Déplacer votre entreprise vers le cloud est généralement présenté comme un bond en avant vers l'efficacité. Vous bénéficiez d'une évolutivité, d'une meilleure collaboration et vous pouvez cesser de vous soucier des pannes matérielles dans une salle de serveurs poussiéreuse. Mais si vous avez passé du temps dans l'informatique ou la sécurité, vous savez que « migrer vers le cloud » est souvent juste une autre façon de dire « déplacer mes risques vers l'ordinateur de quelqu'un d'autre ».
La vérité est qu'une migration n'est pas qu'un simple transfert de données ; c'est une reconfiguration complète de votre surface d'attaque. Lorsque vous déplacez une application d'un serveur sur site vers AWS, Azure ou GCP, le périmètre disparaît. Votre sécurité dépend des rôles IAM, des groupes de sécurité et des configurations d'API. Une case à cocher mal cliquée dans une console peut laisser un bucket S3 ouvert à l'ensemble d'Internet, et soudain, votre « transformation numérique » devient un titre dans un rapport de violation de données.
C'est là que le Penetration Testing proactif du cloud entre en jeu. La plupart des entreprises attendent d'avoir entièrement migré pour lancer une analyse de sécurité. C'est une erreur. Au moment où vous avez terminé votre migration, les vulnérabilités sont déjà intégrées à l'architecture. Le pentesting proactif signifie tester votre environnement au fur et à mesure de son évolution, avant que le bouton « go-live » ne soit enfoncé.
Dans ce guide, nous allons examiner pourquoi les migrations vers le cloud sont si risquées, comment élaborer une stratégie de test qui fonctionne réellement et comment des plateformes comme Penetrify rendent ce processus gérable sans avoir besoin d'une équipe massive d'experts en sécurité interne.
Pourquoi la sécurité traditionnelle échoue lors de la migration vers le cloud
Pendant des décennies, la sécurité reposait sur l'approche du « château et des douves ». Vous avez construit un pare-feu solide autour de votre centre de données, et tant que les douves étaient suffisamment profondes, vous vous sentiez en sécurité. Le cloud détruit les douves. Dans un environnement natif du cloud, l'identité est le nouveau périmètre.
Le problème est que de nombreuses équipes essaient de transposer leur ancienne mentalité de sécurité dans le cloud. Elles installent un pare-feu virtuel et supposent qu'elles sont couvertes. Mais les environnements cloud sont dynamiques. Les conteneurs se lancent et s'arrêtent en quelques secondes. Les groupes de mise à l'échelle automatique modifient votre plage d'adresses IP. Les fonctions serverless exécutent du code dans des environnements éphémères. Les audits de sécurité statiques traditionnels ne peuvent pas suivre ce rythme.
La confusion du « modèle de responsabilité partagée »
L'un des plus grands pièges de la migration vers le cloud est une mauvaise compréhension du modèle de responsabilité partagée. Les fournisseurs de cloud (comme AWS ou Azure) sont responsables de la sécurité du cloud : les centres de données physiques, les hyperviseurs et le réseau central. Vous êtes responsable de la sécurité dans le cloud.
Cela signifie que vous êtes responsable de :
- La configuration correcte de vos buckets S3 et de votre stockage blob.
- La gestion des permissions utilisateur (IAM).
- L'application de correctifs aux systèmes d'exploitation de vos machines virtuelles.
- La sécurisation du code d'application que vous déployez.
De nombreuses organisations supposent que parce qu'elles utilisent un fournisseur de cloud « sécurisé », leurs applications sont automatiquement sécurisées. Ce n'est pas le cas. Si vous laissez un port de base de données ouvert au public, le fournisseur de cloud ne vous arrêtera pas ; il fournit l'outil, mais c'est vous qui devez fermer la porte à clé.
La complexité du « Shadow IT » dans le cloud
Dans un monde sur site, si un développeur voulait un nouveau serveur, il devait soumettre un ticket et attendre un cycle d'approvisionnement. Dans le cloud, un développeur avec une carte de crédit ou une clé API peut lancer une flotte d'instances en quelques minutes.
Cela conduit au « Shadow IT », des actifs dont l'équipe de sécurité ignore même l'existence. Vous ne pouvez pas effectuer de Penetration Test sur ce que vous ne pouvez pas voir. La migration accélère souvent ce phénomène, car les équipes se précipitent pour respecter les délais, créant des environnements de test « temporaires » qui sont oubliés mais laissés en fonctionnement (et grand ouverts) pendant des mois.
Les piliers fondamentaux du Penetration Testing proactif du cloud
Pour rendre une migration « sans risque » (ou aussi proche que possible), vous devez passer d'une mentalité de « snapshot » à une mentalité de « continu ». Un seul Penetration Test une fois par an est inutile lorsque votre infrastructure change tous les mardis.
1. Audit de configuration (les fruits à portée de main)
Avant même de penser à simuler une attaque sophistiquée, vous devez vérifier les bases. Les erreurs de configuration du cloud sont la principale cause des violations de données dans le cloud.
Les tests proactifs commencent par l'examen du plan de contrôle. Existe-t-il des exigences MFA pour tous les administrateurs ? Existe-t-il des rôles IAM trop permissifs (par exemple, donner à un développeur un accès « AdministratorAccess » alors qu'il n'a besoin que de lire à partir d'un seul bucket) ?
Un bon Penetration Test du cloud se concentre fortement sur ces configurations, car ce sont les chemins les plus faciles pour les attaquants. Si un attaquant peut compromettre un seul ensemble d'identifiants divulgués, il n'a pas besoin de trouver une vulnérabilité Zero Day dans votre code ; il peut simplement utiliser votre propre console cloud pour vider vos données.
2. Gestion des identités et des accès (IAM) Testing
Dans le cloud, les permissions sont primordiales. Le Penetration Testing proactif implique des tests d'« élévation de privilèges ». L'objectif est de voir si un attaquant qui obtient l'accès à un compte de bas niveau peut se déplacer latéralement ou augmenter ses privilèges pour devenir un administrateur global.
Les domaines courants à tester incluent :
- Comptes de service surprivilégiés : Vérification si le compte de service d'une application a des permissions dont il n'a pas besoin.
- Fuite de jetons : Recherche de secrets ou de clés API accidentellement commités dans des référentiels Git.
- Accès entre comptes : Test pour savoir si une compromission dans un compte « Dev » peut entraîner un accès dans un compte « Prod ».
3. Test de micro-segmentation du réseau
Idéalement, votre environnement cloud devrait être segmenté. Votre serveur web ne devrait pas être en mesure de communiquer directement avec votre base de données, sauf par le biais d'un port spécifique et d'un protocole spécifique.
Le Penetration Testing teste ces limites. Si un hacker parvient à exploiter une vulnérabilité dans votre application web publique, peut-il "sauter" vers votre serveur de gestion interne ? Le Penetration Testing natif du cloud simule ces mouvements latéraux pour s'assurer qu'une seule brèche n'entraîne pas un effondrement total du système.
4. Sécurité des API et des architectures Serverless
La plupart des migrations vers le cloud impliquent une transition vers les API et les architectures serverless (comme AWS Lambda ou Azure Functions). Celles-ci introduisent de nouveaux risques. Les scanners traditionnels les manquent souvent car il n'y a pas de "serveur" à scanner.
Les tests proactifs pour les environnements serverless se concentrent sur :
- Event Injection : Une entrée malveillante dans un appel d'API peut-elle déclencher une action non intentionnelle dans une fonction Lambda ?
- Function Permissions : La fonction a-t-elle un rôle qui lui permet de supprimer l'ensemble de la base de données ?
- Cold Start Vulnerabilities : Vérification des failles dans la façon dont les fonctions s'initialisent et traitent les données.
Une stratégie étape par étape pour le Penetration Testing pendant la migration
Si vous êtes en train de migrer ou si vous prévoyez de le faire, ne considérez pas la sécurité comme la dernière étape. Intégrez-la plutôt aux phases de migration.
Phase 1 : La base de référence pré-migration
Avant de déplacer un seul octet de données, effectuez un Penetration Test de votre environnement sur site actuel. Pourquoi ? Parce que vous ne voulez pas migrer les vulnérabilités existantes vers un nouvel environnement. Si votre application présente une faille de type SQL Injection sur site, elle aura toujours cette faille dans le cloud, et elle pourrait même être plus facile à exploiter si le réseau cloud est moins restreint.
Points d'action :
- Exécutez une analyse complète des vulnérabilités sur l'application existante.
- Cartographiez tous les flux de données pour comprendre ce qui doit être protégé dans le cloud.
- Identifiez les données les plus importantes qui nécessitent le plus haut niveau d'isolement.
Phase 2 : Tests de développement et de préproduction
Lorsque vous construisez votre environnement cloud dans un compte de développement ou de préproduction, c'est là que la majeure partie de votre Penetration Testing proactif doit avoir lieu. Il est beaucoup moins coûteux et plus sûr de trouver une faille dans un environnement de préproduction que dans un environnement de production.
C'est là qu'une plateforme comme Penetrify change la donne. Au lieu d'attendre un test manuel trimestriel, vous pouvez utiliser des outils automatisés pour sonder en permanence votre environnement de préproduction lorsque les développeurs publient de nouvelles modifications.
Sur quoi se concentrer ici :
- Infrastructure as Code (IaC) Scanning : Si vous utilisez Terraform ou CloudFormation, analysez les modèles avant qu'ils ne soient déployés.
- Initial IAM Review : Assurez-vous que les rôles créés pour la migration respectent le principe du moindre privilège.
- Connectivity Testing : Vérifiez que vos VPC et vos sous-réseaux sont configurés pour bloquer le trafic inutile.
Phase 3 : Le Penetration Test de "basculement"
Juste avant de basculer et de pointer votre DNS vers le cloud, vous avez besoin d'un Penetration Test manuel complet. Il ne s'agit pas seulement de rechercher des bugs ; il s'agit d'un expert humain qui essaie de "casser" la logique de votre nouvelle configuration cloud.
Ils devraient essayer de :
- Contourner l'authentification.
- Accéder aux données des comptes d'autres utilisateurs (attaques IDOR).
- Exfiltrer des données par des canaux non conventionnels.
- Déclencher un Denial of Service (DoS) pour voir comment votre auto-scaling gère la charge.
Phase 4 : Surveillance continue post-migration
La migration ne s'arrête pas lorsque les données sont déplacées. Le cloud est un organisme en évolution. Un développeur peut modifier une règle de groupe de sécurité un vendredi après-midi pour "juste tester quelque chose" et oublier de la rétablir.
C'est pourquoi vous avez besoin d'une évaluation continue de la sécurité. Vous avez besoin d'un système qui vous alerte dès qu'une nouvelle vulnérabilité apparaît ou qu'une configuration s'écarte de la base de référence sécurisée.
Comparaison entre le Penetration Testing manuel et l'analyse automatisée dans le cloud
Il y a beaucoup de débats sur la question de savoir si vous avez besoin de pentesters manuels ou si un outil automatisé est suffisant. La réponse est : vous avez besoin des deux, mais pour des raisons différentes.
| Fonctionnalité | Analyse automatisée (par exemple, Penetrify) | Penetration Testing manuel |
|---|---|---|
| Vitesse | Quasi instantanée ; peut être exécutée quotidiennement ou toutes les heures. | Lente ; prend des jours ou des semaines. |
| Couverture | Idéale pour les vulnérabilités connues (CVE) et les erreurs de configuration. | Idéale pour les failles logiques complexes et les bugs d'"enchaînement". |
| Coût | Rentable et évolutive. | Coûteuse ; nécessite des experts très chers. |
| Cohérence | Élevée ; elle ne se fatigue pas et ne saute pas d'étapes. | Variable ; dépend des compétences du testeur. |
| False Positives | Peut être élevée selon l'outil. | Très faible ; un humain vérifie l'exploit. |
| Idéal pour | Surveillance continue, tests de régression, CI/CD. | Conformité annuelle, audits approfondis, applications à haut risque. |
Dans un scénario de migration, le fait de s'appuyer uniquement sur des tests manuels crée un "fossé de sécurité". Vous pouvez être en sécurité le jour où l'auditeur signe, mais trois jours plus tard, une modification de la configuration vous rend vulnérable. Les plateformes automatisées comblent ce fossé en fournissant un filet de sécurité entre les grands audits manuels.
Erreurs courantes de sécurité lors de la migration vers le cloud (et comment les éviter)
Même les équipes expérimentées commettent ces erreurs. Si vous êtes en pleine migration, vérifiez votre liste par rapport à celles-ci.
Erreur 1 : Le piège de l'"Admin"
Les développeurs utilisent souvent le compte "Root" ou un compte "Admin" très privilégié pour configurer l'environnement cloud parce que c'est plus facile. Ils ne rencontrent pas d'erreurs d'autorisation. Le problème est que ces informations d'identification finissent souvent dans des scripts, des fichiers de configuration ou des documents partagés.
La solution : Créez un compte Root distinct et verrouillez-le avec une authentification MFA matérielle. Créez des utilisateurs IAM individuels pour chaque personne et ne leur accordez que les permissions dont ils ont besoin pour leur tâche spécifique.
Erreur n° 2 : Dépendance excessive aux groupes de sécurité
Les groupes de sécurité (pare-feu virtuels) sont excellents, mais ils sont souvent configurés de manière trop large. « Autoriser tout le trafic depuis 0.0.0.0/0 » est une situation courante dans les environnements cloud mal sécurisés.
La solution : Utilisez une politique par défaut « Tout refuser ». N'ouvrez que les ports spécifiques nécessaires au fonctionnement de l'application. Utilisez les Network ACLs (NACLs) comme deuxième niveau de défense pour un contrôle plus large au niveau du sous-réseau.
Erreur n° 3 : Oublier la « porte dérobée »
Lors de la migration, les équipes créent souvent des points d'accès « temporaires » (comme des clés SSH sans mot de passe ou des ports RDP ouverts) pour accélérer le processus. Ceux-ci sont rarement fermés.
La solution : Utilisez des outils d'accès natifs du cloud comme AWS Systems Manager (SSM) Session Manager ou Azure Bastion. Ils vous permettent d'accéder à vos instances sans ouvrir de ports entrants vers Internet.
Erreur n° 4 : Ignorer la gestion des logs
De nombreuses entreprises migrent leurs applications vers le cloud, mais oublient de migrer leur stratégie de logging. Elles supposent que le fournisseur de cloud « s'en occupe », mais le fournisseur n'enregistre que les appels d'API, et non ce qui se passe à l'intérieur de votre application ou de votre système d'exploitation.
La solution : Centralisez vos logs à l'aide d'outils comme CloudWatch, Stackdriver ou un SIEM externe. Si vous n'avez pas de logs, vous ne saurez pas que vous avez été victime d'une violation tant que l'attaquant ne vous le dira pas.
Comment Penetrify Simplifie la Sécurité du Cloud
Pour de nombreuses entreprises de taille moyenne, le principal obstacle au Penetration Testing proactif est le « manque de talents ». L'embauche d'un architecte de sécurité cloud à temps plein est coûteuse, et l'embauche d'une société de Penetration Testing spécialisée pour chaque mise à jour est insoutenable.
C'est là que Penetrify intervient. Penetrify est une plateforme native du cloud conçue pour combler le fossé entre l'analyse de base et les tests manuels haut de gamme. Au lieu de vous obliger à construire votre propre infrastructure pour exécuter des tests de sécurité, Penetrify fournit les outils dans le cloud.
Éliminer les obstacles liés à l'infrastructure
Normalement, pour exécuter un Penetration Test professionnel, vous avez besoin d'un « banc d'essai » : un ensemble de machines virtuelles et d'outils spécialisés configurés pour attaquer votre cible. Penetrify supprime cette exigence. Parce qu'il est basé sur le cloud, vous pouvez déployer des ressources de test à la demande. Vous n'avez pas à vous soucier du matériel spécialisé ou de la gestion de vos propres serveurs d'attaque.
Passer à l'échelle dans tous les environnements
Si vous migrez un écosystème complexe avec dix VPC différents et des centaines de microservices, le faire manuellement est un cauchemar. Penetrify vous permet de mettre vos tests à l'échelle. Vous pouvez exécuter des évaluations simultanément dans plusieurs environnements, en vous assurant que votre « Payment Gateway » est aussi sécurisé que votre service « User Profile ».
Boucler la boucle : de la découverte à la correction
La partie la plus inutile d'un Penetration Test traditionnel est le rapport PDF de 100 pages qui reste dans une boîte de réception pendant trois mois. Au moment où les développeurs le lisent, le code a déjà changé.
Penetrify change cela en intégrant les résultats directement dans vos flux de travail existants. Au lieu d'un document statique, vous obtenez des données exploitables qui peuvent alimenter votre SIEM ou votre système de billetterie. Cela transforme la sécurité d'un « bloqueur » en une partie rationalisée du cycle de développement.
Scénarios de Penetration Testing Avancés : Penser comme un Attaquant
Pour vraiment sécuriser une migration vers le cloud, vous devez aller au-delà des listes de contrôle et commencer à penser aux « chaînes d'attaque ». Un attaquant trouve rarement un trou géant ; au lieu de cela, il trouve trois petits trous et les enchaîne.
Scénario A : La chaîne de clés divulguée
- Entrée : Un attaquant trouve un ancien fichier
.envdans un dépôt GitHub public contenant une clé d'accès AWS de bas niveau. - Découverte : Il utilise cette clé pour lister les buckets S3. Il en trouve un appelé
company-backups-testqui est accidentellement public. - Escalade : À l'intérieur de la sauvegarde, il trouve un fichier de configuration contenant les informations d'identification d'un rôle IAM plus puissant.
- Impact : En utilisant le deuxième ensemble d'informations d'identification, il accède à la base de données de production et exfiltre les données des clients.
Défense proactive : Cela serait détecté par l'analyse automatisée de Penetrify à la recherche de buckets publics et par un Penetration Test manuel à la recherche de fuites d'informations d'identification dans les dépôts publics.
Scénario B : L'injection Serverless
- Entrée : Un attaquant trouve un endpoint d'API qui déclenche une fonction Lambda pour traiter un téléchargement de PDF.
- Exploit : Il télécharge un PDF spécialement conçu qui déclenche une vulnérabilité d'injection de commande dans la bibliothèque que la fonction Lambda utilise pour analyser les PDF.
- Mouvement latéral : La fonction Lambda a un rôle IAM excessivement large (
s3:*). L'attaquant utilise la fonction pour lister tous les buckets et supprimer une sauvegarde de production critique. - Impact : L'entreprise perd ses données de sauvegarde et est obligée de payer une rançon.
Défense proactive : Un Penetration Testing proactif identifierait le rôle Lambda « sur-privilégié » et testerait la validation des entrées de l'analyseur PDF avant que la fonction n'atteigne la production.
Une liste de contrôle complète pour le Penetration Testing du cloud
Si vous vous préparez à une migration, gardez cette liste de contrôle à portée de main. Ne cochez pas ces cases une seule fois, cochez-les chaque fois que vous apportez une modification architecturale majeure.
🛡️ Identité et accès (IAM)
- L'authentification MFA est activée pour tous les utilisateurs.
- Personne n'utilise le compte Root pour les tâches quotidiennes.
- Aucun rôle « AdministratorAccess » n'est attribué aux développeurs en production.
- Les comptes de service utilisent des informations d'identification temporaires (STS) au lieu de clés à long terme.
- Les politiques IAM sont « spécifiques aux ressources » plutôt que « Ressource : * ».
🌐 Networking & Perimeters
- Les groupes de sécurité VPC par défaut sont supprimés ou renforcés.
- Aucun port (SSH, RDP, DB) n'est ouvert à
0.0.0.0/0. - Les sous-réseaux publics ne contiennent que des équilibreurs de charge ou des hôtes bastion.
- Les serveurs de base de données se trouvent dans des sous-réseaux privés sans accès direct à Internet.
- Le trafic sortant est limité aux seuls points de terminaison nécessaires (filtrage de sortie).
📦 Storage & Data
- Les buckets S3 / Stockage Blob sont explicitement définis sur "Bloquer l'accès public".
- Les données au repos sont chiffrées à l'aide de KMS ou de clés gérées similaires.
- Les données en transit sont forcées d'utiliser TLS 1.2 ou supérieur.
- Les buckets de sauvegarde sont versionnés et ont "Object Lock" activé pour empêcher les ransomwares.
⚙️ Application & Compute
- Les images de système d'exploitation (AMI) sont patchées et mises à jour avant le déploiement.
- Les conteneurs sont analysés pour détecter les vulnérabilités pendant le processus de construction.
- Les fonctions Serverless ont les permissions minimales requises pour s'exécuter.
- Les points de terminaison API ont une limitation de débit et une authentification appliquées.
- Les secrets (clés API, mots de passe) sont stockés dans un gestionnaire de secrets, et non dans le code.
📈 Logging & Monitoring
- CloudTrail (ou équivalent) est activé dans toutes les régions.
- Des alertes de modification de groupe de sécurité sont configurées.
- Les journaux d'application sont diffusés vers un emplacement centralisé en lecture seule.
- Des alertes sont configurées pour les pics d'"appel API non autorisé".
FAQ : Pentesting Cloud Proactif
Q : Nous avons déjà un scanner de vulnérabilités. Avons-nous toujours besoin de Penetration Testing ? R : Oui. Un scanner est comme un détecteur de fumée : il vous indique qu’il y a un incendie. Le Penetration Testing est comme un commissaire aux incendies : il vous dit que vos rideaux sont trop près du radiateur et que vos panneaux de sortie sont cassés. Les scanners trouvent les bogues « connus » ; les pentesters trouvent les bogues « logiques ». Les deux sont nécessaires.
Q : Est-il légal d’effectuer un Penetration Test de mon propre environnement cloud ? R : Généralement, oui, mais vous devez respecter les règles du fournisseur de cloud. AWS, Azure et GCP ont des listes de « Services autorisés ». La plupart des tests courants (comme l’analyse de vos propres machines virtuelles) sont acceptables, mais vous ne pouvez pas effectuer d’attaques DDoS ou de « tests de stress » sur l’infrastructure sous-jacente du fournisseur sans autorisation préalable.
Q : À quelle fréquence devons-nous exécuter des Penetration Tests cloud ? R : Pour les applications à haut risque, vous devez avoir une analyse automatisée continue (comme Penetrify) et un Penetration Test manuel approfondi tous les 6 mois ou après tout changement architectural majeur.
Q : Ne puis-je pas simplement utiliser un outil open source gratuit pour cela ?
R : Vous le pouvez, mais le « coût » est le temps que vos ingénieurs consacrent à leur configuration. Les outils comme Pacu ou CloudSploit sont excellents, mais leur gestion à l’échelle de toute une entreprise est un travail à temps plein. Les plateformes comme Penetrify automatisent l’orchestration de ces tests afin que votre équipe puisse se concentrer sur la correction des bogues, et non sur la gestion des outils.
Q : Le Penetration Testing va-t-il ralentir notre calendrier de migration ? R : Cela peut sembler le cas à court terme, mais cela empêche « l’arrêt critique » qui se produit lorsqu’une vulnérabilité majeure est découverte une semaine avant le lancement. En testant de manière proactive, vous corrigez les bogues par petits lots plutôt que de faire face à une montagne de problèmes à la fin.
Dernières réflexions : Faire de la sécurité une fonctionnalité, pas un obstacle
L’objectif d’une migration vers le cloud est d’aller plus vite et d’être plus agile. Si vous traitez la sécurité comme une « porte » finale que les développeurs doivent franchir, la sécurité sera toujours perçue comme un obstacle. Ce sera quelque chose que les gens essaieront de contourner ou de précipiter juste pour respecter une échéance.
Le passage au Penetration Testing cloud proactif change cela. Lorsque vous intégrez la sécurité dans le processus de migration : en testant l’IaC, en auditant les rôles IAM lors de la configuration et en exécutant des analyses continues, la sécurité devient une fonctionnalité de la plateforme. Cela donne à votre équipe la confiance nécessaire pour déployer plus rapidement, car elle sait que les garde-fous fonctionnent réellement.
N’attendez pas « l’audit post-migration » pour découvrir que vous avez laissé la porte de derrière ouverte. Utilisez une combinaison de plateformes automatisées et d’expertise manuelle pour tester votre environnement pendant qu’il est encore à l’atelier.
Si vous cherchez un moyen de faire évoluer votre sécurité sans ajouter cinq personnes supplémentaires à votre équipe informatique, il est temps de vous pencher sur une approche native du cloud. Penetrify supprime les frictions liées à la configuration d’environnements de test complexes, vous permettant de vous concentrer sur ce qui compte vraiment : assurer la sécurité de vos données et le bon fonctionnement de votre entreprise.
Prêt à sécuriser votre migration ? Cessez de deviner si votre configuration cloud est « suffisamment bonne ». Visitez Penetrify.cloud dès aujourd’hui et commencez à identifier vos vulnérabilités avant que quelqu’un d’autre ne le fasse. Votre tranquillité d’esprit vaut plus qu’un bucket S3 mal configuré.