🔍 Auditer son cloud en 1 heure avec des outils open source

📅 5 mai 2026 | par Olivier Brun, Architecte Cloud

Vous voulez vérifier la sécurité de votre cloud (AWS, Azure, GCP) sans payer de licence ? Les outils open source Prowler et ScoutSuite vous permettent un audit complet en moins d’une heure. Et ils sont 100% gratuits !

📦 Les outils : éditeurs, licences, gratuité

Outil	Éditeur / Mainteneur	Licence	Gratuité	Lien GitHub
Prowler	Prowler Cloud (ex-Verica, maintenant société indépendante, mais outil open source)	Apache 2.0	✅ 100% gratuit, pas de version payante obligatoire	github.com/prowler-cloud/prowler
ScoutSuite	NCC Group (cabinet de cybersécurité)	GNU GPL v2	✅ 100% gratuit, aucun freemium	github.com/nccgroup/ScoutSuite
Azure Security Benchmark (scripts)	Microsoft (via docs et PowerShell)	MIT (scripts)	✅ Gratuit, intégré au portail Azure	docs.microsoft.com
Forseti Security (GCP) (successeur : Cloud Asset Inventory + Policy Scanner)	Google (ancien projet open source, désormais intégré)	Apache 2.0	✅ Gratuit (outils natifs)	github.com/forseti-security

💡 Important : Tous ces outils sont open source et resteront gratuits. Aucune obligation d’achat de licence. Vous pouvez les utiliser en entreprise sans frais.

⚡ 1. Auditer AWS avec Prowler (30 min)

Prowler exécute plus de 400 contrôles (CIS, NIST, PCI, GDPR). Il est maintenu par une communauté active et utilisé par des milliers d’entreprises.

# Installation (Linux/macOS)
git clone https://github.com/prowler-cloud/prowler
cd prowler
pip install poetry
poetry install

# Audit complet (HTML)
./prowler -M html

# Audit ciblé (profil + région)
./prowler -p mon-profil -r eu-west-1 -M json,csv

# Filtre par sévérité
./prowler --severity critical,high

# Exécuter un contrôle spécifique
./prowler -c s3_bucket_public_access

Exemples de résultats critiques :

❌ s3-bucket-public-read-acl → bucket public
❌ iam-user-no-policies → politique IAM directe (non recommandé)
⚠️ ec2-security-group-http-https-to-world → port 80/443 ouvert à 0.0.0.0/0

📄 Rapport HTML généré : il contient des tableaux de bord, le détail des contrôles échoués, et des recommandations de correction.

☁️ 2. Auditer Azure et GCP avec ScoutSuite (45 min)

ScoutSuite, développé par NCC Group, supporte nativement Azure, GCP, AWS, Alibaba Cloud et Kubernetes. Son interface web interactive est très pratique.

# Installation
git clone https://github.com/nccgroup/ScoutSuite
cd ScoutSuite
pip install -r requirements.txt

# Audit Azure (nécessite az cli et une session authentifiée)
python scout.py azure --cli --report-dir ./reports --report-name azure-audit

# Audit GCP (avec fichier JSON de service account)
python scout.py gcp --service-account-credentials key.json --project-id mon-projet

# Audit AWS (alternative à Prowler)
python scout.py aws --profile default

Détections typiques :

Azure : NSG trop permissifs, Log Analytics non activé, MFA manquante, rôles privilégiés inutilisés.
GCP : buckets publics, clés de service account téléchargeables, règles de pare-feu larges, API non restreintes.

📊 Le rapport HTML généré par ScoutSuite offre un dashboard interactif avec des graphiques, filtres par sévérité, et des explications détaillées pour chaque faille.

🤖 Automatiser l’audit (CI/CD hebdomadaire)

L’audit ponctuel ne suffit pas : les configurations changent. Voici comment intégrer ces outils dans vos pipelines.

Exemple avec GitHub Actions (AWS Prowler)

name: Weekly Security Audit
on:
  schedule:
    - cron: '0 6 * * 1'   # lundi 6h
  workflow_dispatch:
jobs:
  audit:
    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: read
    steps:
      - uses: actions/checkout@v4
      - name: Configure AWS credentials (OIDC)
        uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: arn:aws:iam::123456789012:role/audit-role
          aws-region: eu-west-1
      - name: Run Prowler
        run: |
          git clone https://github.com/prowler-cloud/prowler
          cd prowler
          poetry install
          poetry run prowler -M html,csv
      - name: Upload report to S3 (optionnel)
        run: aws s3 cp prowler/output/ s3://mon-bucket-audit/ --recursive
      - name: Upload artifact
        uses: actions/upload-artifact@v4
        with:
          name: prowler-report
          path: prowler/output/

Pour Azure (Azure DevOps)

trigger: none
schedules:
- cron: "0 6 * * 1"
  displayName: Lundi 6h
  branches:
    include: [main]
jobs:
- job: AuditAzure
  pool: ubuntu-latest
  steps:
  - script: |
      git clone https://github.com/nccgroup/ScoutSuite
      cd ScoutSuite
      pip install -r requirements.txt
      python scout.py azure --cli --report-dir $(Build.ArtifactStagingDirectory)
    displayName: 'Run ScoutSuite'
  - task: PublishBuildArtifacts@1
    inputs:
      pathToPublish: $(Build.ArtifactStagingDirectory)
      artifactName: scout-report

🧠 Interpréter les résultats (priorisation et actions)

Un audit produit souvent des centaines d’alertes. Voici comment prioriser :

Niveau	Exemples	Action recommandée
🔴 Critique	Bucket public, port 22 (SSH) ouvert à 0.0.0.0/0, IAM avec droits Admin	Correction immédiate (moins d’1h)
🟠 Élevé	Logging désactivé, TLS 1.0 autorisé, clé API non rotée	Planifier dans le sprint en cours
🟡 Moyen	Utilisateur sans MFA, snapshots non chiffrés, instance avec ancien OS	Prochaine itération (sprint suivant)
🔵 Info	Tags manquants, description absente, taille de volume excessive	Amélioration continue, non bloquant

💡 Ne cherchez pas à résoudre 100% des alertes : concentrez-vous sur les 10% qui éliminent 90% des risques réels. Exemple : fermer un bucket public est plus urgent qu’ajouter des tags.

🔁 Limites et recommandations additionnelles

Ce que ces outils ne font pas : détection de failles logicielles (injections, XSS), analyse de code, test d’intrusion. Pour cela, utilisez Nessus, OpenVAS, Burp Suite.
Authentification nécessaire : les outils ont besoin de droits en lecture seule sur vos clouds (via IAM, service principal, compte de service). Créez un rôle dédié avec des permissions limitées à Describe, List, Get.
Stockage des rapports : conservez les rapports historiques (ex: dans un bucket S3 verrouillé) pour prouver votre conformité (NIS2, ISO 27001, DORA).
Évolutivité : pour de très gros comptes (plus de 1000 ressources), Prowler et ScoutSuite peuvent être lents. Préférez les exécuter par région ou par service.

📊 Comparatif des options payantes (alternatives)

Si vous avez besoin de fonctionnalités supplémentaires (conformité automatisée, intégration SIEM, support officiel), il existe des solutions commerciales :

AWS Audit Manager – natif AWS, payant, mais simplifie la collecte de preuves.
Azure Policy + Microsoft Defender for Cloud – recommandations intégrées, avec une partie gratuite et premium.
GCP Security Command Center (Premium) – détection avancée, intégration avec les services Google.
Wiz, Orca, Prisma Cloud – plateformes CNAPP très complètes mais coûteuses.

Pour la plupart des PME et startups, les outils open source couvrent largement les besoins de base.

🎯 Conclusion

En une heure par semaine, vous pouvez auditer entièrement vos clouds AWS, Azure et GCP avec des outils open source gratuits (Prowler, ScoutSuite). Automatisez ces scans dans votre CI/CD et priorisez les correctifs critiques. C’est une excellente base pour améliorer votre sécurité sans budget.