Le réseau cloud est la première barrière entre vos ressources et Internet, et
c'est par lui que passent les attaques les plus opportunistes. Cette famille impose
une règle simple : aucune exposition par défaut. Les ports d'administration
(SSH, RDP) ne sont jamais ouverts à 0.0.0.0/0 mais restreints à un CIDR
d'administration ou un bastion ; aucune règle any/any n'annule le filtrage ; le
trafic sortant est maîtrisé pour couper l'exfiltration et les rappels C2 ; et
une cartographie réseau à jour, avec matrice des flux, permet d'appliquer un
véritable refus par défaut. Les interfaces d'administration et de supervision
passent derrière un pare-feu applicatif, et les flux internes sont cloisonnés des
autres SI.
Concrètement, ces exigences parent : les ports d'administration ouverts à tout Internet et bruteforcés, la règle any/any qui annule le filtrage, l'exfiltration par un flux sortant non maîtrisé, et le mouvement latéral faute de cloisonnement. Des fondamentales (R1) aux renforcées (R2).
Un port d'administration ouvert sur Internet est exploité en quelques minutes.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »ports d'administration (SSH, RDP) jamais ouverts à 0.0.0.0/0 : source restreinte à un CIDR d'administration ou à un bastion.#
SSH et RDP ouverts à 0.0.0.0/0 sont scannés en continu et bruteforcés en permanence. Restreindre la source à un CIDR d'administration ou un bastion retire la cible : ces ports d'accès direct au système ne doivent jamais être exposés à l'Internet entier.
- Preuve attendue
- Règles de filtrage : ports d'administration restreints à des sources légitimes.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 4 standards · 1 menace
L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001.
aucune règle n'autorise l'ensemble des ports et protocoles depuis Internet (any/any).#
Une règle any/any depuis Internet annule tout filtrage : tous les ports et protocoles deviennent atteignables. L'interdire force à n'ouvrir que les flux réellement nécessaires, principe de base sans lequel aucun durcissement réseau ne tient : une seule règle trop large rend les autres inutiles.
- Preuve attendue
- Absence de règle any/any entrante depuis 0.0.0.0/0.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 4 standards · 1 menace
L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001.
machine portant une IP publique et un filtrage ouvert : exposition directe à Internet proscrite.#
Une machine avec IP publique et filtrage ouvert est directement exposée à Internet, sans aucune barrière. Proscrire cette combinaison oblige à placer un filtrage restrictif ou à retirer l'exposition directe : la ressource n'est plus offerte telle quelle au premier scan venu.
- Preuve attendue
- Aucune instance avec IP publique et groupe de sécurité ouvert à 0.0.0.0/0.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 4 standards · 1 menace
L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001.
filtrage sortant maîtrisé : pas de règle de sortie tout-trafic vers 0.0.0.0/0 sans justification (limiter l'exfiltration et les rappels C2).#
Sans filtrage sortant, une charge compromise exfiltre librement des données et joint son serveur de commande (C2). Limiter le trafic de sortie (pas de 0.0.0.0/0 injustifié) coupe ces canaux : même compromise, l'instance ne peut ni rappeler l'attaquant ni évacuer ce qu'elle a volé.
- Preuve attendue
- Règles de sortie restreintes ; absence de tout-trafic egress non justifié vers 0.0.0.0/0.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 2 menaces
Les données sont copiées vers un compte ou abonnement cloud contrôlé par l'attaquant, contournant les contrôles de sortie classiques. L'exfiltration reste interne au cloud, difficile à repérer (ATT&CK T1537) ATT&CK T1537. L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001.
cartographie réseau tenue à jour (schéma niveau 3, interconnexions tiers/publiques) et matrice des flux autorisés (services, protocoles, ports + justification) ; revue au moins annuelle.#
Sans cartographie ni matrice des flux, on ignore quels échanges sont légitimes et on ne peut donc rien refuser à coup sûr. Tenir à jour le schéma réseau et la matrice (services, ports, justification) est le préalable au refus par défaut : on autorise une liste connue, on bloque le reste.
- Preuve attendue
- Cartographie réseau et matrice de flux documentées ; revue annuelle datée.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 4 standards · 1 menace
L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001.
filtrage de toutes les interfaces d'administration et de supervision : seules les connexions légitimes de la matrice de flux sont admises (refus par défaut) ; pare-feu applicatif devant toute interface d'admin exposée.#
Les interfaces d'administration et de supervision sont les cibles à plus fort impact. N'admettre que les connexions légitimes de la matrice (refus par défaut) et placer un pare-feu applicatif devant toute interface d'admin exposée réduit drastiquement la surface offerte aux attaques sur ces points névralgiques.
- Preuve attendue
- Filtrage des interfaces d'admin conforme à la matrice ; pare-feu applicatif en place.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001.
cloisonnement des flux internes vis-à-vis des autres SI (séparation physique ou par chiffrement) ; flux d'administration en tunnel chiffré si non cloisonnés physiquement.#
Des flux internes non cloisonnés d'autres SI laissent un voisin compromis se propager latéralement. Les séparer (physiquement ou par chiffrement), et passer l'administration en tunnel chiffré à défaut, contient un incident à son périmètre au lieu de le laisser franchir les frontières entre systèmes.
- Preuve attendue
- Flux internes cloisonnés ; flux d'admin en tunnel chiffré le cas échéant.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 5 standards · 1 menace
Les données sont copiées vers un compte ou abonnement cloud contrôlé par l'attaquant, contournant les contrôles de sortie classiques. L'exfiltration reste interne au cloud, difficile à repérer (ATT&CK T1537) ATT&CK T1537.
défense réseau en profondeur : détection et réponse aux attaques réseau (IDS/IPS, WAF) en complément du filtrage.#
Le filtrage seul laisse passer ce qui est autorisé mais malveillant (exploit applicatif, attaque applicative). Ajouter IDS/IPS et WAF apporte une couche de détection et réponse qui inspecte le contenu, attrapant les attaques que le simple contrôle d'ouverture de ports ne peut pas voir.
- Preuve attendue
- Dispositifs de détection/réponse réseau (IDS/IPS, WAF) déployés et supervisés.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 2 standards · 1 menace
Les données sont copiées vers un compte ou abonnement cloud contrôlé par l'attaquant, contournant les contrôles de sortie classiques. L'exfiltration reste interne au cloud, difficile à repérer (ATT&CK T1537) ATT&CK T1537.
interfaces, API et ressources de service exposées inventoriées et authentifiées : aucun endpoint de service, URL de fonction, base de données ou partage inter-comptes accessible sans authentification.#
Une URL de fonction, une base de données ou un partage inter-comptes laissé sans authentification est une fuite béante, souvent découverte par scan public. Inventorier et authentifier toutes les interfaces exposées ferme ces accès anonymes, cause récurrente d'exposition de données dans le cloud.
- Preuve attendue
- Inventaire des interfaces/API exposées ; absence d'accès non authentifié (endpoints, fonctions, DB, partages).
- Outillage
- Pépin Prowler
Correspondances & menaces parées 3 standards · 1 menace
Les données sont copiées vers un compte ou abonnement cloud contrôlé par l'attaquant, contournant les contrôles de sortie classiques. L'exfiltration reste interne au cloud, difficile à repérer (ATT&CK T1537) ATT&CK T1537.