IAM & accès cloud (SOCLE CLD)

L'IAM cloud décide qui peut agir sur le tenant, avec quels droits et depuis où. La famille IAM & accès cloud (domaine Posture cloud, CLD) vise un IAM sans privilège excessif : pas de joker, MFA sur l'administration, identités courtes, restriction des API par adresse IP.

Une identité cloud n'est pas un simple identifiant : c'est une clé qui ouvre des ressources. Le chemin d'attaque dominant est la combinaison toxique : un cumul de permissions effectives (un PassRole non scopé, le droit d'éditer des politiques) ouvre une élévation de privilèges par enchaînement (ATT&CK T1078.004), là où chaque permission paraît anodine isolément. S'y ajoutent la persistance (l'attaquant crée une clé, un rôle ou un compte pour rester), le contournement du MFA et le détournement d'un accès temporaire pour escalader. La famille répond sur tout le cycle de vie : moindre privilège et fermeture des chemins de privesc, MFA et politique de mots de passe, identités courtes plutôt que clés durables, restriction réseau des API d'administration, séparation des tâches, et revue continue des droits avec désactivation des accès dormants.

Concrètement, ces exigences parent : la clé fuitée exploitable de partout, le privilège joker qui ouvre tout le compte, l'escalade de privilèges par enchaînement de permissions, et l'accès dormant d'un partant ou d'une clé inactive jamais révoquée. Elle réunit 16 exigences SOCLE, des fondamentales (R1) aux souveraines (R3).

L'enjeu

Une identité sur-privilégiée transforme une intrusion locale en compromission totale du tenant.

Les pièges courants

une politique joker (Action: *, Resource: *) jugée « temporaire » qui ne disparaît jamais ;
une clé d'API rattachée au compte root, qui contourne toute granularité ;
pas de MFA sur l'administration, donc un mot de passe volé suffit ;
des clés d'accès longue durée au lieu d'une identité courte OIDC : une clé fuitée reste exploitable des mois ;
une API de compte ouverte à 0.0.0.0/0 : une clé fuitée devient exploitable depuis n'importe où ;
des comptes partagés qui rendent toute action non imputable.

Comment le vérifier

Les contrôles ne se déclarent pas, ils se prouvent. Sur ce périmètre, un scanner de posture (ici Pépin) vérifie automatiquement des règles nommées : iam_apiaccessrule_defined et iam_apiaccessrule_no_public_cidr (aucune règle d'accès API ouverte à Internet), l'absence de clé rattachée au root, la présence de MFA. Les contrôles organisationnels couvrent ce qu'un scanner ne voit pas : revue annuelle des droits, séparation des tâches, procédure de révocation à la sortie. Pour les contextes les plus sensibles (R3), un outil dédié d'analyse de chemins d'attaque IAM (graphe d'élévation) traite les combinaisons toxiques.

Exigences

Comment lire R1R2R3du fondamental au souverain obligatoire recommandé Chaque carte porte son énoncé, le pourquoi, la preuve attendue et ses correspondances aux standards.

Afficher

SOCLE-CLD-IAM-1 R1

interdire les identités et clés à privilèges excessifs : politiques sans action/ressource joker (« * », NotAction/NotResource), aucune clé d'API rattachée au compte root.#

Une politique avec un **joker * ou une clé d'API sur le compte root donne, en cas de compromission, un contrôle total et irréversible. Bannir les privilèges excessifs et toute clé rattachée au root** supprime le scénario catastrophe où un seul secret ouvre l'ensemble du compte.

Preuve attendue: Revue des politiques IAM (absence de joker/anti-pattern) ; absence de clé rattachée au root.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 7 standards · 2 menaces

Correspondance

SecNumCloud 9.3.a SecNumCloud 9.3.f ANSSI-BP-028 R10 ANSSI-BP-028 R13 CSA CCM IAM-05 CIS Controls v8 6.7 CIS Controls v8 6.8

Menaces parées

SOCLE-CLD-IAM-10 R1

identités uniques et nominatives : aucun compte partagé ; toute action rattachable à un individu.#

Un compte partagé rend toute action non imputable : impossible de savoir qui a fait quoi le jour d'un incident. Des identités uniques et nominatives rattachent chaque action à un individu, condition de la traçabilité, de la responsabilité et d'une investigation crédible.

Preuve attendue: Comptes nominatifs ; absence de comptes génériques partagés ; traçabilité par identité.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 3 standards · 1 menace

Correspondance

CSA CCM IAM-13 SecNumCloud 9.5.d ISO 27001 (A.5.16)

Menaces parées

L'attaquant crée des identifiants, rôles ou comptes cloud supplémentaires pour conserver un accès durable, même après remédiation de l'intrusion initiale (ATT&CK T1098). La persistance s'ancre dans l'IAM du tenant ATT&CK T1098.001 ATT&CK T1098.003 ATT&CK T1136.003.

SOCLE-CLD-IAM-11 R1

politique de mots de passe robuste (longueur, complexité, anti-rejeu) quand l'authentification par mot de passe est utilisée.#

Un mot de passe court ou rejouable tombe au bruteforce ou au credential stuffing. Une politique robuste (longueur, complexité, anti-rejeu) élève le coût d'une attaque par devinette quand l'authentification par mot de passe est utilisée, en complément, jamais en remplacement, de la MFA.

Preuve attendue: Politique de mots de passe robuste appliquée (conforme [NT_MDP]).
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 3 standards · 1 menace

Correspondance

CSA CCM IAM-02 CSA CCM IAM-15 SecNumCloud 9.5.a

Menaces parées

Le MFA est contourné ou désactivé (enregistrement d'un facteur attaquant, exceptions) pour pérenniser un accès aux comptes. L'authentification forte annulée rouvre les comptes (ATT&CK T1556.006) ATT&CK T1556.006.

SOCLE-CLD-IAM-12 R2

aucune politique IAM ne permet une élévation de privilèges (PassRole non scopé, droits de création/modification de politiques ou de rôles, etc.) ; chemins de privesc identifiés et fermés.#

Un droit anodin comme un PassRole non scopé ou la création de politiques permet à un compte de s'élever lui-même vers l'administration. Identifier et fermer ces chemins de privesc empêche qu'un accès limité se transforme en contrôle total par enchaînement de permissions légitimes.

Preuve attendue: Analyse des politiques IAM : absence de combinaison permettant une escalade (réf. labs type iam-vulnerable).
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 3 standards · 3 menaces

Correspondance

CSA CCM IAM-05 CSA CCM IAM-16 CIS Controls v8 6.8

Menaces parées

Une combinaison de permissions IAM individuellement anodines forme un chemin d'élévation ou d'accès non prévu (combinaison toxique). Le risque émerge de l'assemblage des droits, pas d'une permission isolée (ATT&CK T1078.004) ATT&CK T1078.004. L'attaquant crée des identifiants, rôles ou comptes cloud supplémentaires pour conserver un accès durable, même après remédiation de l'intrusion initiale (ATT&CK T1098). La persistance s'ancre dans l'IAM du tenant ATT&CK T1098.001 ATT&CK T1098.003 ATT&CK T1136.003. Un mécanisme d'élévation juste-à-temps (JIT) est détourné pour obtenir des privilèges au-delà du besoin, le temps d'agir. La commodité du JIT devient un chemin d'élévation (ATT&CK T1548.005) ATT&CK T1548.005.

SOCLE-CLD-IAM-13 R2

désactivation des identifiants inutilisés : clés d'accès inactives et comptes dormants supprimés ou désactivés au-delà d'un seuil défini.#

Une clé inactive ou un compte dormant est un accès oublié que personne ne surveille, idéal pour un attaquant discret. Désactiver les identifiants inutilisés au-delà d'un seuil réduit la surface : moins de secrets vivants, moins de portes laissées entrouvertes faute d'usage.

Preuve attendue: Revue des clés/identités inactives ; désactivation au-delà du seuil documenté.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

CSA CCM IAM-07 CSA CCM IAM-08

Menaces parées

SOCLE-CLD-IAM-14 R3

cartographie et réduction des chemins d'attaque IAM (combinaisons toxiques identité → ressource), au-delà du contrôle unitaire des politiques.#

Chaque politique peut être conforme prise isolément, mais leur combinaison ouvre un chemin identité vers ressource exploitable. Cartographier et réduire ces chemins d'attaque (combinaisons toxiques) dépasse le contrôle unitaire et attrape le risque réel : celui qui n'apparaît qu'en reliant les permissions entre elles.

Preuve attendue: Analyse des chemins d'attaque/élévation (graphe IAM) ; combinaisons toxiques traitées.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

CSA CCM IAM-05 CSA CCM IAM-09

Menaces parées

SOCLE-CLD-IAM-15 R2

accès privilégié juste-à-temps (JIT) : élévation temporaire, approuvée et tracée ; aucun privilège d'administration permanent.#

Un privilège d'administration permanent est exploitable à tout instant s'il est compromis. L'accès juste-à-temps (JIT), élévation temporaire, approuvée et tracée, réduit la fenêtre à la durée d'usage : la plupart du temps, il n'y a aucun droit élevé à voler sur le compte.

Preuve attendue: Mécanisme JIT en place ; absence de rôles d'admin permanents ; élévations tracées.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

CSA CCM IAM-10 SecNumCloud 9.6.a

Menaces parées

Un mécanisme d'élévation juste-à-temps (JIT) est détourné pour obtenir des privilèges au-delà du besoin, le temps d'agir. La commodité du JIT devient un chemin d'élévation (ATT&CK T1548.005) ATT&CK T1548.005.

SOCLE-CLD-IAM-16 R2

réduction des permissions effectives jamais utilisées (right-sizing des entitlements) sur la base de l'usage observé.#

Les permissions accordées par excès de prudence mais jamais utilisées élargissent inutilement le rayon d'action d'un compte compromis. Réduire les permissions effectives inutilisées sur la base de l'usage observé rapproche les droits réels du besoin réel : un attaquant hérite du strict nécessaire, pas d'un trousseau complet.

Preuve attendue: Analyse des permissions effectives vs usage ; droits inutilisés retirés.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

CSA CCM IAM-05 CSA CCM IAM-08

Menaces parées

SOCLE-CLD-IAM-2 R2

clés d'accès longue durée assorties d'une expiration et d'une rotation ; préférer une identité courte (OIDC) aux secrets statiques.#

Une clé statique ne s'invalide jamais d'elle-même : volée, elle vaut jusqu'à découverte. Lui imposer expiration et rotation, et préférer une identité courte (OIDC), réduit la fenêtre d'exploitation à presque rien : il n'y a plus de secret durable à dérober.

Preuve attendue: Politique d'expiration/rotation des clés ; usage d'identités OIDC courtes.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 4 standards · 1 menace

Correspondance

SecNumCloud 9.5.a SecNumCloud 9.3.g ANSSI-BP-028 R11 CIS Controls v8 5.3

Menaces parées

SOCLE-CLD-IAM-3 R1

authentification multifacteur (MFA) imposée sur tous les accès d'administration et la console cloud.#

Un mot de passe d'administration phishé ou rejoué suffit à prendre la main sans MFA. Imposer la MFA sur tous les accès d'administration et la console ajoute un facteur que l'attaquant distant ne possède pas, bloquant l'usage d'identifiants volés sur les comptes les plus puissants.

Preuve attendue: Configuration MFA sur les comptes d'administration et la console ; double facteur pour l'admin.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 4 standards · 1 menace

Correspondance

SecNumCloud 9.5.a SecNumCloud 9.6.f CSA CCM IAM-14 CIS Controls v8 6.5

Menaces parées

SOCLE-CLD-IAM-4 R2

accès à l'API du compte restreint par liste d'adresses IP : au moins une règle définie, aucune ouverte à 0.0.0.0/0 - sans quoi une clé fuitée est exploitable de partout.#

Une clé d'API fuitée est exploitable depuis n'importe où si l'accès n'est pas restreint. Limiter l'accès API à une liste d'adresses IP (jamais 0.0.0.0/0) confine son usage à vos réseaux : même volée, la clé ne sert à rien depuis l'extérieur du périmètre autorisé.

Preuve attendue: Liste d'accès API restreinte à des IP légitimes ; pas de règle ouverte à Internet.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 3 standards · 2 menaces

Correspondance

SecNumCloud 9.6.d SecNumCloud 13.2.e ANSSI-BP-028 R67

Menaces parées

SOCLE-CLD-IAM-5 R2

blocage du compte après un nombre limité de tentatives d'authentification infructueuses.#

Sans limite de tentatives, un attaquant teste des mots de passe à volonté (bruteforce, credential stuffing). Bloquer le compte après un nombre limité d'échecs casse cette attaque automatisée : il devient impossible d'essayer des millions de combinaisons jusqu'à trouver la bonne.

Preuve attendue: Politique de verrouillage de compte configurée sur l'IAM cloud.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 1 standard · 1 menace

Correspondance

SecNumCloud 9.5.b

Menaces parées

SOCLE-CLD-IAM-6 R1

interfaces et API d'administration non exposées sur un réseau public ; accès via bastion ou plage d'administration restreinte.#

Une interface d'administration exposée sur Internet est une cible permanente de scan et d'exploitation. La rendre non publique, accessible via bastion ou plage d'administration restreinte, retire cette surface : on ne peut plus attaquer ce qu'on ne peut pas atteindre depuis l'extérieur.

Preuve attendue: Interfaces d'admin non joignables depuis Internet ; accès restreint (bastion / CIDR d'admin).
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 2 standards · 2 menaces

Correspondance

SecNumCloud 9.6.d SecNumCloud 5.3.c

Menaces parées

L'attaquant utilise les ressources de calcul du tenant pour du minage de cryptomonnaie, générant un coût et signalant souvent une compromission plus large. L'abus financier est parfois le seul symptôme visible (ATT&CK T1496) ATT&CK T1496.001. L'attaquant utilise les API d'administration (kubectl exec, équivalents) pour exécuter des commandes dans des conteneurs en place. Les droits d'exec mal restreints donnent un accès direct aux charges (ATT&CK T1609) ATT&CK T1609.

SOCLE-CLD-IAM-7 R2

flux d'administration authentifiés et chiffrés de bout en bout.#

Un flux d'administration en clair ou non authentifié est interceptable et rejouable : un attaquant capture des identifiants ou détourne la session. Authentifier et chiffrer de bout en bout ces flux protège les accès les plus sensibles contre l'écoute et l'usurpation sur le réseau.

Preuve attendue: Flux d'administration via canal authentifié et chiffré (TLS/SSH).
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

SecNumCloud 9.6.e SecNumCloud 10.2.c

Menaces parées

Un jeton d'accès de longue durée est volé et réutilisé tant qu'il n'est pas révoqué, sans nouvelle authentification. La durée de vie sans rotation maximise la valeur du vol CICD-SEC-6.

SOCLE-CLD-IAM-8 R2

revue périodique (au moins annuelle) des droits d'accès cloud ; retrait à la sortie ; capacité de révocation/suspension.#

Les droits s'accumulent : on en accorde, on oublie le retrait, et un compte de partant reste actif. Une revue périodique (au moins annuelle), le retrait à la sortie et une capacité de révocation combattent cette dérive, principale cause d'accès dormants exploitables.

Preuve attendue: Revue documentée des droits ; procédure de retrait/révocation testée.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 4 standards · 1 menace

Correspondance

SecNumCloud 9.4.a SecNumCloud 9.3.g CSA CCM IAM-07 CSA CCM IAM-08

Menaces parées

SOCLE-CLD-IAM-9 R2

séparation des tâches : aucun cumul de droits incompatibles ; comptes d'administration distincts des comptes d'usage courant.#

Cumuler des droits incompatibles sur un seul compte permet à un acteur seul (ou à son compte compromis) d'agir sans contre-pouvoir. La séparation des tâches et des comptes d'administration distincts de l'usage courant cloisonnent : aucun compromis unique ne donne à la fois les clés et le contrôle.

Preuve attendue: Droits incompatibles définis ; comptes d'admin séparés des comptes utilisateurs.
Outillage: Pépin Prowler ScoutSuite

Correspondances & menaces parées 4 standards · 1 menace

Correspondance

SecNumCloud 9.3.f SecNumCloud 9.6.a CSA CCM IAM-04 CSA CCM IAM-09

Menaces parées

À retenir

L'IAM est la première cible après une intrusion : limiter qui agit, avec quels droits, depuis où.
Moindre privilège d'abord : pas de joker, pas de PassRole non scopé, pas de clé sur le root.
Préférer une identité courte (OIDC, JIT) aux clés longue durée.
Nominatif + MFA : toute action imputable, second facteur sur l'administration.
Les droits se revoient : right-sizing, retrait à la sortie, révocation testée.

Prochaines étapes

Suivant : Exposition & filtrage réseauFamille suivante du domaine Domaine : CloudRevenir à la vue d'ensemble du domaine