> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/guides-de-remediation-des-vulnerabilites/cloud-scan/amazon-web-services-aws.md).

# Amazon Web Services (AWS)

## Compte racine sans MFA

**Sévérité : critique**

### Ce que cela signifie

Le compte racine AWS **compte racine** dispose d’un accès sans restriction à tout ce qui se trouve dans votre compte AWS : facturation, tous les services, toutes les données. C’est l’identifiant le plus puissant de toute votre configuration cloud. Sans MFA, un mot de passe racine compromis signifie une prise de contrôle totale.

### Comment corriger

1. Connectez-vous à la [console AWS](https://console.aws.amazon.com/) en tant que racine.
2. Accédez à `IAM` > `Tableau de bord` > `Activez la MFA sur votre compte racine`.
3. Cliquez sur `Gérer la MFA` > `Activer la MFA`.
4. Choisissez `Appareil MFA virtuel` (recommandé : utilisez une clé matérielle comme YubiKey pour une sécurité maximale).
5. Scannez le code QR avec votre application d’authentification.
6. Saisissez deux codes consécutifs et cliquez sur `Attribuer la MFA`.

Après avoir activé la MFA, suivez les bonnes pratiques AWS :

* **N’utilisez jamais le compte racine pour les tâches quotidiennes.** Créez plutôt des utilisateurs IAM ou utilisez IAM Identity Center.
* Stockez les identifiants racine dans un emplacement sécurisé et hors ligne (coffre-fort, gestionnaire de mots de passe).

## Compte racine utilisé récemment

**Gravité : élevée**

### Ce que cela signifie

Le compte racine a été utilisé pour se connecter au cours des 90 derniers jours. Comme l’administrateur intégré dans Active Directory, le compte racine doit être réservé aux situations d’urgence uniquement (par ex. récupération de compte, modifications de facturation). Le travail quotidien doit utiliser des utilisateurs ou des rôles IAM avec les autorisations appropriées.

### Comment corriger

1. Créer **des utilisateurs IAM** ou utiliser **IAM Identity Center (SSO)** pour l’administration quotidienne.
2. Attribuez uniquement les autorisations nécessaires à chaque personne (principe du moindre privilège).
3. Cessez d’utiliser le compte racine pour les tâches courantes.
4. L’alerte disparaîtra après 90 jours d’inactivité sur le compte racine.

## Utilisateurs IAM sans MFA

**Gravité : moyenne**

### Ce que cela signifie

Un ou plusieurs utilisateurs IAM peuvent se connecter à la console AWS sans MFA. Si leur mot de passe est compromis, l’attaquant obtient un accès complet à tout ce que cet utilisateur peut faire dans AWS.

### Comment corriger

1. Accédez à `IAM` > `Utilisateurs` > sélectionnez l’utilisateur.
2. Accédez à l'onglet `Informations d’identification de sécurité` .
3. Sous `Authentification multifactorielle (MFA)`, cliquez sur `menu Gérer`.
4. Attribuer un appareil MFA.

Pour imposer la MFA à tous les utilisateurs, créez une politique IAM qui refuse toutes les actions à moins qu’une MFA soit présente :

1. Accédez à `IAM` > `Stratégies` > `Créer une politique`.
2. Utilisez l’ [Modèle de politique d’application de la MFA AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.html) .
3. Attachez-la à tous les groupes d’utilisateurs.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/guides-de-remediation-des-vulnerabilites/cloud-scan/amazon-web-services-aws.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
