Que dois-je faire en cas d’activité non autorisée sur mon compte AWS ?

Lecture de 7 minute(s)

Des ressources que je ne me souviens pas avoir créées apparaissent dans la console de gestion AWS. Ou encore, je reçois une notification m’informant que mes ressources ou mon compte AWS sont susceptibles d’être compromis.

Brève description

Si vous soupçonnez la présence d’une activité non autorisée sur votre compte AWS, procédez comme suit pour vous assurer qu’il s’agit bien d’une activité non autorisée :

Identifiez les actions non autorisées effectuées par les identités AWS Identity and Access Management (IAM) sur votre compte.
Identifiez les accès non autorisés ou les modifications apportées à votre compte.
Identifiez la création de ressources non autorisées.
Identifiez la création de ressources IAM non autorisées, telles que des rôles, des politiques gérées ou des modifications de gestion, notamment des comptes liés frauduleux créés dans votre AWS Organization.

Ensuite, si vous détectez une activité non autorisée, suivez les instructions de la section Mon compte AWS fait l’objet d’une activité non autorisée de cet article.

Remarque : si vous ne parvenez pas à vous connecter à votre compte, consultez Que dois-je faire en cas de problème de connexion ou d’accès à mon compte AWS ?

Résolution

Vérifier la présence d’une activité non autorisée sur votre compte AWS

Identifier les actions non autorisées effectuées par les identités IAM de votre compte

Suivez les étapes suivantes :

Déterminez la période pendant laquelle chaque mot de passe ou clé d’accès d’un utilisateur IAM a été utilisé pour la dernière fois. Pour plus d’informations, consultez Obtenir des informations d’identification pour votre compte AWS.
Déterminez quels utilisateurs IAM, groupes d’utilisateurs, rôles et politiques ont été utilisés récemment. Pour plus d’informations, consultez Présentation des dernières informations consultées relatives à IAM.

Identifier les accès non autorisés ou les modifications apportées à votre compte

Pour plus d’informations, consultez Comment puis-je surveiller l’activité des comptes d’utilisateurs IAM, de rôles et de clés d’accès AWS spécifiques ?Consultez également la section Comment puis-je mettre fin à une activité non autorisée sur les ressources de mon compte AWS ?

Identifier la création de ressources ou d’utilisateurs IAM non autorisés

Pour détecter une utilisation non autorisée des ressources, y compris des services, des régions ou des frais inhabituels sur votre compte, examinez les points suivants :

Cost & Usage Reports de votre compte
La référence de vérification AWS Trusted Advisor
La page Factures de la console de gestion AWS

Remarque : vous pouvez également utiliser l’Explorateur de coûts AWS pour consulter les frais et activités associés à votre compte AWS. Pour plus d’informations, consultez Comment puis-je utiliser l’Explorateur de coûts AWS pour analyser mes dépenses et mes activités ?

En cas d’activité non autorisée sur votre compte AWS

Important : si vous recevez une notification d’AWS concernant une activité irrégulière sur votre compte, suivez d’abord les instructions suivantes. Répondez ensuite à la notification dans le centre AWS Support en confirmant les actions que vous avez effectuées.

Rotation et suppression des clés d’accès aux comptes exposés

Vérifiez la notification d’activité irrégulière envoyée par AWS Support pour détecter les clés d’accès aux comptes exposés. En cas de clés répertoriées, suivez les étapes suivantes :

Créez une nouvelle clé d’accès AWS.
Modifiez votre application pour utiliser la nouvelle clé d’accès.
Désactivez la clé d’accès d’origine.
Important : ne supprimez pas encore la clé d’accès d’origine. Désactivez uniquement la clé d’accès d’origine.
Vérifiez que votre application ne présente aucun problème. En cas de problème, réactivez temporairement la clé d’accès d’origine pour y remédier.
Si votre application est pleinement fonctionnelle après la désactivation de la clé d’accès d’origine, supprimez cette clé.
Supprimez les clés d’accès de l’utilisateur racine du compte AWS que vous n’utilisez plus ou que vous n’avez pas créées.

Pour plus d’informations, consultez les sections Meilleures pratiques pour la gestion des clés d’accès AWS et Gestion des clés d’accès pour les utilisateurs IAM.

Faire la rotation des informations d’identification des utilisateurs IAM potentiellement non autorisées

Suivez les étapes suivantes :

Ouvrez la console IAM.
Dans le volet de navigation gauche, choisissez Utilisateurs. La liste des utilisateurs IAM de votre compte AWS s’affiche.
Choisissez le nom du premier utilisateur IAM de la liste. La page Résumé des informations sur l’utilisateur IAM s’ouvre.
Dans l’onglet Autorisations, dans la section Politiques d’autorisation, recherchez celle nommée AWSCompromisedKeyQuarantineV2. Si l’utilisateur est soumis à cette politique, il faut procéder à une rotation des clés d’accès pour l’utilisateur.
Répétez les étapes 3 et 4 pour chaque utilisateur IAM de votre compte.
Supprimez les utilisateurs IAM que vous n’avez pas créés.
Modifiez les mots de passe de tous les utilisateurs IAM que vous avez créés et que vous souhaitez conserver.

Si vous utilisez des informations d’identification de sécurité temporaires, consultez Révocation des informations d’identification de sécurité temporaires du rôle IAM.

Vérifier vos journaux AWS CloudTrail pour détecter toute activité non autorisée

Suivez les étapes suivantes :

Ouvrez la console AWS CloudTrail.
Dans le volet de navigation gauche, sélectionnez Historique des événements.
Vérifiez les activités non autorisées, telles que la création de clés d’accès, de politiques, de rôles ou d’informations d’identification de sécurité temporaires.
Important : veillez à vérifier l’heure de l’événement pour confirmer que les ressources ont été créées récemment et qu’elles correspondent à l’activité irrégulière.
Supprimez les clés d’accès, les politiques, les rôles ou les informations d’identification de sécurité temporaires que vous avez identifiées comme non autorisées.

Pour plus d’informations, consultez Utilisation de CloudTrail.

Supprimer les ressources inconnues ou non autorisées

Suivez les étapes suivantes :

1. Connectez-vous à la console de gestion AWS. Vérifiez ensuite que toutes les ressources de votre compte sont celles que vous avez lancées. Vérifiez et comparez la consommation du mois précédent à celle du mois en cours. Recherchez toutes les ressources dans toutes les régions AWS, même dans les régions où vous n’avez jamais lancé de ressources. Par ailleurs, vous devez porter une attention particulière aux types de ressources suivants :

Instances Amazon EC2, instances Spot et Amazon Machine Images (AMI), y compris les instances arrêtées
groupes Auto Scaling
Volumes et instantanés d’Amazon Elastic Block Store (Amazon EBS)
Clusters Amazon Elastic Container Service (Amazon ECS)
Référentiels Amazon Elastic Container Registry (Amazon ECR)
Fonctions et couches AWS Lambda
Instances Amazon Lightsail
Domaines Amazon Route 53
Instances de blocs-notes Amazon SageMaker

2. Supprimez les ressources inconnues ou non autorisées. Pour plus d’informations, consultez Comment puis-je résilier les ressources actives dont je n’ai plus besoin sur mon compte AWS ?

Important : si vous devez conserver des ressources pour les enquêtes, pensez à les sauvegarder. Par exemple, si vous envisagez de retenir une instance EC2 pour des raisons de conformité à une réglementation ou juridiques, créez un instantané Amazon EBS avant de résilier l’instance.

Restaurer les ressources sauvegardées

Si vous aviez configuré des services pour conserver des sauvegardes, récupérez ces sauvegardes à partir de leur dernier statut connu non compromis.

Pour plus d’informations sur la restauration de types spécifiques de ressources AWS, consultez les rubriques suivantes :

Restauration à partir d’un instantané Amazon EBS ou AMI
Restauration à partir d’un instantané de base de données (instances de la base de données Amazon Relational Database Service (Amazon RDS)
Restauration des versions précédentes (versions d’objets Amazon Simple Storage Service (Amazon S3)

Vérifier les informations de votre compte

Vérifiez que toutes les informations suivantes sont conformes dans votre compte AWS :

Nom du compte et adresse e-mail
Contact (assurez-vous que votre numéro de téléphone est valide)
Contacts alternatifs

Remarque : pour plus d’informations sur les meilleures pratiques en matière de sécurité des comptes AWS, consultez Quelles sont les meilleures pratiques pour sécuriser mon compte AWS et ses ressources ?

Informations connexes

Guide de résolution des incidents de sécurité AWS

Informations d’identification de sécurité AWS

Directives relatives aux audits de sécurité AWS

Bonnes pratiques pour Amazon EC2

Sujets

Gestion et gouvernance

Balises

AWS Account Management

Langue

Français

Vidéos associées

Regarder la vidéo de Giovanni pour en savoir plus (3:02)

Regarder la vidéo d’Aliva pour en savoir plus (5:40)

Regarder la vidéo de Giovanni pour en savoir plus (4:53)

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Compte piraté - Facturation
roym
demandé il y a 8 mois
Compte bloque je n'arrive plus a acceder au compt
Shekina Banza
demandé il y a un mois
Sagemaker/Support : Urgence et Prise en compte des tickets
Romuald
demandé il y a 4 mois
Je n'arrive pas à me Connecter sur AWS
Pierre Ndiaye
demandé il y a 10 mois
comment creer une compte console AWS sans carte du credit?
daddy
demandé il y a 10 mois
Comment résoudre les erreurs d’accès refusé ou d’opération non autorisée à l’aide d’une politique IAM ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je mettre fin à une activité inhabituelle non autorisée sur les ressources de mon compte AWS ?
AWS OFFICIELA mis à jour il y a 4 mois
Que faire si je reçois une erreur « Il semble que vous ne soyez pas autorisé » lorsque j’essaie d'utiliser Amazon Lightsail ?
AWS OFFICIELA mis à jour il y a 3 ans
Que dois-je faire si je reçois l'erreur « Votre compte est dans un état invalide » lorsque j'essaie d'accéder à des services via mon compte AWS ?
AWS OFFICIELA mis à jour il y a 4 ans