À re:Inforce 2025, AWS a cherché à rebattre les cartes d’une cybersécurité cloud un peu trop accaparée par Microsoft et Google. Un nouveau Security Hub entend hiérarchiser les alertes, tandis que AWS Shield et AWS GuardDuty promettent de colmater les brèches de la sécurité cloud avant qu’elles ne se transforment en incident. De quoi alléger la charge des DSI et RSSI, mais au prix d’un portefeuille sécurité toujours plus dense.
Amazon Web Services, poids lourd du cloud public, mise depuis des années sur le mantra « security by design ». Mais ce mantra n’est guère original. Ces deux concurrents ont le même! Mais ils ont aussi un marketing agressif et des produits phares à portée multi-cloud plus ou moins réelle.
Pourtant, en la matière, le cloud Amazon n’a rien à leur envier. L’arsenal d’outils défensifs d’AWS est lui aussi conséquent et complet. Et c’est cet arsenal qu’AWS a mis en avant avec des évolutions majeures à l’occasion de son évènement AWS re:inforce 2025 à Philadelphia la semaine dernière. Un arsenal sur lequel est longuement revenu Amy Herzog, la CISO d’AWS à grands coups de chiffres spectaculaires comme seuls les hyperscalers peuvent en avancer : 1,2 milliard d’appels API traités chaque seconde par AWS IAM pour autoriser ou refuser les requêtes; plus d’un milliard d’attaques par ransomware déjouées sur S3 depuis le début de l’année, 2 400 milliards de requêtes de scan malveillantes bloquées sur les 6 derniers mois…
Un dernier chiffre : AWS inspecte en moyenne 360 000 milliards d’événements de télémétrie par jour pour repérer des signaux d’attaques !
Mais AWS n’était pas là que pour nous abreuver de chiffres. L’hyperscaler avait aussi d’importantes évolutions à annoncer, visant à mieux armer des DSI et RSSI désormais bien en galère pour suivre la cadence des attaques dopées à l’IA générative. Et trois d’entre elles ont attiré notre attention…
Security Hub (Preview) : le « centre de gravité » des alertes
Security Hub s’offre un total relooking. L’interface primaire pour centraliser et visualiser toutes les alertes de cyber-sécurité gagne en lisibilité et progresses sur 3 axes : la corrélation, la contextualisation et la visualisation.
Security Hub corrèle désormais les signaux d’attaque et vulnérabilités en provenance de différentes sources et priorisent les événements pour ne remonter que les « risques actifs ». AWS affirme que la fonctionnalité a réduit jusqu’à 60 % le volume d’alertes traitées pendant ses tests internes, un gain qui, à défaut d’être vérifiable, répond néanmoins à l’inflation de faux positifs que toutes les entreprises constatent aujourd’hui. la solution offre une visibilité plus complète sur la posture de sécurité d’un environnement cloud, tout en réduisant la complexité liée à l’utilisation de multiples outils de sécurité.
Security Hub transforme ensuite ces signaux en informations exploitables grâce à des visualisations intuitives et des analyses contextuelles. Par exemple, il peut identifier des scénarios où des ressources exposées publiquement avec des vulnérabilités critiques ont accès à des données sensibles et doivent donc être traités en priorité.
Parmi les nouvelles fonctionnalités, on trouve des inventaires d’actifs orientés sécurité, des visualisations de chemins d’attaque, des détections d’exposition, ainsi que des flux de réponse automatisés intégrés aux systèmes de ticketing. Le tout est conçu pour centraliser les opérations de sécurité et faciliter la remédiation à grande échelle, tout en minimisant les interruptions opérationnelles.
Secutity Hub change donc de dimension quitte à placer AWS en concurrence plus ou moins directe avec ses partenaires SIEM historiques.
Shield : cartographier les failles avant qu’un bot ne le fasse
Amazon Shield, c’est le service managé de protection contre les attaques DDoS dont on connait l’infernale progression ces dernières années. Il se décline en deux versions : Shield Standard, inclus gratuitement avec tous les services AWS, et Shield Advanced, qui offre une protection renforcée, des alertes en temps réel, et un support 24/7 par des experts en sécurité AWS.
Amazon Shield a été amélioré pour offrir une détection plus fine des anomalies réseau susceptibles d’être exploitées par des attaquants. La nouvelle analyse proactive inspecte la topologie réseau, détecte les configurations fragiles (SQLi, DDoS) et propose des remédiations guidées, y compris via l’assistant Amazon Q. Ces nouvelles capacités permettent d’identifier plus rapidement les vecteurs d’attaque potentiels, ce qui renforce la posture de sécurité des applications critiques hébergées sur AWS, même si la portée de l’outil et de ses analyses avancées reste centrée sur les environnements AWS natifs.
Shield Advanced continue de fournir des fonctionnalités comme la protection automatique contre les attaques volumétriques, la visibilité accrue via CloudWatch, et l’intégration avec AWS WAF pour bloquer les requêtes malveillantes. Il inclut également une assurance financière contre les coûts liés aux attaques DDoS, ce qui est particulièrement utile pour les entreprises sensibles à la disponibilité.
GuardDuty XTD pour EKS : observer les conteneurs en profondeur
En étendant sa détection aux journaux d’audit et au runtime d’EKS, GuardDuty promet d’identifier des chaînes d’attaque multi-étapes souvent invisibles. Cette nouvelle version représente une avancée majeure dans la détection des menaces au sein des clusters Kubernetes gérés par AWS (EKS). Cette extension introduit une surveillance en temps réel des comportements suspects au niveau des conteneurs, grâce à un agent eBPF entièrement géré par AWS. Contrairement aux solutions traditionnelles qui nécessitent l’installation manuelle d’agents avec des privilèges élevés, GuardDuty XTD déploie un DaemonSet géré qui fonctionne en dehors du contexte applicatif. Cela permet de détecter des activités comme l’exfiltration de credentials, les shells inversés, ou encore le minage de cryptomonnaie, sans alourdir la charge opérationnelle ni exposer l’environnement à des risques supplémentaires.
AWS muscle clairement son arsenal sécurité, quitte a encore empiler un peu plus les services. On notera que l’hyperscaler est resté relativement évasif sur la disponibilité générale de ces nouveautés et sur leur tarification.
puis