GuardDuty, Inspector, Config, Security Hub, Macie, Detective... Si vous préparez la certification AWS Cloud Practitioner, ces noms se mélangent probablement dans votre tête. Voici comment les distinguer une bonne fois pour toutes.
Si vous préparez la Cloud Practitioner, vous avez probablement remarqué que les services de sécurité AWS se ressemblent tous de loin. GuardDuty, Inspector, Security Hub — les trois font de la “détection”, mais pas du tout sur le même périmètre. L’examen joue régulièrement sur ces confusions.
L’astuce : chaque service a un seul job. Trouvez le job, vous trouvez la réponse.
Les trois qu’on confond tout le temps
Ces trois services sont souvent confondus à l’examen. Ils font tous de la “détection”, mais pas du tout sur le même périmètre.
Amazon GuardDuty, c’est votre vigile intelligent. Il observe en permanence les allées et venues (VPC Flow Logs, requêtes DNS, appels API via CloudTrail) et repère les comportements louches : une connexion depuis un pays inhabituel, du minage de crypto sur vos instances, une communication avec un serveur de commande connu. Son rôle principal : observer et alerter. Il peut aussi scanner vos volumes EBS et objets S3 à la recherche de malwares (GuardDuty Malware Protection).
Amazon Inspector fait exactement ce que son nom suggère : il inspecte. Il passe sur vos ressources (EC2, Lambda, images ECR) et cherche les failles connues : CVE non patchées, ports ouverts, paquets obsolètes. Il cherche des vulnérabilités techniques dans vos workloads.
Amazon Macie est le spécialiste de la donnée sensible. Il fouille exclusivement dans S3 (et rien d’autre) pour trouver ce qui ne devrait pas traîner là : numéros de carte bancaire, adresses email, numéros de sécurité sociale. Si l’énoncé mentionne S3 et données personnelles, c’est Macie.
| Service | Il surveille quoi ? | Il cherche quoi ? |
|---|---|---|
| GuardDuty | Logs réseau et API | Comportements suspects |
| Inspector | EC2, Lambda, ECR | Vulnérabilités logicielles |
| Macie | Buckets S3 | Données sensibles (PII) |
Trois services de détection, trois périmètres complètement différents. Si l’énoncé parle d’activité suspecte → GuardDuty. De failles de sécurité → Inspector. De données personnelles dans S3 → Macie.
CloudTrail vs Config : l’autre piège classique
Ces deux-là, c’est la confusion la plus fréquente. Et pourtant, ils ne répondent pas du tout à la même question.
AWS CloudTrail enregistre chaque appel API sur votre compte : qui a fait quoi, quand, depuis quelle IP. “L’utilisateur X a appelé DeleteBucket mardi à 14h03 depuis l’adresse 192.168.1.42.” C’est votre journal d’audit. Point.
AWS Config trace l’état de vos ressources dans le temps. “Ce security group avait le port 22 fermé lundi. Mardi à 14h, il est passé ouvert.” Config peut aussi évaluer la conformité avec des règles : “Tous les buckets S3 doivent être chiffrés” — et vous alerter quand ce n’est plus le cas.
En résumé : CloudTrail trace les actions (qui a fait quoi). Config trace les états (qu’est-ce qui a changé).
Centralisation et investigation
AWS Security Hub agrège les alertes de GuardDuty, Inspector, Macie et d’autres dans un tableau de bord centralisé. Il rassemble et priorise ce que les autres trouvent, mais il génère aussi ses propres findings en vérifiant votre posture de conformité (CIS Benchmarks, PCI DSS, AWS Foundational Security Best Practices). Pensez “dashboard unique + audit de conformité” pour votre sécurité.
Amazon Detective intervient après coup. Un incident a été détecté (souvent par GuardDuty), et il faut comprendre ce qui s’est passé. Detective collecte et corrèle les données pour remonter à la cause racine. GuardDuty vous dit “il y a un problème”, Detective vous dit “voilà ce qui s’est passé”.
Le mot-clé dans l’énoncé : “vue centralisée de la sécurité” → Security Hub. “Investiguer un incident” → Detective.
La protection active : WAF, Shield, Firewall Manager
Ici, on passe de la détection au blocage.
AWS WAF (Web Application Firewall) filtre le trafic HTTP/HTTPS. Il bloque les injections SQL, le cross-site scripting, les requêtes venant de certains pays. C’est du filtrage de requêtes web, ni plus ni moins.
AWS Shield protège contre les attaques DDoS. La version Standard est gratuite et activée par défaut sur tous les comptes. Shield Advanced ajoute une protection renforcée avec support dédié, mais c’est un service payant.
AWS Firewall Manager gère les règles WAF, Shield et Security Groups de manière centralisée sur plusieurs comptes via AWS Organizations. Si vous gérez 50 comptes AWS, vous ne voulez pas configurer WAF 50 fois.
La logique : WAF → requêtes web. Shield → DDoS. Firewall Manager → gestion multi-comptes.
Les trois outsiders à ne pas oublier
AWS Trusted Advisor audite votre compte sur 6 piliers : coût, performance, sécurité, tolérance aux pannes, excellence opérationnelle et quotas de service. Ce n’est pas qu’un outil de sécurité, mais il détecte les security groups trop permissifs ou le MFA désactivé. C’est le service qui vous dit “vous pourriez faire mieux ici”.
IAM Access Analyzer répond à deux questions : “Est-ce que des ressources de mon compte sont accessibles depuis l’extérieur ?” (un bucket S3 public, un rôle cross-account non souhaité) et “Est-ce que des permissions sont inutilisées ?” (rôles inactifs, clés d’accès jamais utilisées). Il détecte ce qui est trop ouvert et ce qui ne sert plus.
AWS Artifact n’est même pas un outil technique. C’est un portail documentaire qui donne accès aux rapports de conformité d’AWS (SOC 1/2/3, ISO 27001, PCI DSS). Si l’examen parle de “télécharger un rapport de conformité AWS”, c’est Artifact.
L’anti-sèche du jour de l’examen
| L’énoncé parle de… | La réponse est… |
|---|---|
| Activité suspecte sur le compte | GuardDuty |
| Vulnérabilités sur mes EC2/Lambda | Inspector |
| Données sensibles dans S3 | Macie |
| Qui a supprimé cette ressource ? | CloudTrail |
| Cette ressource est-elle conforme ? | Config |
| Vue centralisée de ma sécurité | Security Hub |
| Investiguer un incident | Detective |
| Bloquer des requêtes web malveillantes | WAF |
| Protection DDoS | Shield |
| Gérer les règles de sécurité sur plusieurs comptes (Organizations) | Firewall Manager |
| Recommandations coût, performance, sécurité | Trusted Advisor |
| Ressources accessibles publiquement | IAM Access Analyzer |
| Rapports de conformité AWS | Artifact |
Le jour de l’examen, ne cherchez pas à tout comprendre en profondeur. Repérez les mots-clés dans l’énoncé, associez-les au bon service, passez à la question suivante.
