Pentest Cloud — PME IT (Azure)

PME IT — Données clients sensibles

5 jours

Microsoft Azure

Pentest Cloud

Contexte de la mission

Le défi

Contexte

L'entreprise avait migré entièrement vers Azure et devait évaluer la sécurité de son environnement cloud.

Elle gérait des données clients sensibles et devait démontrer sa conformité (exigence contractuelle).

Objectifs

Évaluer la sécurité de l'environnement Azure après migration complète
Tester la possibilité d'escalade de privilèges depuis un accès limité
Démontrer la conformité sécurité aux clients de l'entreprise

Déroulement

Découvertes clés

Périmètre testé

Entra ID (gestion des identités)
App Services
Key Vault et Storage Accounts
Réseau virtuel
Tests simulant un attaquant avec un accès Reader

Méthodologie

Approche « assumed breach » cloud, traitant le compte Reader comme un point d'accès compromis, avec focus sur l'escalade de privilèges et l'exposition de données.

Critique

Application avec des droits trop élevés sur tout l'abonnement Azure

Critique

Mots de passe et clés de connexion stockés en clair dans les paramètres

Élevé

Aucune vérification renforcée (MFA) ni restriction géographique sur les comptes administrateurs

Résultats

Livrables et recommandations

Livrables

6 vulnérabilités : 2 critiques, 3 élevées, 1 moyenne
Rapport technique avec preuves d'exploitation
Feuille de route de remédiation priorisée
Présentation et restitution orale

Recommandations

Limiter les droits de chaque application au strict nécessaire
Stocker les mots de passe et clés dans Azure Key Vault
Activer la double authentification obligatoire pour les administrateurs
Restreindre les connexions depuis des pays autorisés uniquement
Vérifier régulièrement les droits attribués à chaque compte

Enseignements

Leçons apprises

Les identités managées sont souvent surprovisionnées par défaut lors des migrations
Les secrets en clair dans les paramètres d'application sont un vecteur d'attaque majeur dans le cloud
Un audit régulier des permissions RBAC est indispensable après chaque changement d'équipe

Issue

Ce qui a changé

Le client a mis en place les corrections en un mois, lui permettant de démontrer sa conformité à ses propres clients.

Prochaines étapes

Audit de sécurité semestriel des configurations Azure
Mise en place d'alertes automatiques sur les changements de permissions
Formation de l'équipe IT aux bonnes pratiques Azure Security

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Pentest Web

Pentest Web — PME e-commerce

Accès aux factures clients et modification de paniers entre utilisateurs. 12 vulnérabilités identifiées dont 3 critiques.

Mathieu Rutick 2026

Pentest AD

Pentest Active Directory — Groupe multi-agences

Compromission totale du domaine Active Directory d'un groupe multi-agences en partant d'un accès réseau standard.

Mathieu Rutick 2026

Phishing

Campagne de Phishing — Collectivité territoriale

35% de clics et 18% de saisie d'identifiants sur 200 agents. Formation de sensibilisation post-campagne.

Mathieu Rutick 2026

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services