliser des identifiants temporaires afin de dissimuler l'identité de l'auteur initial.
Enchaîner ou « passer » d'un rôle à l'autre pour échapper à l'attribution sur plusieurs comptes ou services.
Contourner les mesures de sécurité en tentant de désactiver, de bloquer ou de contourner la journalisation.
Exfiltrer des données ou mener des actions destructrices après avoir étendu ses privilèges.

Outils et services AWS de détection des menaces

AWS propose plusieurs services de sécurité natifs qui constituent la base d'une stratégie de détection cloud . Comprendre le rôle de chaque outil — et identifier les lacunes qui subsistent — aide les équipes à mettre en place une couverture de détection efficace.

Amazon GuardDuty

Amazon GuardDuty est le principal service de détection des menaces d'AWS. Il analyse en continu les événements de gestion CloudTrail, les journaux de flux VPC, les journaux de requêtes DNS et les données de télémétrie d'exécution à l'aide de l'apprentissage automatique, de la détection des anomalies et de renseignements intégrés sur les menaces. En décembre 2025, AWS a lancé Extended Threat Detection pour EC2 et ECS, qui utilise l'IA et l'apprentissage automatique pour corréler les signaux provenant de multiples sources de données et cartographier les séquences d'attaques en plusieurs étapes vers MITRE ATT&CK .

AWS Security Hub

Security Hub regroupe les résultats de GuardDuty, d'Amazon Inspector, d'AWS Config et d'outils tiers au sein d'un tableau de bord unifié. Il permet de vérifier la conformité à des normes telles que CIS AWS Foundations et prend en charge la correction automatisée grâce à des intégrations avec AWS Lambda et Amazon EventBridge.

Amazon Detective

Detective complète GuardDuty en fournissant une analyse investigative plus approfondie. Lorsque GuardDuty identifie un résultat de gravité élevée, Detective permet de retracer l'origine, l'étendue et les liens de l'activité suspecte à travers les différentes ressources.

Tableau : Comparaison des services de détection des menaces natifs d'AWS

Capacité	Amazon GuardDuty	AWS Security Hub	Amazon Detective
Objectif principal	Détection des menaces grâce au machine learning et à l'analyse comportementale	Centralisation des résultats et conformité	Analyse approfondie et recherche des causes profondes
Sources des données	CloudTrail, journaux de flux VPC, DNS, S3, EKS, ECS	Données agrégées provenant de GuardDuty, Inspector, Config et Macie	Corrélation des journaux entre les résultats de GuardDuty et les journaux AWS
Atout majeur	Détection en temps réel avec un faible taux de faux positifs	Une vue unifiée qui réduit la fatigue liée aux alertes	Une analyse approfondie allant au-delà de la détection initiale
Limitation	Portée limitée aux événements AWS individuels, sans corrélation entre les environnements	Agrégation sans analyse comportementale	Réactif — nécessite une constatation initiale pour ouvrir une enquête

Ces outils natifs offrent une couverture essentielle, mais ils se concentrent sur l'activité au sein d'AWS. Les attaques qui prennent naissance en dehors d'AWS — via des fournisseurs d'identité compromis, des réseaux sur site ou des applications SaaS — nécessitent une corrélation supplémentaire entre les environnements hybrides afin de détecter l'ensemble de la chaîne d'attaque.

Pourquoi la surveillance AWS centrée sur les journaux passe à côté du comportement des attaquants

La surveillance centrée sur les journaux dans AWS ne parvient souvent pas à mettre en évidence le comportement des attaquants, car les événements sont analysés comme des enregistrements isolés. L'attribution s'arrête fréquemment au dernier rôle ou aux derniers identifiants temporaires, ce qui conduit les enquêtes à se concentrer sur une abstraction erronée. En conséquence, les défenseurs risquent de ne pas identifier l'acteur initial à temps pour contenir l'activité avant qu'elle n'ait un impact.

Modes de défaillance lorsque l'activité AWS est évaluée comme des événements isolés :

Des alertes au cas par cas qui ne permettent pas de relier les actions entre les services ou dans le temps
Une attribution incomplète qui s'arrête à un rôle supposé au lieu de remonter jusqu'à l'acteur d'origine
Des visions cloisonnées entre les comptes, les régions et les domaines qui empêchent une vision d'ensemble cohérente
La charge liée à la corrélation manuelle, qui ralentit la réponse et alourdit la charge cognitive
Un volume élevé d'alertes qui ne permet pas de déterminer quelle identité ou quel compte présente le risque le plus élevé

Les comportements des attaquants que la détection des menaces aide à mettre en évidence

Pour comprendre comment les attaquants évoluent au sein d'AWS, il faut aller au-delà des actions menées sur chaque service pris individuellement. La détection axée sur le comportement met en évidence des schémas d'évolution, tels que l'enchaînement de rôles, le contournement de la journalisation et l'accès latéral aux services, qui peuvent sembler légitimes lorsqu'ils sont considérés isolément.

Modèles de progression :

Infiltration par le biais de l'ingénierie sociale et de l'abus de relations d'identité de confiance
Utilisation de rôles supposés pour abstraire l'identité et échapper à l'attribution directe
Enchaînement de rôles en plusieurs étapes qui masque l'identité compromise d'origine

Signaux et indicateurs utilisés dans la détection des menaces AWS

Tous les signaux dans AWS n'ont pas la même valeur pour l'enquête. Les efforts de détection donnent la priorité aux indicateurs qui reflètent un comportement anormal ou en plusieurs étapes lié à un acteur spécifique. Les indicateurs précoces peuvent être subtils et dispersés, tandis que les signaux tardifs n'apparaissent souvent qu'après que des dommages importants se sont produits.

Signaux clés :

Écarts par rapport à la base de référence, tels que des appels API inhabituels ou des modèles d'utilisation des identifiants
Comportements de reconnaissance précoces qui laissent supposer une exploration des autorisations ou des ressources
Chaînes d'attribution de rôles et séquences d'informations d'identification indiquant l'activité de chaînage des rôles
Tentatives visant à désactiver, réduire ou contourner la couverture de la journalisation et de la surveillance
Comportement corrélé entre l'identité, le réseau et cloud qui désigne un seul acteur
Indicateurs avancés tels que les communications de type « commande et contrôle » ou l'exfiltration de données

Incidents réels liés à la détection des menaces sur AWS

Des incidents récents montrent pourquoi la détection comportementale est plus importante que la simple surveillance des journaux.

Ransomware Codefinger (janvier 2025)

Le groupe de ransomware Codefinger a exploité des identifiants AWS compromis pour chiffrer des données S3 à l'aide du chiffrement côté serveur avec des clés fournies par le client (SSE-C). Les attaquants ayant utilisé des fonctionnalités de chiffrement AWS légitimes plutôt malware, les outils de détection traditionnels basés sur les signatures n'ont pas détecté cette activité. Seule la surveillance comportementale — qui a permis de détecter des opérations de chiffrement en masse inhabituelles liées à une chaîne d'identifiants suspecte — a pu mettre au jour l'attaque avant que les données ne deviennent irrécupérables.

Exploitation de FortiGate optimisée par l'IA (janvier-février 2026)

Amazon Threat Intelligence a recensé une campagne au cours de laquelle un acteur malveillant russophone, animé par des motivations financières, a utilisé des services commerciaux d'IA générative pour compromettre plus de 600 appareils FortiGate dans plus de 55 pays entre le 11 janvier et le 18 février 2026. Les attaquants ont exploité l'IA pour étendre leurs opérations, démontrant ainsi que les menaces renforcées par l'IA entraînent une augmentation du volume des attaques, tant pour les adversaires expérimentés que pour les novices.

Abus de prérogatives chez LexisNexis ECS (février 2026)

En février 2026, un acteur malveillant a exploité une application frontale React non mise à jour fonctionnant sur AWS pour obtenir un accès initial, puis a abusé d'un rôle de tâche ECS trop permissif disposant d'un large accès en lecture à AWS Secrets Manager. Cela a permis l'exfiltration d'identifiants Redshift, de cartes VPC et de millions d'enregistrements de base de données. L'incident correspondait à MITRE ATT&CK , notamment T1190 (exploitation d'une application accessible au public), T1078 (comptes valides) et T1530 (données provenant d'un objet cloud ), ce qui souligne pourquoi la surveillance du comportement des identités et des rôles est essentielle pour la détection des menaces sur AWS.

Ces incidents présentent une caractéristique commune : les attaquants ont utilisé des mécanismes AWS légitimes (fonctions de chiffrement, rôles valides, identifiants temporaires) pour mener des activités malveillantes qui semblaient normales au niveau des événements, mais qui ont été mises au jour grâce à une analyse comportementale.

Limites et idées fausses concernant la détection des menaces AWS

La détection des menaces dans AWS a encore ses limites. Bien qu'elle permette d'identifier les comportements suspects, la détection des menaces n'empêche pas automatiquement les risques cloud et n'y remédie pas. Cela signifie que les équipes doivent toujours s'appuyer sur des workflows de réponse et le jugement des analystes. Confondre détection et prévention peut créer des angles morts qui retardent la maîtrise des menaces.

Tableau : Idées reçues vs. rectifications

Idée fausse	Correction	Pourquoi est-ce important ?
Davantage d'outils de sécurité améliorent automatiquement la sécurité AWS	L'ajout d'outils peut augmenter le bruit et la charge de corrélation sans améliorer la clarté.	Le volume des alertes peut masquer l'identité ou le compte le plus important à examiner.
Constatant une activité suspecte revient à y mettre fin.	La détection identifie les comportements, tandis que l'arrêt nécessite des mesures d'intervention et des workflows.	Les équipes peuvent perdre du temps si elles partent du principe que visibilité équivaut à confinement.
Les outils natifs d'AWS couvrent l'ensemble de la chaîne d'attaque	Les services natifs se concentrent sur l'activité au sein d'AWS, mais ne peuvent pas mettre en corrélation les attaques hybrides qui prennent naissance sur site ou dans d'autres cloud	Les pirates informatiques s'introduisent régulièrement dans AWS en passant par des fournisseurs d'identité ou des terminaux, ce qui nécessite une corrélation comportementale entre les environnements

L'avenir de la détection des menaces sur AWS

Plusieurs tendances sont en train de redéfinir la manière dont les entreprises abordent la détection des menaces dans les environnements AWS.

Les attaques assistées par l'IA se multiplient. Comme l'a démontré la campagne FortiGate 2026, cybercriminels recours à l'IA générative pour intensifier leurs attaques. La détection des menaces sur AWS doit suivre le rythme en corrélant les signaux plus rapidement que les attaquants ne parviennent à les générer.
L'identité est le nouveau périmètre. Étant donné que plus de 70 % des cloud trouvent leur origine dans des identités compromises et que 61 % des entreprises continuent d'utiliser des comptes root sans authentification multifactorielle (MFA), la détection centrée sur l'identité restera prioritaire par rapport aux approches centrées sur le réseau.
La détection des attaques en plusieurs étapes devient désormais la norme. La fonctionnalité « Extended Threat Detection » de GuardDuty marque un tournant : il s'agit désormais de mettre en corrélation les actions entre les différents services et dans le temps, plutôt que d'évaluer les événements individuellement. Cette approche va s'étendre pour couvrir davantage de services AWS etcloud .
Les voies d'attaque hybrides nécessitent une visibilité unifiée. Alors que les entreprises opèrent à la fois sur AWS, Azure, en local et dans des environnements SaaS, les stratégies de détection des menaces qui traitent chaque domaine de manière isolée passeront à côté des attaques les plus dangereuses : celles qui se propagent latéralement au-delà des frontières.

Comment la Vectra AI prend en charge la détection des menaces AWS grâce à la corrélation des comportements des attaquants

Pour assurer efficacement la détection des menaces sur AWS, il est nécessaire d'appréhender le comportement des attaquants comme un continuum unique englobant les identités, le réseau et cloud . La Vectra AI aborde ce problème en établissant des corrélations entre les actions plutôt qu'en traitant les événements AWS comme des alertes isolées, ce qui réduit l'incertitude lorsque les rôles, les identifiants temporaires et l'activité multi-services rendent difficile l'attribution des responsabilités. Vectra AI Cloud and Response (CDR)Vectra AI pour AWS étend la détection au-delà des outils natifs en analysant les comportements sur l'ensemble des surfaces d'attaque hybrides.

Fonctionnalités de la plateforme :

Observer le comportement corrélé des attaquants à travers les identités, les rôles et cloud plutôt que des événements AWS isolés.
Déterminer quelle identité ou quel compte présente le risque le plus élevé en mettant l'accent sur l'urgence et le contexte plutôt que sur le volume.
Réduire le risque d'attribution erronée dans la chaîne des rôles en reliant les activités suspectes à leur auteur initial lorsque cela est possible.
Détecter les séquences suspectes d'activités d'exploration qui indiquent une phase de reconnaissance préliminaire avant le début du déplacement latéral

Découvrez le comportement des pirates sur AWS grâce à une visite guidée des attaques

Foire aux questions

En quoi la détection des menaces AWS diffère-t-elle de la surveillance des journaux CloudTrail ?

La surveillance CloudTrail enregistre les événements individuels, tandis que la détection des menaces AWS vise à relier les événements entre les identités, les rôles, les services et le temps afin de révéler le comportement des attaquants. Les événements isolés consignés dans les journaux peuvent montrer ce qui s'est passé, mais ils ne révèlent souvent pas l'intention ou la progression, en particulier lorsque les attaquants utilisent des identifiants temporaires et des rôles usurpés. La différence pratique réside dans l'investigation : la détection des menaces donne la priorité aux modèles de comportement en plusieurs étapes qui peuvent être attribués et sur lesquels il est possible d'agir, au lieu de laisser les analystes assembler manuellement le récit à partir des journaux bruts.

La détection des menaces AWS empêche-t-elle les erreurs de configuration ?

Non. La détection des menaces AWS ne permet pas à elle seule de prévenir ou de corriger les problèmes d'architecture ou de configuration. La gestion des erreurs de configuration vise à identifier les paramètres non sécurisés et les conditions d'exposition, tandis que la détection des menaces vise à identifier les activités malveillantes ou suspectes qui se produisent dans un environnement AWS. Il est important de ne pas confondre ces fonctions, car les équipes pourraient supposer que la détection remplace la sécurité de la configuration, laissant ainsi les principaux points d'entrée sans protection tout en espérant que la détection des menaces compensera cette lacune.

Pourquoi l'identité et les rôles sont-ils essentiels à la détection des menaces sur AWS ?

L'identité et les rôles sont essentiels, car les attaquants utilisent souvent des mécanismes d'accès légitimes après la compromission initiale, notamment des rôles usurpés et des identifiants temporaires. Les actions peuvent sembler valides au niveau de l'API, même lorsqu'elles constituent un abus. Il est donc essentiel de déterminer qui a lancé une séquence et si celle-ci correspond au comportement attendu. Cela est important, car l'enchaînement des rôles peut masquer l'acteur d'origine, et les enquêtes peuvent échouer si elles s'arrêtent au dernier rôle temporaire utilisé.

Quels types d'activités sont les plus difficiles à détecter dans les environnements AWS ?

Les comportements en plusieurs étapes qui utilisent des mécanismes AWS légitimes sont les plus difficiles à détecter lorsqu'ils sont évalués événement par événement. Le chaînage des rôles, les séquences d'informations d'identification temporaires et les actions qui semblent normales prises isolément nécessitent souvent une corrélation entre les services et les identités pour devenir significatifs. Ces modèles sont difficiles à détecter, car ils peuvent être répartis sur plusieurs services AWS et fenêtres temporelles, et parce que les dernières informations d'identification utilisées peuvent ne pas refléter l'acteur d'origine. Cela est important, car les comportements subtils à un stade précoce peuvent passer inaperçus jusqu'à ce que des indicateurs apparaissent à un stade avancé.

La détection des menaces AWS peut-elle suivre les attaques qui proviennent de l'extérieur d'AWS ?

Oui, mais uniquement lorsque l'approche relie les activités entre les environnements au lieu de traiter AWS comme un domaine isolé. Les attaques hybrides peuvent provenir d'ordinateurs portables compromis ou de fournisseurs d'identité, puis se propager vers AWS en utilisant des relations d'identité fiables et des rôles assumés. Sans corrélation entre l'identité et la télémétrie associée, l'activité AWS peut sembler déconnectée du chemin d'attaque initial. Cela est important, car les défenseurs doivent comprendre comment cloud sont liées à l'accès initial afin de définir correctement la portée de la réponse et l'attribution.

Quelle est la différence entre Amazon GuardDuty et AWS Security Hub ?

Amazon GuardDuty assure une détection active des menaces en analysant les événements CloudTrail, les journaux de flux VPC et les journaux DNS à l'aide de l'apprentissage automatique afin d'identifier les comportements malveillants. AWS Security Hub est un agrégateur centralisé de résultats qui collecte et hiérarchise les alertes provenant de GuardDuty, d'Amazon Inspector, d'AWS Config et d'outils tiers. GuardDuty détecte les menaces. Security Hub les organise et les gère. La plupart des entreprises utilisent ces deux services conjointement : GuardDuty comme moteur de détection et Security Hub comme tableau de bord opérationnel pour hiérarchiser les interventions sur l'ensemble des comptes et des régions.

Quels outils de détection des menaces AWS les entreprises devraient-elles mettre en place en priorité ?

Commencez par activer Amazon GuardDuty sur tous vos comptes AWS et dans toutes les régions, y compris celles qui ne sont pas activement utilisées, car les pirates ciblent les régions non surveillées pour mener des activités telles que le minage de cryptomonnaies. Intégrez les résultats de GuardDuty à AWS Security Hub pour bénéficier d'une visibilité centralisée. Ajoutez Amazon Detective pour enquêter sur les résultats présentant un niveau de gravité élevé. Configurez ensuite des règles EventBridge avec des fonctions Lambda afin d'automatiser les réponses aux alertes critiques. Cette approche par couches assure la détection, l'agrégation, l'investigation et la réponse automatisée.

Comment les pirates informatiques utilisent-ils l'IA pour cibler les environnements AWS ?

cybercriminels ont cybercriminels recours à des services commerciaux d'IA générative pour intensifier leurs attaques contre cloud . Début 2026, Amazon Threat Intelligence a recensé une campagne au cours de laquelle des attaquants ont utilisé l'IA pour compromettre plus de 600 périphériques réseau dans plus de 55 pays, avant de se tourner vers cloud . L'IA aide les attaquants à automatiser la reconnaissance, à générer du code d'exploitation et à identifier les erreurs de configuration plus rapidement que ne le permettent les méthodes manuelles. Cette tendance rend la détection comportementale d'autant plus importante que les attaques assistées par l'IA génèrent des volumes d'activité plus importants, susceptibles de submerger les systèmes de détection basés sur des règles.

Qu'est-ce que la détection étendue des menaces dans Amazon GuardDuty ?

La détection étendue des menaces est une fonctionnalité lancée en décembre 2025 qui utilise l'IA et l'apprentissage automatique pour identifier les séquences d'attaques en plusieurs étapes au sein des services AWS. Au lieu de générer des résultats distincts pour chaque événement suspect, elle met en corrélation les signaux — tels que l'utilisation abusive d'identifiants, l'escalade de privilèges et l'exfiltration de données — en une seule séquence d'attaque mise en correspondance avec MITRE ATT&CK . Cela réduit le temps de triage en présentant le déroulement complet de l'attaque plutôt que de laisser aux analystes le soin de relier manuellement les différents résultats.