Réalisation de tests d'intrusion

Tester l'environnement AWS par rapport à des normes de sécurité définies

Stratégie du support client AWS pour le test d'intrusion

Les clients AWS ont la possibilité de réaliser des évaluations de la sécurité ou des tests d'intrusion de leur infrastructure AWS, sans approbation préalable pour 8 services, répertoriés dans la section suivante sous « Services autorisés ».

Assurez-vous que ces activités sont conformes à la stratégie présentée ci-dessous. Remarque : les clients ne sont pas autorisés à réaliser eux-mêmes des évaluations de la sécurité de l'infrastructure AWS ou des services AWS eux-mêmes. Si vous rencontrez un problème de sécurité avec l'un des services AWS pendant votre évaluation de la sécurité, contactez l'équipe de la sécurité AWS immédiatement.

Si AWS reçoit un rapport abusif pour les activités liées à vos tests de sécurité, nous vous les transférons. Lorsque vous y répondez, indiquez la cause première de l'activité faisant l'objet du rapport, et détaillez les mesures que vous avez prises pour éviter que ce problème ne se reproduise. Consultez cette page pour en savoir plus.

Les revendeurs de services AWS sont tenus responsables des activités liées aux tests de sécurité de leurs clients.

Stratégie de service client pour le test d'intrusion

Services autorisés

  • Instances Amazon EC2, passerelles NAT et programmes Elastic Load Balancer
  • Amazon RDS
  • Amazon CloudFront
  • Amazon Aurora
  • Amazon API Gateways
  • Fonctions AWS Lambda et Lambda Edge
  • Ressources Amazon Lightsail
  • Environnements Amazon Elastic Beanstalk

Activités interdites

  • Inspection de zone DNS via des zones hébergées sur Amazon Route 53
  • Déni de service (DoS), résilience de déni de service distribué (DDoS), DoS simulé, DDoS simulé
  • Saturation des ports
  • Saturation des protocoles
  • Saturation des requêtes (saturation des requêtes de connexion et d'API)

Autres événements simulés

Demande d'autorisation pour d'autres événements simulés

AWS s'engage à vous répondre rapidement et à vous tenir au courant du traitement de votre demande. Envoyez-nous directement un e-mail à l'adresse aws-security-simulated-event@amazon.com. Assurez-vous d'inclure les dates, les comptes concernés, les ressources concernées et les coordonnées, y compris le numéro de téléphone et la description détaillée des événements planifiés. Dans les 2 jours ouvrables suivant votre premier message, vous recevrez une réponse non automatisée confirmant la réception de votre demande.

Après examen des informations fournies, nous transmettrons votre demande aux équipes concernées afin qu'elles l'étudient. La nature particulière de ces demandes nous impose de les traiter au cas par cas et de façon non automatisée ; par conséquent, il faut parfois compter jusqu'à 7 jours pour que nous vous fournissions une réponse. La décision finale est parfois plus longue, en particulier si nous avons besoin de demander des informations complémentaires pour mener à bien notre évaluation.

Réalisation du test

Aucune autre action de votre part n'est requise après la réception de notre autorisation. Vous pouvez effectuer votre test pendant toute la période que vous avez indiquée. 

Test de résistance du réseau

Les clients souhaitant effectuer un test de résistance du réseau doivent passer en revue notre politique relative aux tests de résistance. Les clients souhaitant effectuer une simulation de DDoS sont pris en charge via les fournisseurs pré-approuvés décrits ci-dessous. Veuillez rediriger votre demande en conséquence.

Conditions générales

Tous les tests de sécurité doivent être conformes aux Conditions générales de test de sécurité AWS.

Les tests de sécurité :

  • seront limités aux services, bande passante réseau, requêtes par minute et type d'instance ;
  • sont soumis au Contrat client Amazon Web Services entre vous et AWS ;
  • seront conformes à la politique AWS relative à l'utilisation des outils et services d'évaluation de la sécurité, incluse dans la section suivante.

Toute découverte de vulnérabilités ou d'autres problèmes étant le résultat direct des outils ou des services AWS doit être signalée à AWS Security dans les 24 heures après la réalisation du ou des tests.

Politique AWS relative aux outils et services d'évaluation de la sécurité

La politique AWS relative à l'utilisation des outils et services d'évaluation de la sécurité permet une grande flexibilité dans la réalisation d'évaluations de la sécurité de vos ressources AWS, tout en protégeant les autres clients AWS et en garantissant la qualité du service sur AWS.

AWS comprend qu'il existe une variété d'outils et de services publics, privés, commerciaux et/ou open source parmi lesquels choisir à des fins d'évaluation de la sécurité de vos ressources AWS. Les termes « évaluation de la sécurité » font référence à toutes les activités menées dans le but de déterminer l'efficacité ou l'existence de contrôles de sécurité au sein de vos ressources AWS, tels que l'analyse des ports, l'analyses ou les vérifications de vulnérabilité, les tests d'intrusion, l'exploitation, l'analyse des applications Web, ainsi que toute activité d'injection, de falsification ou de test à données aléatoires, réalisée à distance sur vos ressources AWS, au sein ou entre vos ressources AWS, ou localement dans les ressources virtualisées elles-mêmes.

Vous n'êtes PAS limité dans votre sélection d'outils ou de services pour réaliser une évaluation de la sécurité de vos ressources AWS. Toutefois, vous ne pouvez PAS utiliser d'outils ou de services de manière à réaliser des attaques ou des simulations de déni de service (DoS) contre N'IMPORTE QUELLE ressource AWS, qu'elles vous appartiennent ou non. Les activités interdites incluent les activités suivantes, sans s'y limiter :

  • Saturation des protocoles (par ex., saturation de SYN, ICMP ou UDP)
  • Saturation des demandes de ressources (par ex., saturation des demandes HTTP, de connexion et d'API)

Un outil de sécurité qui effectue uniquement une demande à distance de votre ressource AWS afin de découvrir le nom et la version d'un logiciel, comme « banner grabbing » à des fins de comparaison avec une liste de versions connues pour être vulnérables aux DoS, n'entre PAS en violation avec cette stratégique.

En outre, un service ou outil de sécurité qui provoque uniquement le crash d'un processus en cours d'exécution sur votre ressource AWS, temporaire ou non, selon les besoins pour une exploitation à distance ou locale dans le cadre de l'évaluation de la sécurité, n'entre PAS en violation avec cette politique. Toutefois, cet outil ne doit PAS générer de saturation des protocoles ou des requêtes de ressources, tel que mentionné ci-dessus.
Un outil ou service de sécurité qui crée ou démontre une situation de DoS, ou en détermine l'existence DE QUELQUE AUTRE FAÇON QUE CE SOIT, réelle ou simulée, est strictement interdit.

Certains outils ou services incluent des capacités de DoS telles que décrites, de manière silencieuse ou inhérente, s'ils sont utilisés de manière inappropriée ou en tant que test ou vérification explicite, ou fonctionnalité de l'outil ou du service. Tout outil ou service de sécurité disposant d'une telle capacité de DoS doit avoir la capacité explicite de DÉSACTIVER, DÉSARMER ou rendre INOFFENSIF cette capacité de DoS. Dans le cas contraire, cet outil ou service ne doit PAS être utilisé pour AUCUNE étape de l'évaluation de la sécurité.

Le client AWS porte l'entière responsabilité de : (1) s'assurer que les outils et services utilisés pour la réalisation d'une évaluation de la sécurité sont correctement configurés et fonctionnent correctement, de manière à ne pas effectuer d'attaques ou de simulations de DoS, et (2) attester de manière indépendante que l'outil ou le service utilisé ne réalise aucune attaque ou simulation de DoS de ce type, AVANT de réaliser l'évaluation de la sécurité de n'importe quelle ressource AWS. La responsabilité dudit client AWS implique notamment de veiller à ce que des tierces parties sous contrat réalisent des évaluations de la sécurité en respectant les termes de cette politique.

De plus, vous êtes tenu pour seul responsable de tout dommage subi par AWS ou d'autres clients AWS généré par vos activités de test ou d'évaluation de la sécurité.

Contactez un représentant commercial d'AWS
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de sécurité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Security ?
Suivez-nous sur Twitter »